Las empresas son cada vez más complejas. Los ataques son interminables. Las consecuencias de los ataques son cada vez más tóxicas. Y aunque las empresas siguen invirtiendo grandes cantidades de dinero en herramientas defensivas, muchas siguen teniendo dificultades para protegerse incluso contra tácticas comunes como el phishing por correo electrónico. Mientras tanto, la IA promete envalentonar a una comunidad global de hackers ya decidida. Esto hace que el panorama de amenazas peligrosas sea aún más traicionero.
Muchas empresas recurren al CISO para gestionar estos retos. Pero el nivel de autoridad que otorgan a esta función varía enormemente. En última instancia, todas las empresas necesitan defenderse, detectar y recuperarse de un ataque. Pero el papel del CISO en la ejecución de estas prioridades difiere en gran medida entre las empresas. Y a menudo, depende de dónde se encuentre la organización en su curva de crecimiento.
Las responsabilidades y la autoridad del CISO deben alinearse con las prioridades empresariales generales de la empresa. Esto incluye el valor otorgado a los recursos de datos, así como los niveles de riesgo que las empresas están dispuestas a asumir cuando se produce un ataque. Cualquier desajuste podría restar seguridad a la organización.
Por eso es tan importante la estrecha coordinación entre el CISO y el CIO. Los directores de sistemas de información suelen estar más arriba en la organización, aunque no siempre es así. En cualquier caso, deben conocer el nivel de madurez en ciberseguridad de su organización. Sólo entonces puede el CIO facultar al CISO para tomar las medidas necesarias con las que cumplir con sus deberes fundamentales.
El papel del CISO es cada día más importante
Esto es lo que los líderes empresariales necesitan saber sobre el papel de la ciberseguridad en sus organizaciones, y el tipo de persona que necesitan para dirigir estos equipos de seguridad a medida que la empresa evoluciona.
- Nivel de madurez 1: En las organizaciones menos maduras, los equipos de seguridad son simples ejecutores de órdenes. No pueden establecer políticas de forma independiente en toda la empresa. Y, a menudo, un equipo de TI se encarga de muchas de las responsabilidades diarias necesarias para mantener el entorno tecnológico en funcionamiento. En esta fase, las empresas ni siquiera suelen tener un CISO dedicado. En su lugar, el departamento de «ciberseguridad» está formado por unos pocos trabajadores técnicos que pueden, por ejemplo, configurar un servidor. Y a menudo dependen de un director de TI de nivel medio, tal vez incluso del CIO. En estas organizaciones, la ciberseguridad se convierte en un esfuerzo de «marcar la casilla». Normalmente, las empresas son más pequeñas, con una huella de TI más concentrada. También suelen ser empresas que no cotizan en bolsa. A diferencia de las empresas públicas, no tienen que rendir cuentas a los accionistas, que cada vez dan más importancia a la ciberseguridad. Las empresas privadas tampoco están tan preocupadas por la necesidad de auditar sus sistemas en respuesta a las exigencias normativas. En cambio, otros objetivos, como el rápido crecimiento de sus ventas, suelen tener prioridad. De hecho, las medidas de ciberseguridad que imponen cargas a los usuarios finales son a menudo un impedimento para ese objetivo. Por ejemplo, algunas organizaciones pueden renunciar a la autenticación multifactor debido a la carga añadida que supone para los usuarios
Así es el Ciclo de maduración del CISO
