La figura del CISO en la organización
En un entorno postpandemia como el que vivimos actualmente, la vida de las organizaciones ha cambiado mucho, la realidad de las empresas es muy diferente a la de hace dos años, sobre todo si hablamos de ciberseguridad. Pero lo mismo sucede con el mundo del cibercrimen, no pasa una semana que no tengamos noticias de un gran ciberataque, que no veamos como un grupo de ciberdelincuentes pide un rescate millonario por los datos de una organización.
Sin duda alguna, en estos momentos, es muy complicado estar al día de lo que ocurre en materia de ciberseguridad y, en consecuencia, protegerse contra las incipientes amenazas.
La figura del director de seguridad de la información (CISO) ha ganado una influencia considerable desde que apareció su figura, y más aún con la escalada sin fin de los ataques, su sofisticación y el número de estos.
Hasta hace no mucho, la seguridad de una compañía recaía en la figura de los CIOs, pero esto ha ido cambiando poco a poco y es, a raíz de que las empresas se han dado cuenta, de que sufrir un ciberataque ya no es algo que no les pueda pasar, han visto muy de cerca el peligro y quieren estar protegidas. Hemos pasado de contemplar la seguridad como un elemento secundario, a ser un tema a tratar en la mesa de dirección.
Es cierto que siempre se ha tenido en cuenta que había que proteger los sistemas, pero en muchas ocasiones los argumentos que se ofrecían no se sostenían: “con un antivirus basta”. Las constantes noticias sobre ciberataques y sus consecuencias para las organizaciones, han ofrecido un baño de realidad que ha hecho elevar la consciencia de la necesidad de invertir más y mejor en ciberseguridad.
De esta forma, los consejos de administración comenzaron a preocuparse por la seguridad, y descubrieron que gran parte de los CIOs no eran especialistas en ciberseguridad. Era necesario tener una figura responsable de la ciberseguridad que además tuviese un conocimiento profundo de la materia, y la capacidad de interlocución con la alta dirección.
Por suerte, el panorama actual nos hace ser positivos, y podemos afirmar que, en general, las empresas se han convencido, por fin, de la importancia de la figura del CISO, de su importancia, pero claro está, aún queda mucho camino por recorrer.
¿Cuál es el papel del CISO en la organización?
El CISO (Chief Information Security Officer) es el director de seguridad de la información. Básicamente es un rol que se desempeña a nivel ejecutivo, y su función principal es la de alinear la seguridad de la información con la estrategia y objetivos de negocio. Por tanto, dejar de ser una figura totalmente tecnóloga, abordando un papel que requiere de un doble lenguaje (técnico y ejecutivo). Por esta razón, podríamos decir que su principal rasgo destacable, es la transversalidad.
Como comentábamos anteriormente, tradicionalmente su papel ha sido de tecnólogo, por lo que debía ser experto en seguridad de la información. Pero su desempeño ha ido evolucionando hacia el diseño un rol mucho más estratégico. Un CISO en una organización será el encargado de diseñar estrategias de seguridad, de seleccionar productos y soluciones para crear e implementar arquitecturas de protección acordes a las necesidades de la organización.
De entre sus principales responsabilidades está, como venimos remarcando, lograr alinear la seguridad con el negocio, ya que esta es la única forma de conseguir la capacidad de ser ágiles en el negocio, de adaptarse a las nuevas tecnologías y procesos, y de conseguir la resiliencia que la empresa requiere para enfrentarse a un entorno donde las amenazas cambian rápidamente. Por eso decimos que el CISO pasa de ser un tecnólogo puro a ser un estratega para el negocio, con grandes conocimientos de ciberseguridad, un aliado que ayudará a la empresa a estar preparada una etapa donde el negocio está evolucionando hacía un mundo totalmente digital, donde los procesos se transforman y se adaptan a las nuevas necesidades del mercado (la digitalización de los procesos, la tan afamada “transformación digital”).
Su figura es, y cada vez más, será muy importante en las organizaciones, ya que es el máximo responsable de entender los riesgos a los que se enfrenta el negocio, moviendo el tradicional discurso tecnológico y adaptándolo a un nuevo discurso más estratégico que deberá presentar en la mesa de dirección.
El rol del CISO está en constante evolución, y poco a poco se irá definiendo con mayor precisión a medida que las organizaciones vean la necesidad de incorporar este perfil, al igual que con la evolución de las amenazas que establecerán claramente cuáles son sus funciones y atribuciones. Lo que está claro, es que su posición en la mesa de dirección es fundamental para poder ayudar a la organización a seguir avanzando de forma cibersegura frente al creciente número de amenazas a las que se ven expuestas.
Team Leader Grupo Expertos itsm4Seguridad
Comité de Estándares de itSMF España