Cada vez más, la del CISO se configura como una función transversal. En una visión holística de la tecnología y la gestión de los riesgos relacionados, se convierte en un elemento estratégico de la toma de decisiones, un gestor y, al mismo tiempo, un asesor de la Dirección General, capaz de organizar los recursos necesarios para asegurar la resiliencia de la organización frente a las ciberamenazas.
En un mundo conectado, donde la inmediatez y disponibilidad es competitividad, y donde garantizar la integridad y confidencialidad de los datos es sinónimo de supervivencia, el CISO representa un papel trascendental.
Esta figura se ha ido moldeando a sí misma durante los últimos años, desempeñando un papel clave en la definición de una estrategia de seguridad alineada con los objetivos de la empresa, gestionando los riesgos tecnológicos y el cumplimiento normativo, y haciéndose cargo de la gestión de ciberamenazas.
Es un directivo que debe poseer seniority y autoridad, dado el nivel de responsabilidad que acumula, así como un amplio conocimiento técnico, de gestión y del propio negocio de la empresa para poder valorar adecuadamente el impacto de las decisiones que deba tomar.
Como el éxito de la seguridad de una empresa les corresponde a todos y cada uno de sus empleados, socios y colaboradores, el CISO debe disponer de flexibilidad, capacidad de negociación y habilidades de comunicación para transmitir, persuadir, sensibilizar y convencer. Los CISO pueden mejorar el nivel de seguridad de la sociedad mediante actividades de colaboración público-privada, así como mediante la concienciación de clientes, empleados y ciudadanos.
Actualización permanente
A finales de 2018, ISMS Forum publicó la primera versión del Libro Blanco del CISO. Una iniciativa pionera en España cuyo objetivo fue describir las funciones, responsabilidades y habilidades de este rol en detalle, a partir de la experiencia que nos transmitieron más de veinte directores de seguridad de la información en grandes empresas.
Este libro sirve como guía de referencia para profesionales de seguridad de la información que tengan el reto de asumir la función de CISO (chief information security officer), así como para las propias empresas en su definición organizativa.
Como no hay un modelo perfecto de organización de la seguridad de la información que encaje en todas las empresas, este documento ofreció diferentes modelos, con sus pros y contras, por lo que es lectura recomendada antes de la toma de decisiones.
Una vez cumplido el primer objetivo, y recogiendo la necesidad de actualización permanente del contenido, se ha creado una nueva edición de este Libro Blanco del CISO, en el que se ha incorporado un mayor nivel de detalle en cuanto a las actividades esenciales derivadas del rol y la actualización de la legislación vigente que impacte en la función. Además, en esta segunda edición del libro se ha incorporado una interesante encuesta realizada entre cuarenta CISO de diferentes empresas en España, a los que se consultó acerca de la función prioritaria que están desarrollando en estas organizaciones. A continuación expondremos los aspectos más relevantes derivados de este estudio.
El CISO debe entender los riesgos tecnológicos y saber transmitirlos a la dirección para cumplir las expectativas del negocio
Sectores y recursos asignados
El CISO se encuentra presente en los sectores bancario y asegurador desde hace muchos años, debido a las exigentes regulaciones impuestas sobre este tipo de entidades. De este modo, estos sectores representan el mayor porcentaje en cuanto al número de participantes de la encuesta.
Otros sectores, como el sanitario, el público o los de transporte o retail, cuentan ya con este tipo de rol o están creciendo fuertemente con el objetivo de crear la función y dotarla de recursos. Al respecto de esto último, se ha obtenido la métrica media de veinte personas a tiempo completo dedicadas a seguridad de la información. Este dato puede variar en función del sector, así como de la exposición y los incidentes gestionados o sufridos en cada momento.
Estudios y Formación
La mayoría de los encuestados (en torno al 80%) tienen estudios de informática o telecomunicaciones, aunque poco a poco se están incorporando perfiles alejados de este ámbito y más centrados en el negocio. Independientemente de esto, la conclusión principal es que el CISO debe entender los riesgos tecnológicos y saber transmitirlos a la dirección para cumplir las expectativas del negocio.
Existen certificaciones de prestigio que hacen accesible dicho conocimiento, por ejemplo, CISM, C-CISO, CRISC, CISSP o CCSP, pero la formación debe ser continua para poder anticipar la materialización de amenazas. Según el estudio, el éxito de un CISO está ligado a aspectos como:
- Su intensidad y dedicación.
- Motivación por el aprendizaje y la actualización constante de la legislación y el estado de la técnica.
- Saber gestionar la presión y el estrés.
- Dirigir su equipo de manera eficiente.
- Optimizar el presupuesto.
- Gestionar los incidentes con determinación.
Puesto y funciones
Lejos de pensar que el CISO está especialmente ligado a la operación tecnológica, este dedica más tiempo a la definición de la estrategia de seguridad, las políticas, la gestión del presupuesto y las personas. Aun así, es fundamental que esté cerca de la tecnología y de la operación de seguridad. El panorama actual de amenazas, ligado a la obligatoriedad de adaptarse al nuevo Reglamento General de Protección de Datos y a las directivas NIS o PSD2, entre otras, hace que tenga un papel clave.
Hoy en día, también existe el reto de aclarar algunas funciones donde existe solapamiento con otras áreas ligadas al control y a la protección. Cada empresa tiene una cultura y organización diferentes, por lo que habrá que definir con claridad sus funciones y su relación con otros roles directivos, lo que dependerá de la ubicación del CISO, en primera o segunda línea de defensa; en todo caso se ha de buscar que su independencia quede garantizada.
Reporting y futuro
Según la encuesta, y aunque no existe un modelo de gobierno definitivo, la mayoría de los CISO reportan directamente al CIO (57,5%) o al departamento de TI (20%) y, de estos, cerca del 40% se identifican con el área de servicios públicos.
Pero preguntando a los propios CISO, el 47,5% se decantan por un reporte directo a la alta dirección, fuera del área de tecnología. El siguiente modelo preferido es el reporte al COO/CRO/comité de dirección, también fuera del ámbito de tecnología. Este suele ser más común en empresas relacionadas con la industria. Tan solo un 12,5% se decantaron por depender de un área dentro del CIO, en la misma arquitectura departamental que Tecnología, lo que ayudaría al CISO a estar cerca de la operativa y la toma de decisiones a nivel tecnológico.