El constante incremento de las ciberamenazas ha elevado a la ciberseguridad a una de las grandes prioridades de las organizaciones actuales. Como consecuencia, los departamentos de TI sus CISO se han convertido en piezas clave a la hora de gestionar su seguridad y estar preparadas para hacer frente a cualquier amenaza.
Hasta hace relativamente poco, la máxima responsabilidad de todo lo relacionado con la seguridad TI de las organizaciones recaía sobre el CIO. Sin embargo, la proliferación de ciberamenazas, cada vez en un mayor volumen y más sofisticadas, ha llevado a la creación de la figura del CISO.
Se trata de un papel desempeñado a nivel ejecutivo con el objetivo de alinear la seguridad TI con los objetivos de negocio. De esta forma, se garantiza que la información de la compañía está protegida adecuadamente.
Para ello, debe velar por la implantación de políticas de seguridad adecuadas, garantizar la protección y privacidad de los datos, supervisar la gestión del control de accesos, o tener responsabilidad sobre el equipo de respuesta ante incidentes, entre otras muchas cuestiones.
Como responsable de la seguridad de la información de la compañía, es importante que desempeñe sus funciones de forma transversal, alineando la seguridad de la información con los objetivos de negocio y dentro del organigrama estructural de la organización.
Esto implica aunar muchas responsabilidades que deben estar alineadas para garantizar esa protección de la información. Además, teniendo en cuenta que las necesidades en ciberseguridad cambian constantemente, es importante que los CISO mantengan y desarrollen una serie de habilidades para seguir evolucionando.
No se trata únicamente de habilidades técnicas, sino de una serie de cualidades para hacer frente a las ciberamenazas actuales, y futuras, y convertirse en lo que muchos ya denominan ‘el CISO de próxima generación’.
Estas son las cinco cualidades imprescindibles a tener en cuenta.
Muestra un enfoque estratégico
Los CISO de próxima generación se distinguen por su visibilidad y confianza. Enmarcan los problemas desde una perspectiva de negocio y no tanto desde el punto de vista técnico o táctico. Se presentan como líderes visionarios y no como bomberos solo para ser desplegados en caso de emergencia.
Es importante que tengan una visión estratégica amplia en torno a la ciberseguridad y sus vectores de amenazas en evolución y mandatos regulatorios. Además, deben tener buenas dotes de comunicación, hablar de forma que la empresa lo entienda perfectamente para alinear los conceptos de ciberseguridad con los objetivos y la estrategia de la organización.
Equilibra la oportunidad con el riesgo
No todos los riesgos son malos o dañinos, pero el riesgo no gestionado ciertamente sí puede serlo. Si el CISO afirma que todo riesgo es malo y debe eliminarse, es posible que no conecte con otros responsables de la organización y obstaculice planes. Los CISO deberían ser habilitadores en lugar de bloqueadores.
Deben ayudar a los equipos ejecutivos a equilibrar las oportunidades con el riesgo. ¿Cuál es el nivel de tolerancia? ¿Dónde está la línea que una empresa no debe cruzar? Estas son preguntas que deben ayudar a responder. El riesgo es una decisión de negocio y no una decisión de seguridad: si bien es el CISO el que inicia la discusión sobre el riesgo y la recompensa, es la empresa la que debe decidir si quiere aceptar el riesgo o hacer algo al respecto.
Permite que brille la experiencia de liderazgo
Los CISO de próxima generación son personas carismáticas, innovadoras, bien conectadas y muy respetadas en toda la organización y la industria de la seguridad. Nunca desperdician la oportunidad de mostrar el valor que la seguridad de la información aporta al negocio.
Además, participan regularmente en eventos de la industria y, a menudo, comparten sus experiencias en las redes sociales, así como en los medios de comunicación, lo que ayuda a mejorar su reputación e influencia.
Entiende el negocio, se gana la confianza y practica la empatía
Los CISO deben comprender el contexto de negocio detrás de los desafíos a los que hacen frente los empleados diariamente, sin los que no pueden tomar las decisiones de seguridad correctas.
Asimismo, son figuras que deben ayudar a construir la confianza de los empleados, clientes, socios y partes interesadas del negocio a través del compromiso y la colaboración de forma regular. También es importante que tiendan puentes con los departamentos deben estar dispuestos a cambiar de actitud y aumentar las expectativas como parte de un ejercicio de cambio cultural más amplio.
Por su labor, deben pensar mucho sobre las implicaciones y ramificaciones de lo que están tratando de hacer y si causará fricciones. Si es así, deben ganarse proactivamente la confianza de todas las partes interesadas y ser emocionalmente inteligentes y sensibles a sus necesidades.
El idioma del CISO resuena en todos los niveles
Los CISO deben estar preparados para evangelizar su oficio a los altos ejecutivos, miembros de la junta y directores no ejecutivos. Deben ensayar las apariciones clave y visitar a los miembros de la dirección con anticipación para comprender sus prioridades y determinar la mejor manera de satisfacer sus necesidades.
Los ejecutivos de nivel C suelen ser muy exigentes en cuanto a la información que necesitan, por lo que cualquier nueva iniciativa o cambio de estrategia debe estar respaldado por estadísticas y métricas rigurosas.
En el nivel inferior, los CISO deben hablar en un idioma que sea entendido incluso por los menos técnicos. También es clave que utilicen analogías, cuenten historias y técnicas de capacitación para educar a los empleados sobre la importancia de las mejores prácticas de seguridad.
Sin olvidar la importancia de alentar al personal a pensar en cómo el riesgo puede afectarlos directamente y el impacto negativo que puede tener en la privacidad de sus datos y la empresa.
La seguridad como concepto está profundamente arraigada en la confianza y ésta es el aspecto clave que diferencia a los CISO que conocemos hasta ahora de los de ‘próxima generación’. Como expertos visionarios y expertos en ciberseguridad, desempeñan el papel fundamental de asesores y guías, se anticipan al mal tiempo y sacan a la organización de las aguas agitadas, manteniéndola resistente en tiempos turbulentos.