- Nivel de madurez 2: A medida que evoluciona la empresa, también debe hacerlo el entorno informático. Hay más empleados, más flujos de trabajo y más puntos de contacto con clientes y proveedores. La superficie de ataque potencial para los piratas informáticos se amplía. De repente, la ciberseguridad se vuelve más importante. Muchas empresas en esta fase nombrarán a su primer CISO. Pero a este nivel, el papel a menudo no incluye la autoridad para diseñar y ejecutar la estrategia. En su lugar, los CISO suelen ser expertos técnicos. Incluso pueden pasar algún tiempo codificando junto a sus empleados. En esta fase, la empresa también empieza a incorporar experiencia en cumplimiento de normativas. Y pueden poner en marcha capacidades iniciales de supervisión y auditoría. A medida que el equipo de seguridad crece, la brecha con el departamento de TI empieza a cerrarse. Ahora ambos trabajan juntos para identificar las áreas en las que no están cumpliendo los objetivos de seguridad. Ahora, el CISO y el CIO interactúan más a menudo
- Nivel de madurez 3: Con el tiempo, el CISO necesita autoridad y autonomía para implantar controles de seguridad en toda la organización. En esta fase, el CISO posee más funciones tecnológicas. Se encarga de defender, detectar y recuperarse de los ataques. Los CISO pueden incorporar especialistas en áreas como la seguridad en la nube. O pueden introducir nuevas funciones, como la gestión de identidades y accesos. A este nivel, el CISO sigue sin tomar decisiones unilaterales. Otros ejecutivos se oponen a medidas que creen que afectarán a la productividad o alterarán los flujos de trabajo. Aunque la ciberseguridad ha cobrado importancia, la dirección de la empresa sigue controlando al equipo de seguridad. Mientras tanto, TI se ha convertido ahora en un equipo separado encargado de supervisar la infraestructura central. Están más preocupados por poner en marcha servidores, desplegar nuevos entornos de desarrollo y gestionar el ciclo de vida de todos los componentes implicados. En los mejores casos, sin embargo, el CIO empieza a ver al CISO como un homólogo más importante. Ahora empiezan a trabajar al unísono para garantizar que los objetivos de TI y de seguridad están alineados
- Nivel de madurez 4: Aquí es donde el CISO adquiere poder. El CISO tiene acceso directo a los altos ejecutivos y a menudo participa en reuniones estratégicas con el consejo de administración, asesorando sobre los riesgos de ciberseguridad y la integración de las prácticas de seguridad en las estrategias empresariales generales. Ahora, el CISO se centra más en la gestión de riesgos. Trabaja con el equipo directivo para determinar la tolerancia al riesgo de la empresa. Y, a continuación, crea las políticas y procedimientos adecuados en toda la empresa para reflejarlo. Por ejemplo, muchos CISO en esta etapa de madurez están hablan con la junta directiva sobre cómo la empresa puede empezar a aprovechar la tecnología de IA y defenderse contra las nuevas amenazas que propicia
- Nivel de madurez 5: En las empresas que han alcanzado esta última etapa, la seguridad y el resto del negocio operan en armonía. Es probable que sigan principios de diseño seguro, en los que la ciberseguridad se incorpora a la base de todo lo que hace la empresa. Los sistemas esenciales se prueban continuamente para garantizar que el equipo pueda recuperarlos en caso de incidente. Y, por lo general, todos los empleados siguen principios de seguridad de datos bien establecidos, como la autenticación multifactor.
Aplicar estos principios
Cuando los CISO comprenden cómo sus funciones y responsabilidades reflejan la madurez cibernética de la organización, pueden prepararse mejor para lo que viene. Y a medida que evolucionen las propias habilidades del CISO, éste empujará a la empresa a considerar más seriamente sus defensas digitales.
Cuando se trata de ciberseguridad, no hay dos empresas iguales. Cada empresa tiene una pila tecnológica diferente y prioridades distintas. Las empresas públicas tendrán necesidades muy diferentes a las privadas. Las pequeñas empresas tienen limitaciones diferentes a las grandes empresas.
Como resultado, los CISO deben mantenerse flexibles y adaptarse. Las empresas deben sopesar los riesgos y recompensas únicos en cada fase del ciclo de maduración. Al comprender las características de cada etapa, los CIO y otros líderes empresariales pueden capacitar adecuadamente al CISO para que tenga éxito.