Hace varios años, los líderes de seguridad en muchas organizaciones fueron promovidos de una gerencia de nivel medio a jefes de Seguridad de la Información (CISO). En las primeras iteraciones del organigrama, la seguridad era considerada como “sólo un trabajo más” del departamento de TI, por lo que el gerente que poseía la Seguridad tomó el título de CISO, aunque siguió reportando al CIO.
Como las empresas aprendieron que la seguridad era un gran riesgo general del negocio y no simplemente una función de la tecnología, la cadena de reportes para CISOs comenzó a moverse fuera de la organización del CIO y los CISO empezaron a reportar al CEO, CFO o COO. Esta evolución aún está en marcha, pero volverá a cambiar pronto cuando el CIO reporte al CISO.
¿A qué se deberá este cambio?
Los CISO están poniendo en marcha sus programas de Seguridad de la Información, transformando la seguridad de un producto de caja que el CIO compró de un proveedor a una operación que combina productos, personas y procesos. Esas operaciones están ganando la disciplina y el rigor de un circuito de retroalimentación, doloroso pero eficaz, gracias a las pruebas constantes de los atacantes.
Los CISO están descubriendo que los aspectos básicos de TI como la administración de redes, la administración de activos y el parcheo son fundamentales para asegurar las operaciones. Sin embargo, en muchas organizaciones éstas están mal administradas.
Como WannaCry y Petya demostraron dolorosamente, había millones de máquinas sin parches durante semanas y con SMB abiertas al mundo. El parche es difícil y la SMB abierta es tonta, pero los sistemas sin parche con SMB abierta son una negligencia grave y este es sólo un ejemplo reciente y de alto perfil. Es imposible asegurar una red empresarial cuando la organización no puede manejar el bloqueo y el abordaje básicos de TI.
Para asegurar sus redes, las empresas deben comenzar a operar sus programas de TI, aumentando la disciplina tan fuerte como sus equipos de operaciones de seguridad. A medida que la realidad de esta verdad crece, veremos un cambio: el CISO poseerá no sólo las funciones de seguridad, sino toda la infraestructura básica, es decir, redes, dispositivos y sistemas operativos.
El CIO será el propietario de los procesos de negocio: el valor fundamental de TI que hace el negocio más eficiente. Por su parte, el CISO es el propietario de la infraestructura básica que hace que la red funcione. De esta manera, el CIO posee las aplicaciones que se ejecutan en esa infraestructura y los procesos de negocio que soportan.
-Jeffrey Guy, CIO EEUU
