En la actualidad, todas las industrias, en todo el mundo, sufren importantes incidentes asociados a ciberseguridad, ya sean filtraciones de datos, afectación de sistemas críticos o ataques de ransomware. Los ciberdelitos siguen una tendencia al alza.
En este sentido, las áreas encargadas de velar por la seguridad y en particular su líder: el CISO (Chief Information Security Officer), afrontan cada vez más desafíos.
Ello no solo se debe a la aceleración tecnológica sino también al factor humano. Es necesario contar con un liderazgo, visión y estrategia que ponga a su organización un paso adelante de los ciberdelincuentes y, al mismo tiempo, que comprenda y priorice las particularidades del negocio e industria en la que opera.
Incluso, como CISO resulta fundamental lograr que el equipo directivo comprenda los riesgos y exposición, todo ello de forma concreta y sin detalles técnicos.
Hacia una integración de la gestión de CiberSeguridad para la toma de decisiones
En el pasado, la mayoría de los miembros de un directorio normalmente no entendía cuál era el papel del CISO. Incluso, los informes de ciberseguridad a veces ni siquiera estaban en sus agendas.
La buena noticia es que esto ha cambiado ya desde hace un tiempo. En la actualidad el CISO cuenta – en organizaciones maduras – con un asiento en el la "mesa chica". Ahora bien, la mala noticia es que aún resulta normal escuchar luego de una sesión de directorio que lo que ha presentado el CISO "no se entiende".
En la actualidad muchos profesionales en el rol de responsables de ciberseguridad siguen contando con una postura netamente técnica, alejada del negocio y sin diálogo con aquellos responsables por la toma de decisiones. Y es que un mensaje eficaz requiere otras habilidades blandas del CISO: una buena comunicación.
La imperiosa necesidad de transicionar en la forma de gestionar
Las responsabilidades del CISO normalmente han incluido liderar el equipo que administra las amenazas y la mitigación de los ataques, supervisar la arquitectura de seguridad y la protección de la infraestructura corporativa, aplicando políticas de seguridad y gestión diseñadas para prever y abordar el riesgo.
Sin embargo, se han producido cambios en sus funciones, al menos en las expectativas de su rol. Hace veinte años, un CISO "tipo" era aquél que contaba con buenos y sólidos conocimientos técnicos… Muy probablemente procedente de un puesto asociado a la administración de Tecnología, fuertemente orientado a implementar y operar herramientas y dispositivos de protección perimetral.
Y si bien es cierto que comenzó como un puesto centrado en la tecnología, el papel del CISO se ha modificado sustancialmente en los últimos años. Al menos han cambiado las necesidades, y resulta necesario que quienes ocupan o procuren ocupar este rol, sean conscientes de ello.
Nuevamente, las habilidades blandas son tan importantes como las técnicas. El CISO "actual", al margen de su capacidad técnica, debe ser un buen gestor y tener aptitudes para la gestión de las personas. Tiene que entender los objetivos de su organización y cómo la seguridad puede resultar un facilitador.
Tal es la necesidad que para quienes se desempeñan dentro de la ciberseguridad y buscan una posición de liderazgo, existen múltiples orientaciones, cada una de ellas con diferentes perfiles: el BISO (Business Information Security Officer) quien se encuentra más cerca del negocio y traduce sus necesidades a requerimientos específicos de seguridad, o el TISO (Technical Information Security Officer) quien se ocupa de la operación de tecnologías de seguridad.
Sin embargo, en términos generales debemos decir que el CISO debe ser capaz de hablar abiertamente con todo el mundo, desde el presidente de la empresa hasta los clientes y proveedores. Un CISO distante desalentará a los empleados a la hora de informar sobre un error (como hacer clic en un enlace) que podría conducir a un incidente importante. Además, el CISO debe construir una sólida base de conocimientos sobre cada paso de la estructura organizacional.
En definitiva, al igual que las ciberamenazas, el papel del CISO está evolucionando. La importancia de la defensa digital ha llegado ya desde hace varios años a la mesa del directorio, y depende del CISO y sus capacidades, al igual que de las organizaciones y el espacio que le den al mismo, sacar el máximo partido del cambio.
El autor es Gaspar Poca, Director de BTR Consulting
