La ciberseguridad es uno de los retos más importantes que enfrentan hoy las organizaciones, y en la medida en que estas se sumergen en la transformación digital, será aún mayor su importancia. Pero, ¿qué papel juega el Chief Information Security Officer (CISO) en este proceso? En este breve artículo trataré de plasmar algunas ideas del papel que deberá jugar este líder dentro de la organización ante este panorama.
En resumen, el CISO es el responsable ante el Chief Executive Officer (CEO) o en su defecto ante el Chief Risk Officer (CRO) de la seguridad de la información de la organización, ya sea en formato digital o no; esto incluye muchas funciones tales como gobernanza de la ciberseguridad; gestión de riesgos y cumplimiento; desarrollo y gestión del programa de seguridad de la información; gestión de incidentes, etcétera.
Tradicionalmente su papel ha sido de tecnólogo, por lo que debe ser experto en los conceptos de seguridad, así como en las estrategias y productos para crear e implementar arquitecturas de protección; debe saber definir y difundir las políticas y estándares a los que la empresa se apegará; diseñar, implementar e innovar contramedidas; así como evaluar y seleccionar las tecnologías a utilizar, sólo por mencionar algunas.
Una de las principales tareas que tiene es la de lograr la alineación de la seguridad con el negocio, ya que esta es la única forma de alcanzar las capacidades de agilidad, adaptabilidad y resiliencia que la empresa requiere para enfrentar un entorno donde las amenazas cambian rápidamente, entendiendo por capacidad a la combinación de elementos como gente, procesos, tecnologías, políticas, prácticas y cultura que permiten que la ciberseguridad sea repetible, consistente, medible, demostrable y sensible, es decir, que responde oportuna y adecuadamente al negocio.
Por lo anterior, ahora el CISO debe evolucionar a ser un estratega para el negocio, claro, sin dejar de ser tecnólogo.
En esta nueva faceta, debe asociarse con las cabezas de las unidades de negocio para concretar el alineamiento de la estrategia de seguridad de la información con la estrategia de la organización. Debe tener gran conocimiento y entendimiento del negocio, saber qué procesos y qué datos son los más relevantes; saber qué información soporta el crecimiento y desarrollo de la empresa; debe ser un socio de confianza que provee asesoría enfocada y centrada en cómo la gestión de riesgos ayuda al negocio; ayuda a priorizar las inversiones a la vez que transmite claramente el valor que estas dan al negocio al proteger los activos de la organización.
Asimismo, entiende las implicaciones de las nuevas amenazas para la organización e identifica los ciberriesgos asociados con las nuevas estrategias que el negocio quiera realizar. Entiende en dónde debe enfocarse la empresa para atender las ciberamenazas y crea un roadmap de iniciativas basadas en los riegos que permitan alinear la ciberseguridad al apetito de riesgo establecido por la alta dirección.
Por último, el CISO debe desarrollar y mantener “capital político” y tener buen manejo de relaciones con los ejecutivos para lograr “subirlos al barco”, concientizarlos, educarlos, comprometerlos y alinearlos.
Analizando el perfil ideal, podemos identificar que requiere las siguientes competencias:
- Pensamiento estratégico. Ve más allá para identificar oportunidades futuras y traducirlas en estrategias innovadoras. Entiende la organización y su cultura.
- Atracción del mejor talento. Atrae, desarrolla y retiene al mejor talento en la organización para cumplir con los requerimientos actuales y futuros.
- Visión de negocio. Entiende el negocio, sabe cómo se usa la información para la operación del día a día y cómo relacionar su actividad con los objetivos de negocio.
- Colaboración. Construye relaciones productivas y trabaja en conjunto con otras áreas/personas para lograr los objetivos comunes. Es visible y accesible para toda la organización para generar un buen «rapport» que ayude a que las personas se enganchen con el tema de seguridad.
- Comunicación. Desarrolla y transmite información en diversos formatos que transfiere un entendimiento claro de las necesidades únicas de cada audiencia y se comunica efectivamente con ellas.
- Logra balance entre prioridades que compiten. Anticipa y balancea las necesidades de sus múltiples stakeholders. Sabe balancear el corto plazo (problemas que se presentan día a día o incidentes/crisis que surgen) vs el largo plazo (la estrategia, la alineación, etc.).
- Cultiva la innovación. Crea formas nuevas y mejores para que la organización sea exitosa.
- Analítico. Profundiza en los problemas para generar una solución adecuada.
Los rasgos distintivos que debe tener son:
- Aprendizaje ágil. Aprende activamente mediante la experimentación cuando enfrenta problemas nuevos, utilizando como fuentes de aprendizaje los éxitos y los fracasos. Aprende sobre las nuevas tecnologías, es capaz de aprender por medio del autoestudio.
- Manejo de la ambigüedad. Opera eficientemente aun cuando las cosas no son certeras o el camino a seguir no es claro.
- Orientación a la acción. Enfrenta las nuevas oportunidades y retos difíciles con un sentido de urgencia, alta energía y entusiasmo. Establece metas agresivas pero realistas.
- Ajusta su enfoque y comportamiento en tiempo real para enfrentar las exigencias cambiantes de las diferentes situaciones a las que se enfrenta.
Sus principales motivadores son: tener un rol de alta visibilidad y de gran responsabilidad; ser agente de cambio; ser el fiel de la balanza entre dirigir el cambio y gestionar los riesgos del negocio; tener un compromiso cercano con los altos líderes de la organización.
Como conclusión, podemos decir que el CISO debe:
- Tomar un liderazgo estratégico en la organización.
- Entender los riesgos en función de su impacto a la ventaja competitiva del negocio, a sus metas de crecimiento y de expansión de ingresos, es decir, cómo la ciberseguridad ayuda a generar y preservar valor.
- Cambiar su mentalidad y lenguaje para mover la conversación de seguridad y cumplimiento (lado técnico) a riesgos y gestión (lado estratégico).
- Lograr y mantener visibilidad ante la alta dirección para transmitir de forma directa y clara la importancia de los temas de seguridad.
Fuentes:
- The Cyber Risk Handbook, creating and measuring effective cybersecurity capabilities. Domenic Antonucci
- Deloitte Review Issue 19. The new CISO, leading the strategic security organization. Taryn Aguas, Khalid Kark, and Monique François
- Information Security Governance Simplified, from the Boardroom to the keyboard. Todd Fitzgerald
Deja tu comentario