El CISO actual ya no ses ejecutivo de TI de bajo perfil a cargo de la seguridad de la red, sino que son socios importantes en el C-Suite de la empresa.
Una de las amenazas más grandes de las empresas es el robo de información y los ciber ataques, por lo que es importante contar con medidas que ayuden a la protección y sobre todo incorporar en el equipo de trabajo a un Oficial de Seguridad de la Información (CISO), quien comprenda la estrategia comercial y la gestión de riesgos, no sólo la ciberseguridad.
"El rol de CISO se ha desarrollado a medida que el impacto de la ciberseguridad se ha vuelto preponderante y ha evolucionado la conciencia sobre el riesgo comercial causado por la ciberseguridad", dice Jeffrey Weber, director ejecutivo de Robert Half Technology.
Los CISO actuales ya no son ejecutivos de TI de bajo perfil a cargo de la seguridad de la red, sino que son socios importantes en el C-Suite de la empresa, lo que ayuda a las mismas a comprender y administrar los riesgos de seguridad más exhaustivamente que en el pasado.
Para tener al CISO mejor calificado y que garantice que la empresa estará protegida ante cualquier amenaza, se debe elegir a una persona que cuente con las siguientes características.
Comunicación
Para tener éxito, los CISO necesitan relaciones sólidas con sus compañeros ejecutivos.
"Comunicar los riesgos de ciberseguridad a los líderes empresariales de una manera clara es lo que permite la toma de decisiones. Esto comienza con la destilación de requisitos de seguridad de la información, objetivos e informes en un lenguaje que la junta entiende", menciona Blake Angove, director de servicios de tecnología en la empresa de contratación LaSalle Network.
Visión para los negocios
La mayoría de los CISO surgieron a través de organizaciones de TI donde pasaron años monitoreando y analizando los riesgos de seguridad. El CISO de hoy necesita poner esa información en contexto para el negocio, lo que requiere una comprensión profunda de los fundamentos del negocio.
"El CISO no es simplemente una posición técnica que define un conjunto de requisitos internos para la implementación de tecnología", dice Weber.
"Los CISOs deben comprender la complejidad de las relaciones entre la tecnología, el impacto comercial y el uso de esta, con el fin de educar a la empresa sobre el impacto de los riesgos de seguridad".
Visión estratégica
Los CISO no deberían verse sólo como monitores y ejecutores de cumplimiento. También necesitan comprender el apetito de riesgo de la organización, contextualizarlo contra las tendencias de la industria, y utilizar su conocimiento especializado para ayudar a guiar la toma de decisiones.
"Equilibrar el riesgo y el valor del negocio puede ser difícil", dice Angove. "Necesitan caminar una línea entre asegurar la organización y habilitar el negocio. Si los CISO se preocupan solamente por la administración de la seguridad, están configurados para fallar”.
Mentalidad de aprendizaje
Los CISO viven en un mundo de cambios constantes. Los principales desafíos incluyen defender una superficie de ataque compleja, lidiar con una escasez aguda de talento de seguridad, remodelar la cultura de sus organizaciones y descubrir la mejor forma de aplicar inteligencia artificial y otras tecnologías emergentes.
No hay una biblia de mejores prácticas para manejarlo todo. Es un acto de malabarismo que requiere un deseo proactivo de aprender.
El aprendizaje debe extenderse más allá de las paredes de la oficina. Los CISO deben mantenerse activos con conferencias y seminarios, así como buscar oportunidades para presentar ante la comunidad cibernética los escenarios de riesgo y amenaza.
En una encuesta de 300 jefes de seguridad de información publicada por ServiceNow, una gran mayoría de CISOs consideró que no están preparados para responder a las violaciones de datos. La abrumadora cantidad de amenazas entrantes dificulta la priorización de lo que requiere respuesta inmediata.
Las organizaciones pueden ser golpeadas por miles de ataques cibernéticos cada día. Si los CISOs no cuentan con las características necesarias para priorizar y comunicar los riesgos, las empresas tienen un riesgo latente de, incluso, ver paralizadas sus operaciones y sus datos confidenciales terminarían comprometidos.