La ciberseguridad se ha convertido en un tema crucial. Sin gestionarlo de manera súper profesional, una empresa puede convertirse en el objetivo de hackers con graves consecuencias para sus finanzas y su reputación. En la cima de la jerarquía se encuentra el CISO y su importancia ha llegado a tal que a menudo es el interlocutor directo de la dirección general…
Una violación de datos puede costarle millones a una empresa e incluso tener un impacto en la retención de clientes. Los efectos pueden sentirse durante años. Para afrontar tales amenazas, es esencial para las empresas de cierto tamaño contratar un CISO.
Un CISO (Chief Information Security Officer) es un ejecutivo encargado de la ciberseguridad, es decir, la protección de datos críticos.
¿Qué hace un CISO?
Un CISO pasa su semana interactuando con sus equipos del departamento de TI, uno de los cuales está compuesto por profesionales de la seguridad.
Entre las tareas que le corresponden se incluyen:
- La elaboración y dirección de una estrategia de ciberseguridad.
- La prevención y detección de ciberataques,
- El diseño de programas de formación en concienciación sobre seguridad, ya que a menudo, es por la negligencia de un simple empleado que el sistema puede estar en riesgo.
- Informar a la dirección sobre los procedimientos de ciberseguridad implementados.
- La evaluación del monto de las inversiones necesarias en ciberseguridad.
El CISO elabora recomendaciones basadas en los últimos hallazgos en ciberseguridad – ya que se descubren nuevas vulnerabilidades con regularidad – para evaluar si se necesita actualizar la infraestructura y planificar nuevas herramientas de seguridad ante nuevas amenazas.
El CISO también está en contacto frecuente con su jerarquía. Debe comunicar regularmente su visión en cuanto a ciberseguridad y asegurar que todos estén alineados con sus objetivos.
Si ocurriera un incidente mayor, el CISO participa en el diseño e implementación del plan de recuperación tras un ataque que haya perforado el sistema de defensa existente. Habitualmente se encarga de la recuperación del control de las operaciones.
¿Todas las empresas necesitan un CISO?
Todo depende del tamaño de la empresa. Lo que está claro es que hoy en día es imprescindible tener al menos a una persona asignada a la ciberseguridad. También es posible para una startup subcontratar este rol a una empresa externa. Sin embargo, las grandes empresas – e incluso algunas de tamaño medio – deben contratar un CISO.
¿Qué habilidades debe tener un CISO?
Un CISO suele tener una o más certificaciones de TI relacionadas con la ciberseguridad. Debe, entre otras cosas, dominar la seguridad de la nube y de las aplicaciones de este ámbito. También debe conocer los riesgos asociados con tecnologías emergentes, como las IA generativas.
Ante todo, el CISO debe estar familiarizado con los estándares de seguridad principales promulgados por los grandes organismos de referencia como el NIST (National Institute of Standards and Technology) y la ISO (Organización Internacional de Normalización). Además, se valoran aptitudes en gestión, comunicación, negociación y liderazgo.
¿Cuál es la diferencia entre un CIO y un CISO?
En la jerarquía de responsabilidades de las tecnologías de la información, el CIO (Director de Sistemas de Información) se sitúa en el nivel más alto. Define la visión global de la estrategia de TI y supervisa los principales proyectos informáticos.
El CISO, por su parte, tiene una misión complementaria. Es su responsabilidad asegurar que cada iniciativa del CIO sea conforme a los imperativos de ciberseguridad vitales para el buen funcionamiento de la empresa.
En realidad, la función del CISO se ha vuelto tan crucial que un gran número de empresas estadounidenses de gran tamaño, especialmente aquellas registradas como las Fortune 500, colocan hoy en día al CISO al mismo nivel que el CIO.
Evolución del rol del CISO
Resulta que la ciberseguridad se ha convertido en una problemática crucial y, en consecuencia, el CISO interactúa cada vez más directamente con los altos directivos: CEO, director financiero, etc. Estos desean estar informados sobre los riesgos potenciales y las estrategias implementadas para afrontarlos. Ya no se trata, a ojos de la dirección, de un simple asunto informático, sino de un tema relacionado con la propia supervivencia de la empresa.
El consejo de administración ahora exige estar informado en detalle sobre los riesgos tecnológicos y las políticas de protección definidas, en los mínimos detalles de la operación de una empresa.