En un mundo en el que los ciberataques están a la orden del día y la información personal almacenada en la nube está al alcance de grupos maliciosos que buscan dar con ella, es de vital importancia la figura del Oficial de Seguridad de la Información (CISO) en las empresas.
Los CISO exitosos deben comprender plenamente la estrategia comercial y la gestión de riesgos, no sólo la ciberseguridad. “El rol de CISO se ha desarrollado a medida que el impacto de la ciberseguridad se ha vuelto preponderante y ha evolucionado la conciencia sobre el riesgo comercial causado por la ciberseguridad”, dijo Jeffrey Weber, director ejecutivo de Robert Half Technology.
Los CISO actuales ya no son ejecutivos de TI de bajo perfil a cargo de la seguridad de la red, se han convertido en socios importantes en el C-Suite de la empresa, lo que ayuda a las mismas a comprender y administrar los riesgos de seguridad más exhaustivamente que en el pasado.
No todos los profesionales de seguridad tienen las habilidades para prosperar en el rol moderno de un CISO, por lo que aquí le decimos cuáles son las habilidades más importantes que se deben buscar en un CISO moderno:
Comunicación
Para tener éxito, los CISO necesitan relaciones sólidas con sus compañeros ejecutivos. “Comunicar los riesgos de ciberseguridad a los líderes empresariales de una manera clara es lo que permite la toma de decisiones. Esto comienza con la destilación de requisitos de seguridad de la información, objetivos e informes en un lenguaje que la junta entiende”, mencionó Blake Angove, director de Servicios de Tecnología en la empresa de contratación LaSalle Network.
Visión para los negocios
La mayoría de los CISO surgieron a través de organizaciones de TI donde pasaron años monitoreando y analizando los riesgos de seguridad. El CISO de hoy necesita poner esa información en contexto para el negocio, lo que requiere una comprensión profunda de los fundamentos del negocio.
“El CISO no es simplemente una posición técnica que define un conjunto de requisitos internos para la implementación de tecnología”, dijo Weber. “Los CISO deben comprender la complejidad de las relaciones entre la tecnología, el impacto comercial y el uso de ésta, con el fin de educar a la empresa sobre el impacto de los riesgos de seguridad”.
Visión estratégica
Los CISO no deberían verse sólo como monitores y ejecutores de cumplimiento. También necesitan comprender el apetito de riesgo de la organización, contextualizarlo contra las tendencias de la industria, y utilizar su conocimiento especializado para ayudar a guiar la toma de decisiones.
“Equilibrar el riesgo y el valor del negocio puede ser difícil”, indicó Blake Angove. “Necesitan caminar una línea entre asegurar la organización y habilitar el negocio. Si los CISO se preocupan solamente por la administración de la seguridad, están configurados para fallar”.
Una mentalidad de aprendizaje
Los CISO viven en un mundo de cambios constantes. Los principales desafíos incluyen defender una superficie de ataque compleja, lidiar con una escasez aguda de talento de seguridad, remodelar la cultura de sus organizaciones y descubrir la mejor forma de aplicar inteligencia artificial y otras tecnologías emergentes. No hay una biblia de mejores prácticas para manejarlo todo. Es un acto de malabarismo que requiere un deseo proactivo de aprender.
El aprendizaje debe extenderse más allá de las paredes de la oficina. Los CISO deben mantenerse activos con conferencias y seminarios, así como buscar oportunidades para presentar ante la comunidad cibernética los escenarios de riesgo y amenaza.
En una encuesta de 300 jefes de seguridad de información publicada por ServiceNow, una gran mayoría de CISO consideró que no están preparados para responder a las violaciones de datos. La abrumadora cantidad de amenazas entrantes dificulta la priorización de lo que requiere respuesta inmediata.
Las organizaciones pueden ser golpeadas por miles de ataques cibernéticos cada día. Si los CISO no cuentan con las características necesarias para priorizar y comunicar los riesgos, las empresas tienen un riesgo latente de, incluso, ver paralizadas sus operaciones y sus datos confidenciales terminarían comprometidos.
Por ello, es indispensable contar con soluciones que resuelvan de manera eficiente el trabajo de catalogar y priorizar los riesgos cibernéticos antes de que puedan tener una repercusión para la empresa, facilitando la tarea de los CISO.
