Los CISO deben revisar la estructura organizativa como parte de sus planes estratégicos generales y tras los cambios en las necesidades de la empresas causados por la pandemia.

Con más de dos décadas de experiencia en seguridad empresarial, Daniel Schowalbe ha visto cómo ha cambiado la profesión y cómo ha evolucionado la estructura de los equipos de protección. Cuenta, por ejemplo, cómo su anterior departamento informaba sobre las operaciones de red cuando él comenzó en 1990. Enterrado profundamente en las labores de TI, tenía la sensación de que “la gente no quería hablar con nosotros”.

Pero a lo largo de los años, la seguridad pasó de estar bajo el paraguas de operaciones de red a tener una oficina especializada con el CISO como líder. De este modo, la ciberseguridad comenzó a diversificarse. “Había un equipo central, pero comenzamos a identificar a personas de otros departamentos que también pudieran asumir un rol de defensa. No formaban parte de nuestro grupo, pero sí contaban con ciertas labores específicas”. Schwalbe consideró que el valor de esos nuevos socios fue incalculable y que mejoró la eficiencia de sus técnicos.

Esa lección todavía influye hoy en sus decisiones como CISO de Domain Tools. Después de una fusión en 2021, ahora está elaborando tácticas para organizar mejor sus recursos. Se está inclinando por un departamento centralizado con enlaces en los diversos equipos comerciales que pueden aprender sobre lo que está haciendo cada equipo, identificar más rápidamente sus riesgos y servir como asesores. “Un equipo de seguridad funciona mejor cuando cuenta con la confianza y el respeto de los demás trabajadores de la organización”, aseguró. “Es necesaria la colaboración y la proactividad en lugar de esperar a que nos lleguen las alertas”. Además, añadió, los ejecutivos veteranos de seguridad creen que los CISO deben revisar la estructura organizativa como parte de sus planes estratégicos generales y después de los grandes cambios en las necesidades empresariales, dirigido a un mundo pospandémico basado en el trabajo en remoto, la nube y en la digitalización, en general.

Encontrar el modelo adecuado en el momento adecuado

Los CISO tienen una selección de diferentes modelos organizacionales, desde los altamente centralizados hasta federados y en diversos grados intermedios. Los expertos enfatizaron en que deben tomarse el tiempo para determinar qué estrategia funcionará mejor y cómo implementarla. “Estos esfuerzos garantizan un buen retorno de la inversión”.

“A menudo, no se trata de contratar gente nueva, sino de cómo hacer que la organización opere de manera más segura para ser más efectiva”, explicó Adam Goldstein, profesor en Champlain College. Los ejecutivos suelen emprender la reestructuración del departamento de seguridad después de un incidente, añadió Jack O’Meara, director de seguridad cibernética en Guidehouse. “Pero creo que deberían reevaluarse con más frecuencia debido a las amenazas en constante evolución y la dinámica cambiante del lugar de trabajo”. Los CISO encontrarán que cada estructura organizacional tiene ventajas y desventajas, así como beneficios y desafíos al implementarlas.

Por ejemplo, O’Meara indicó que los CISO suelen ver que es más fácil ejercer el control en un modelo centralizado, pero pueden renunciar a una visibilidad completa de toda la tecnología que se utiliza dentro de la organización, especialmente si hay mucho shadow IT desplegado en sus unidades de negocio. Por otro lado, pueden asociarse más fácilmente con unidades de negocio bajo un modelo federado, pero deben ser más diligentes en establecer y mantener un gobierno sólido para garantizar que los estándares de seguridad se mantengan de manera consistente en todas las áreas de la empresa.

Teniendo en cuenta esas consideraciones, O’Meara explicó que muchos CISO optan por un modelo híbrido, centralizando algunas funciones de seguridad e incorporando o vinculando la seguridad con las diversas unidades de negocio como una forma de obtener los beneficios de cada modelo y minimizar las posibles dificultades.

Tiempo para evaluar

No es sorprendente que los expertos digan que no hay un solo modelo que funcione mejor para todos. Sin embargo, también están de acuerdo en que los CISO deberían tomar decisiones deliberadas sobre cómo organizarse y cuándo reestructurarse, en lugar de simplemente seguir con lo que han heredado o siempre han hecho. Joe Nocera, líder de ciberseguridad y privacidad de PwC, aconsejó a los CISO que consideren varios factores al pensar en este tema. Deben considerar qué servicios de toda la empresa ven sus departamentos como centrales para ser entregados a escala, como un centro de operaciones de seguridad, gestión de acceso e identidad y controles de políticas. “Estas cosas tienden a proporcionarse como un servicio empresarial”.

Los CISO también deben evaluar cómo se alinea la seguridad con las unidades de negocio, agregó. “Donde la seguridad comprende las unidades comerciales y puede ayudar a personalizar la protección, se pueden incorporar recursos de negocio”. Y con la creciente adopción de la nube y DevOps, se debe pensar en cómo respaldan a los equipos de desarrollo de aplicaciones y cómo se puede beneficiar el desarrollo ágil y poner la seguridad en las primeras etapas de ese proceso. “Si la empresa no ha priorizado la seguridad, yo prefiero un modelo centralizado. Pero si tiene procesos y gobernanza, puede comenzar a expandirse”.

-Mary K. Pratt, cio.com