El nuevo CISO que surgirá con la transformación digital

Hace poco más de 20 años el papel CISO (chief information security officer) se limitaba a la gestión firewalls y al control del perímetro tecnológico de una organización. Apenas si le dejaban conocer lo que estaba protegiendo, simplemente tenía que hacerlo.

Durante largos años algunos consideraron que la función del CISO debía circunscribirse a consideraciones meramente técnicas o como mucho —siendo generosos— a imposiciones reglamentarias. Pero ese papel ha cambiado. Actualmente, el CISO interactúa con todos los departamentos de la organización y establece una comunicación directa entre la parte dedicada al negocio y la centrada en la seguridad de la información. Su presencia se ha hecho indispensable en cualquier organigrama. De igual manera a como no se concibe una organización sin una Dirección General o una Dirección Financiera, la figura del CISO se ha consolidado como una función clave. Y es que la protección de los sistemas de información y de los datos se han convertido en un elemento fundamental del negocio al igual que los recursos humanos o financieros.

Esta función, a día de hoy, obliga al CISO a responder preguntas tales como ¿puede la ciberseguridad ayudar a mejorar, proteger y garantizar los ingresos de la compañía?, ¿puede ayudar a retener clientes?, ¿permite la diferenciación respecto a la competencia?, ¿contribuye a la eficiencia y eficacia de la organización? A medida que las amenazas y los ciberataques han ido creciendo su papel se ha hecho más preponderante.

Pese a todo, algunos aún parecen tentados a pensar que la seguridad de la información es un problema tecnológico más que de negocio. Nada más lejos de la realidad. La ciberseguridad es un elemento que afecta a los riesgos —en el sentido más amplio— de la organización. Y el CISO ha contribuido a su gestión. Por eso su actividad se ha desplazado en esa dirección.

El CISO ha adquirido nuevos conocimientos que le han llevado a evaluar la probabilidad y el impacto de un potencial evento en la seguridad de la información de una organización —incluyendo aspectos operativos o regulatorios como el Reglamento Europeo de Protección de Datos, la Directiva NIS, la Directiva PSD-2…. Precisamente los organismos de estandarización han contribuido a la tarea, aglutinando bajo estructuras y guías normalizadas los pautas para construir, implementar y evaluar el plan de ciberseguridad de una organización. Podríamos decir, atreviéndonos a ser simplistas, que la ISO 27001 ha sido la traducción del marco de Calidad desarrollado con la ISO 9001 —ampliamente aceptado y seguido por el mercado— a la problemática de la gestión de la información y su seguridad.

Recientemente, algunas voces han comenzado a alzarse para impulsar el papel del CISO. Se trata de fuentes que hablan del CIRO o Responsable de Gestión de Riesgos. Y es que, siguiendo con el paralelismo anterior, el pensamiento basado en riesgos impulsa la adopción de la norma y muchos esperan que CISO no hable ya solo de 'Seguridad' sino también de los 'Riesgos'.

Esta nueva característica hace del CISO —o CIRO si se quiere utilizar este nuevo acrónimo— un perfil aún más relevante dentro de la compañía y su selección como una decisión estratégica. Básicamente se espera que el CISO sea una persona con (1) liderazgo y asertividad, (2) con capacidad de la planificación estratégica y análisis de riesgos, (3) con conocimientos técnicos y regulatorios, (4) de fácil comunicación y con capacidad de delegación, (5) que domine las métricas e indicadores y sobre todo (6) que contribuya al posicionamiento estratégico de la organización.

El CISO actual ya no necesita tener una sólida base tecnológica, aunque eso no significa que la tecnología le sea completamente ajena. Obviamente debe ser capaz de identificar las vulnerabilidades de los sistemas de información de su organización y conocer las técnicas utilizadas por los posibles atacantes. Y eso requiere de un conocimiento técnico. Sus responsabilidades continúan siendo las de proteger a su compañía de cualquier ciberataque y para eso necesita conocer los elementos tecnológicos que lo sustentan, pero eso no le impide —antes, al contrario, se convierte en indispensable— mantener otras habilidades gerenciales y comunicativas. Por ejemplo, el CISO debe ser capaz de establecer un canal de comunicación con la alta dirección adaptando el mensaje a sus interlocutores. No se trata de una tarea sencilla porque en ocasiones la terminología utilizada por unos y otros les hace parecer que hablan distintos idiomas. Por eso su función resulta aún más indispensable ya que de la concienciación del CEO de una compañía puede llegar a depender gran parte del éxito empresarial.

Para algunos, el CISO se encuentra actualmente en su cuarta ola de desarrollo tras haber sobrepasado la dimensión del chequeo de normas y medidas (los así llamados Chechlist); la generación de los que desplegaban herramientas dirigidas a controlar flujos de información (los Lock& Latch) y los más recientes que se interesan por la detección y la respuesta ante incidentes (los Detection&Response). El CISO de nueva generación será capaz de actuar de forma predictiva utilizando entornos de inteligencia frente a las amenazas —lo que ha venido a denominarse la fase Predictive&Preemptive.

Sea cual sea la definición que hagamos del rol del CISO, presente o futuro, acabaremos concluyendo que se trata de una función trascendental y más aún para la transformación digital de las empresas que, con el devenir de los servicios en cloud, la consolidación de la inteligencia artificial, el big data o los dispositivos IoT, marcará el camino a seguir durante los próximos años.

Por Juanjo Galán, Business Strategy de All4Sec