CISO o la importancia del jefe de seguridad de la información

CEO, CTO, COO, CMO, CDO… y así hasta casi el infinito. Las siglas que tejen el entramado empresarial a nivel de puestos directivos son cuantiosas y en ocasiones un tanto complicadas de descifrar hasta para los más experimentados. El CEO o director ejecutivo es, por supuesto, el jefe supremo de la compañía ante quien responden todos los escalafones. El CTO o jefe de tecnología cubre la parte más técnica, como bien cabe esperar. El COO o jefe de operaciones demuestra su maestría con los números. El CMO o jefe de marketing supervisa las actividades publicitarias de la marca. Y el CDO puede ser el jefe de diseño, el experto digital, el responsable de los datos o incluso el encargado de la parte de desarrollo, dependiendo del contexto.

Pero si hay una sigla que toda empresa debería tener en cuenta en plena era de explosión de los datos, ésa es CISO. ¿A qué corresponde, exactamente? Al puesto de Chief Information Security Officer, que traducido al español vendría siendo algo así como Director de Seguridad de la Información. El papel de un CISO dentro de la estructura de una compañía moderna es crucial, ya que a día de hoy no basta con reproducir patrones de control heredados. La querencia por llevar los dispositivos móviles personales a la oficina, la confianza en el almacenamiento en la nube para volcar información sensible o la propia sofisticación en la conducta de los ciberdelincuentes obligan a evolucionar las políticas de seguridad utilizadas.

Primera regla: Hablar el mismo idioma

El propio término política de seguridad es un factor a tener en cuenta por el CISO. No todos los jefes de seguridad se preocupan por alimentar comportamientos saludables entre sus empleados mediante reglas de buena conducta y planes de contingencia, aunque deberían hacerlo. Así lo recomienda IBM en su Estudio CISO, que recoge la experiencia de 41 altos ejecutivos que desempeñan precisamente tareas de seguridad de la información en muy diversas áreas, principalmente en grandes organizaciones. Uno de ellos es muy específico al apuntar que “los responsables de seguridad deben ser inteligentes, entendidos” o, lo que resultaría más práctico todavía, “pensar como un usuario”, ya que ésta será la única forma de adelantarse a los problemas.

Al mismo tiempo, la comunicación con el resto de miembros de la compañía debe ser fluida. Y es que el correcto funcionamiento de los otros departamentos dependerá en buena parte del trabajo que esté realizando el CISO. Esto quiere decir que las reuniones con el Consejo Directivo y demás cuerpos de responsabilidad dentro de una organización se fijen de forma periódica, a poder ser cada tres meses, poniendo al CISO al día de las inquietudes de sus interlocutores e informando a éstos de las medidas que ya se están tomando. Trazar una estrategia, ser coherente con la política establecida y gestionar las crisis con una visión integral son tres pautas fundamentales.

Lo que no hay que hacer es centrar todos los esfuerzos en un único problema, sobre todo en estos tiempos de exigencia máxima. ¿Que al CEO le preocupa no perjudicar la reputación de marca y mantener los niveles de confianza lo más altos posible? La obligación del CISO es ser versátil, esto es, responder a este miedo y a los que atemorizan al resto de compañeros. Por un lado, comenzará estudiando las consecuencias que una vulnerabilidad, un fallo del sistema u otro tipo de circunstancias desfavorables tendrían en la imagen que se proyecta al exterior para dedicarle los recursos precisos. Aunque éste es justo uno de los grandes retos que el Director de Seguridad de la Información tiene por delante, según IBM. Por otro, necesita aprender a expresarse con realismo.

Segunda regla: Ir un paso más allá

Si quieren cumplir con sus tareas de la forma adecuada, los CISOs sólo tienen que seguir una serie de trucos. Uno de los consejos más valiosos es rodearse de la gente adecuada. O como dice otro de los entrevistados por IBM en su Estudio CISO, “formar o contratar a profesionales con experiencia” ya que “es imposible proteger algo si se desconoce cómo hacerlo”. Un paso adelante, complementando la ayuda personal, se encuentra la propia tecnología de seguridad, que es básica e incluye cuanto menos herramientas para el control de identidades y de acceso, la actuación ante intrusiones, la inspección de fallos en la red y el examen a bases de datos. A mayores cubre las tareas para descubrir malware, analizar con cabeza y aplicar autenticación alternativa.

Dentro de todo este cordón de seguridad hay un tipo concreto de soluciones que está ganando enteros: las dirigidas a dispositivos móviles y a la nube. Eso sí, queda bastante por andar en esta dirección. Sólo 4 de cada 10 empresas habrían puesto en marcha a día de hoy medidas para responder a la tendencia de BYOD (otras siglas del mundillo corporativo que se refieren a “bring your own device” o “trae tu propio dispositivo a la oficina). Durante lo que queda de año, un 39% estaría comprometido a hacer lo mismo y otro 37% se apuntará al campo de las incidencias para gadgets personales, o al menos ésas son sus promesas.

Alrededor de unas tres cuartas partes de las compañías irían, además, por el camino correcto gracias a programas de monitorización y auditoría de datos. Aquí lo fundamental es que el CISO no se obsesione con la tendencias y todas y cada una de las tecnologías que vayan surgiendo en el mercado para hacerse cargo de ellas. Lo más inteligente es poner empeño en las soluciones que se sepa que van a aportar valor a las metas establecidas en un inicio, marcando la diferencia. Por ejemplo, mediante técnicas que hagan frente a amenazas avanzadas y nutriéndose con fuentes fiables. Optar por la automatización de procesos que eliminan el factor humano de la ecuación y el borrado de sistemas de forma remota, en última instancia, es asimismo importante.

Tercera regla: Cuantificar el riesgo

Saber lo que se quiere, entrenar al equipo personal y tener las soluciones tecnológicas necesarias para enfrentarse a problemas no servirá de nada si al final no se incorporan las métricas sobre el funcionamiento del negocio en la propia gestión de riesgos, algo que ahora mismo hace menos de la mitad de las empresas. Es esencial por complejo que pueda parecer. Y significa que apostar por los análisis constituye el tercer gran paso a seguir por los CISOs en su labor diaria. Lo ideal es que el trabajo de medición acabe por mejorar los procesos de comunicación e impactar en los resultados económicos y no sólo sirva para argumentar la necesidad de invertir en nuevas tecnologías.

En definitiva, sólo aquel CISO que combine una estrategia teórica con una práctica que piense en la movilidad y el cloud, cubra las exigencias básicas sin desatender implementaciones tecnológicas de nueva generación, evalúe el impacto de la seguridad a nivel económico, eduque a los empleados e implique al resto del equipo de expertos, comenzará a reconducir la dirección de la seguridad con un comportamiento más eficaz. Los Directores de Seguridad de la Información están llamados a convertirse en verdaderos especialistas en riesgos. “Mantenerse al día de los riesgos de seguridad, que cambian constantemente” y “gestionar activamente aquellos riesgos que pudieran afectar al crecimiento y a la innovación” son dos últimos objetivos a considerar, de acuerdo con los propios CISOs.