La evolución del perfil del CISO no es ni mucho menos algo nuevo. De hecho, durante la última década, se ha producido un cambio considerable pero gradual en lo que implica esta función. En un primer momento se le llegó a conocer como el rol que siempre respondía «no» y al que se le culpaba de cualquier incidente de seguridad real o percibido.
Hoy en día, la clave para ser un CISO moderno no tiene por qué estar totalmente relacionada con la seguridad. Más bien se trata de tener la capacidad de comprender y distinguir entre los diferentes métodos de comunicación necesarios para satisfacer las cada vez más variadas necesidades de la plantilla y de la empresa. Ante un panorama de amenazas que evoluciona más rápido que nunca, la comunicación hacia arriba, hacia los lados y hacia abajo sobre el nivel de riesgo es crucial para cualquier CISO que quiera mantener protegida su organización.
Comunicación ascendente
Tal y como señalaba uno de mis colegas en un reciente artículo sobre el tema, todo el sector se ha interesado en el papel cada vez más importante que desempeñan los CISO como educadores de sus consejos de dirección. A medida que más países se plantean la adopción de normativas de ciberseguridad de gran alcance, los directivos de las empresas se dirigen a los CISO en busca de orientación sobre cómo deben proceder. Este es un cambio muy positivo respecto a las interacciones más transaccionales que los CISO sostenían con los consejos de administración hace diez años.
Estar al corriente de los últimos avances en ciberseguridad es todo un desafío, y saber prever las implicaciones jurídicas y financieras de las distintas legislaciones sobre ciberseguridad vigentes y previstas puede resultar especialmente complicado. Muchas de las recientes disposiciones en materia de ciberseguridad, por ejemplo, sólo se aplican a las administraciones públicas, pero esto no significa que no vayan a tener repercusiones en el sector privado. Cuando el gobierno aprueba una norma, suele rechazar cualquier relación de colaboración con una o varias entidades que no cumplan el mismo nivel de exigencia.
Las empresas que buscan contratos con la Administración también se rigen por las normas de ciberseguridad que afectan al sector público. Algunos ejemplos de ello son DORA, SREN o NIS2. Se pretende que la Directiva NIS2, la legislación a aplicar en toda la UE en materia de ciberseguridad, refuerce el nivel general de ciberseguridad en la UE. En virtud de esta Directiva, las empresas consideradas por los Estados miembros operadores de servicios esenciales -incluidos los principales proveedores digitales, como los motores de búsqueda, los servicios de computación en nube y los mercados en línea- deben adoptar medidas de seguridad apropiadas y notificar los incidentes graves a las autoridades nacionales competentes.
Tratar de garantizar que la postura de ciberseguridad de una organización cumple con esta normativa podría ser su único cometido a tiempo completo. Parte del reto al que se enfrentan los CISO es saber cómo hacer que el consejo de dirección entienda cuál es el riesgo real para la organización y evitar que llegue a producirse un momento de pánico que tan a menudo experimentan los directivos cuando el riesgo de amenaza se comunica demasiado tarde o sin que exista un plan de recuperación. Con un ritmo de cambio regulatorio que no parece que vaya a ralentizarse, la capacidad de los CISO para comunicar hacia arriba será vital para el éxito continuado del negocio.
Comunicación lateral
A la par que crece la importancia de la ciberseguridad en la organización, también lo hace la categoría de sus responsables. Con la C en su título, el CISO ya es un auténtico directivo: ese umbral ya se ha superado. Ahora bien, esto ha hecho que la comunicación lateral se haya hecho imprescindible.
El CISO tiene una gran variedad de responsabilidades: debe responder de la estrategia de seguridad de toda la empresa, así como de todas las identidades digitales, dispositivos y sistemas que la acompañan. Si la seguridad de cualquiera de estos elementos fallara o se pusiera en riesgo, la organización estaría en peligro y la continuidad del negocio se vería afectada. Sin embargo, es poco habitual que un CISO asuma directamente esta responsabilidad. Esto se debe a que quien dentro de la empresa sea propietario del punto final (dispositivos, sistema, supervisión y gestión) es el responsable último de garantizar su seguridad. A menudo, esto recae en el CIO, pero otros miembros de la alta dirección también están tomando cartas en el asunto a medida que la tecnología se convierte en un elemento cada vez más central de sus operaciones.
Para que esto sea posible, los CISO tienen que comunicarse con sus homólogos de la dirección sobre su responsabilidad compartida y los objetivos acordados. También deben combinar estos elementos con la narrativa, la negociación y la venta para garantizar su adhesión a la estrategia y la función en cuestión. Sólo así podrán los CISO establecer la intensidad de relaciones necesaria para poder contar con sus colegas líderes a la hora de cumplir las metas y objetivos de seguridad que contribuyen a la consecución de los objetivos empresariales de la organización.
Comunicación descendente
La comunicación descendente es, sin lugar a duda, el tipo de comunicación más importante, especialmente cuando se trata de hacer que los empleados colaboren activamente o de conseguir que apoyen determinadas ambiciones. Hay muchas personas en la función de seguridad -sobre todo analistas- que no están dispuestas a pasarse el día revisando archivos de registro de incidentes. En lugar de hacer este monótono trabajo, los analistas suelen estar mucho más interesados en proporcionar a sus empresas conocimientos profundos que puedan ayudarles a descubrir posibles puntos débiles en sus defensas o fallos que ya se hayan producido.
Al comprometerse con aquellos miembros de su personal que tienen un interés genuino en ofrecer soluciones que mantengan la seguridad de las empresas y las hagan avanzar más rápidamente, los CISO pueden contribuir a una retención mayor del personal, lo que cada día es más difícil en un mercado altamente competitivo. Esto, a su vez, genera mejores resultados gracias a una mayor coherencia de la plantilla. Un CISO que sabe cómo comunicar los objetivos y asegurarse de que un equipo esté motivado para cumplirlos es el que tendrá una mayor retención de personal a corto y largo plazo.
Una panorámica más completa
La figura del CISO se empezó a forjar en un momento en el que las organizaciones necesitaban a alguien que se responsabilizara de las «cosas» de la seguridad informática. A medida que la tecnología ha evolucionado y se ha convertido en un elemento central para el éxito empresarial, también lo ha hecho la responsabilidad y el conjunto de habilidades necesarias del CISO. Con menos atención que nunca a las herramientas, las amenazas e incluso la gestión de riesgos, para el éxito del CISO de hoy, nada es tan importante como averiguar cómo hacer que su empresa sea más eficiente, esté mejor conectada y, por lo tanto, funcione mejor, a través de una comunicación más sólida. Del mismo modo, mientras que antes la comprensión de la tecnología era fundamental para el puesto, el CISO de hoy necesita un conocimiento más profundo de la empresa en su conjunto y la capacidad de dialogar sobre ella.
El trabajo de CISO siempre ha exigido personas flexibles, adaptables y apasionadas por la seguridad. Pero en el mundo actual, se trata tanto de liderazgo empresarial y comunicación como del propio aspecto de la seguridad. En una organización con visión de futuro, si un CISO no puede entender y hablar del negocio, tiene pocas o ninguna posibilidad de vender las prioridades empresariales centrales de su misión a la junta directiva, ni de conseguir que el resto de la organización se implique en las acciones necesarias para lograrlas.
La entrada El nuevo modelo de CISO: la comunicación es primordial es original de MuySeguridad. Seguridad informática.