Conecta con nosotros

Opinión

Defender la seguridad desde arriba: ¿por qué los CISOs deben tener más presencia en la directiva de empresas?

Publicado el

Como sabrá cualquier responsable de negocios o del área de tecnología, siempre ha existido una jerarquía entre los distintos roles directivos de una organización, empezando por el CEO, seguido por el CFO o COO y apoyado a su vez por el CRO o CIO. A todos estos cargos se ha unido recientemente el CISO, así como ha sucedido con la ciberseguridad en general, pero en última instancia. 

Hace escasos cinco años, un sorprendente 74% de ejecutivos no contemplaba al CISO entre los directivos de la empresa. Incluso, más del 60% creía que este fracasaría en otras funciones que no estuviesen relacionadas con la seguridad.  

Afortunadamente, estas opiniones están cambiando dentro de las organizaciones gracias a una mayor profesionalización del papel del CISO. Según un estudio reciente sobre el tema, un 68% de los directivos reconoce que la seguridad ha adquirido mayor importancia y un 77% considera que el CISO es cada vez más influyente dentro de su compañía. 

Esta creciente notoriedad no siempre es positiva. Las funciones del CISO, y la ciberseguridad en general, se dan normalmente por sentadas y solo llaman la atención por otros motivos. Al CISO siempre se le pedirá que rinda cuentas ante la directiva cuando se produzca una infracción grave, pero rara vez se le premiará por aquellos resultados derivados de unas buenas prácticas en seguridad.    

Lo que estamos viviendo con la pandemia de coronavirus puede servirnos como ejemplo de esto. El CISO se sitúa ahora en el centro de una estrategia de negocio un tanto acelerada. Las organizaciones están intentando adaptarse rápidamente a una forma de trabajo más en remoto, y es responsabilidad del CISO identificar posible obstáculos, parchear brechas y asegurar que haya una transición segura hacia este nuevo modelo de trabajo, así como enfrentar cualquier consecuencia. 

El hecho de que haya mayor énfasis en la ciberseguridad no indica necesariamente que el orden en la jerarquía directiva de las organizaciones haya cambiado: un 62% de las empresas de la lista Fortune 500 cuenta con un CISO en su plantilla, pero solo un 4% confiere cierto liderazgo a dicho responsable. Esta falta de influencia también se refleja de manera interna, ya que más del 50% de los CISOs admite tener relaciones tensas con otros departamentos de la empresa, incluido el financiero.

Sigue habiendo una desconexión entre el reconocimiento del papel que desempeña el CISO y la autoridad o influencia que este puede tener dentro de su organización. Algo que se debe, al menos en parte, a la capacidad de los profesionales de la seguridad para comunicarse de manera eficiente con otros ejecutivos.

Para salvar esta discrepancia, los CISOs deben aprender a defenderse en el lenguaje que manejan otros responsables de la organización, convirtiéndose en un miembro más de la directiva.

Hacerse un hueco en la junta

Hay varios factores que interrumpen esa promoción interna de los CISOs. Para empezar, su lenguaje acerca de los riesgos en seguridad es relativamente nuevo en el entorno directivo a diferencia del responsable financiero, quien ha informado y reportado acerca de riesgos económicos a otros directivos durante años mediante modelos, nomenclaturas y métricas que cada miembro de la junta de una empresa puede entender fácilmente.

No sucede así con la ciberseguridad. Son pocas las personas fuera de este ámbito que están familiarizadas con sus fundamentos, por no hablar de que el panorama de amenazas cambia constantemente y se necesitan unos conocimientos muy específicos para defender en la actualidad a las organizaciones.

Las métricas también son menos tangibles que en otras áreas. Proteger a una empresa no es una ciencia exacta. Hay ocasiones en las que no siempre se puede ofrecer una respuesta tranquilizadora. No todo es blanco o negro, y las opiniones pueden cambiar de la noche a la mañana. Una nueva vulnerabilidad hace que algo que hoy estaba protegido pase a estar en peligro.

Dado que pocos miembros de la junta directiva cuentan con experiencia en ciberseguridad, los profesionales en esta materia necesitan explicar todo en términos sencillos, lo cual puede restar importancia a estas cuestiones y percibir sus soluciones como menos complejas de lo que son.

La clave para superar estos obstáculos reside en la concentración. Los principales directivos de una organización quieren asegurarse de que los mecanismos de control funcionan de manera eficiente y que la empresa está haciendo lo suficiente para gestionar posibles ciberamenazas. Quieren saber en qué medida los recursos destinados a la seguridad ayudan a la dirección estratégica y al funcionamiento exitoso del negocio. El trabajo de los CISOs consiste en averiguar cómo ofrecer esas garantías sin necesidad de hacer presentaciones técnicas sobre el número de ordenadores que se han parcheado o la prevalencia de la última vulnerabilidad descubierta.

Crear una cultura de seguridad en toda la organización

La ciberseguridad debe estar presente en las reuniones de la directiva más allá de una sesión de 15 minutos al trimestre. Necesita establecerse como un componente central de cada decisión de negocio. El CISO debe sentarse en la sala de juntas al lado del CEO, el COO o el CIO, entre otros, como uno más, permaneciendo en dichos encuentros de principio a fin.

Debemos cambiar la percepción de la ciberseguridad, reposicionando el papel del CISO no solo como un asesor necesario para dichos menesteres sino como un asesor crítico para el negocio. No está únicamente para apagar fuegos. Debe ser parte integral del funcionamiento seguro y exitoso de las organizaciones. Como líder, su trabajo pasa asimismo por concienciar e impulsar una cultura de ciberseguridad en la empresa. A medida que aumente el conocimiento de los usuarios, también lo hará la confianza en la autoridad del CISO. Ese es el verdadero objetivo final.

En lo que respecta a políticas dentro de la sala de juntas, la confianza puede eliminar cualquier barrera. Permite al CISO influir en la estrategia y ampliar la conversación sin tener que justificar su presencia en dicho encuentro.

Para llegar a este punto, es necesario que haya un cambio de mentalidad, y eso únicamente es posible mediante la creación de una cultura de seguridad en la organización. El lenguaje de la ciberseguridad debe convertirse en algo natural y conocido a todo los niveles. Todos los profesionales deben saber a qué amenazas se enfrentan y el papel que cada uno desempeña a la hora de disuadirlas.

Los CISOs necesitan evitar entablar conversaciones demasiado técnicas y centrarse en el valor que su trabajo puede aportar a la organización. Todas las conversaciones deben comenzar y terminar hablando del riesgo: el riesgo al que se enfrenta tanto la empresa como sus datos o reputación, además del riesgo que supone no hacer nada para proteger a la compañía. En este sentido, quizá es buna idea echar mano del lenguaje que utiliza el responsable financiero para describir las amenazas de la misma manera en vez de limitarse a enumerar los peores escenarios posibles.

La junta directiva debe percibir a los CISOs como gente de negocios, no como tecnólogos. Estos deben conocer aquellos impulsores de ingresos a largo plazo y demostrar su entendimiento respecto a los desafíos tácticos a los que se enfrenta la empresa en ese preciso momento. Esto tiene que quedar reflejado en sus interacciones y narrativa, asegurándose de que el resto de directivos vea que están alineados en cuanto a retos y prioridades de negocio.

Firmado: Andrew Rose, CISO interno de Proofpoint en la región de EMEA

Periodista tecnológico con más de una década de experiencia en el sector. Editor de MuyComputerPro y coordinador de MuySeguridad, la publicación de seguridad informática de referencia.

Lo más leído