Las empresas tienen diversos conceptos de seguridad digital según su coyuntura y manejo de las tecnologías de la información. Esto trae como consecuencia no saber quién es el ejecutador responsable de esta seguridad ni tampoco quien es el rendidor de cuentas ante alguna incidencia de alto impacto en esta seguridad. El CISO (Chief Information Security Officer) es el rol encargado de cubrir altas responsabilidades de seguridad de información en orquestación con muchas transacciones empresariales, formando un reto profesional para quienes anhelan este rol.

¿Qué espera la empresa del CISO?

Las grandes empresas quieren que el CISO sea el mago de la seguridad de la información, que no hayan hackers en su red o cualquier otro tipo de intrusión, a la vez su dominio de negocio debe estar acorde a los objetivos empresariales necesitando así que el CISO tenga toma de decisiones de nivel C (Nivel Chief, nivel de Jefe o nivel Ejecutivo). Ahí es donde entra el dilema, si el CISO es más operativo o más táctico. La respuesta dependerá de lo que necesita o espera la alta dirección respecto al área de ciberseguridad. No hay nada establecido a raja tabla sobre las funciones y responsabilidades de los CISO. El tamaño de la organización es clave para determinar sus responsabilidades, pues en muchas ocasiones se terminan mezclando con las funciones de los CIOs o peor aún con el de los CEOs en caso la empresa es mucho más pequeña pero de alta responsabilidad de información.

Entonces ¿No está definido lo que es el CISO?

Sí, es el jefe de seguridad de información de una empresa, lo que no está claro son las respuestas a preguntas como (y nosotros mismos orientamos una respuesta): ¿Debería el CISO tener un enfoque técnico o de negocio?, a mayor tamaño de la organización, mayor será el enfoque estratégico que tendrá el CISO y deberá contar con un equipo de consultores en seguridad de la información. ¿A quién informa el CISO?, generalmente al CIO y luego éste al CEO. ¿Se entiende que es Seguridad de la Información?, esto no lo debe responder la gente de TI de la empresa, la debe responder el personal operativo que no es de TI. En muchas ocasiones tienen la creencia que TI debe abarcar todo (estrategias digitales hasta instalación de impresoras), por lo tanto, es muy importante instruir a los colaboradores de la organización a entender esta área y su responsable. ¿Existen retos que enfrentar en las tecnologías móviles y de la nube?, debido a la demanda de las organizaciones en el uso de estas tecnologías, se debe preguntar si se está protegido y controlado correctamente en temas de seguridad.

Evolución del CISO

Este rol ha tenido más énfasis en estos últimos años debido a la creciente tasa de ataques cibernéticos. En sus inicios las empresas enfocaban el potencial de la gente de TI en desarrollar funciones de software que involucren temas de seguridad de la información de manera implícita, luego nació la necesidad de que alguien se enfocara en temas técnicos de seguridad el cual se manifestaba en los expertos en redes, pero aún no era suficiente, pues la ingeniería social nació como piedra en el zapato para las organizaciones y posibilitan las vulnerabilidades de las empresas. Entonces ya se volvió la seguridad de la información en un tema más genérico donde no sólo abarca asuntos técnicos si no también estratégicos y de negocio. Hoy en día el CISO tiene esa responsabilidad, el factor humano, la cultura organizacional enfocado en seguridad es de vital importancia para este jefe, entonces ¿Estamos hablando de un tema psicológico más que lógico o de negocio? en realidad, se busca un equilibrio, uno depende del otro, no se puede dejar la parte técnica ni tampoco la parte cultural. Ahí radica el reto para el CISO.

Consejo audit

Si tiene personal de TI, asegúrese que haya alguien preocupado por la seguridad de la información, no necesariamente debe tener el puesto de Jefe de Seguridad de la Información pero al menos debe tener en una de sus responsabilidades velar por ella. Una de sus principales tareas será la gestión de los riesgos y coordinaciones con todas las áreas involucradas para su control. En audit capacitamos a personal de TI en riesgos relacionados además de contar con una plataforma de monitoreo de avance de controles de riesgos para una mejor dinámica de logro de objetivos.