Cuando Steve Katz se convirtió en el primer CISO de la historia en 1995, Netscape Navigator era el navegador más popular del mundo, Mark Zuckerberg estaba en la escuela secundaria, faltaban una década para los teléfonos inteligentes y SSL 2.0 estaba aquí.
Citicorp le ofreció al Sr. Katz el puesto de director de seguridad de la información, un puesto completamente nuevo. En ese momento, el banco todavía se estaba recuperando de un incidente ocurrido el año anterior en el que los piratas informáticos intentaron robar 10 millones de dólares en transferencias internacionales fraudulentas. Los ciberdelincuentes se llevaron 400.000 dólares, pero más tarde Citicorp frustró la estafa. “Dos niños rusos de San Petersburgo buscaban una manera de obtener servicio telefónico gratuito”, recordó Katz en una entrevista de 2021 en el podcast CISO Stories del autor Todd Fitzgerald.
Posteriormente, Citicorp creó el puesto de CISO y se lo ofreció a Katz. Katz asumió este trabajo innovador, dejando su puesto como jefe de seguridad de la información en J.P. Morgan y haciendo historia en la ciberseguridad.
Cuando Katz falleció en diciembre de 2023 a la edad de 81 años, sus colegas de seguridad de la información lo honraron como el “Padre de la ciberseguridad”. Laura Diener, CISO de Northwestern Mutual, una empresa de servicios financieros con sede en Milwaukee, lo recuerda como un líder generoso. “Nuestros trabajos son difíciles, pero si tenía un problema en particular, él siempre contestaba rápidamente el teléfono y hablaba conmigo. Me dio su número de teléfono personal. Me dio el número de teléfono de su esposa. En general, era una persona muy positiva. “, dijo Diener a CSO.
Mientras Diener y otros CISO continúan con la luz que Katz encendió por primera vez, he aquí un vistazo a cómo ha evolucionado el rol en los 30 años transcurridos desde que Katz lo creó.
El papel del CISO pasa de las habilidades técnicas a las habilidades blandas
Cuando Katz aceptó el puesto de CISO en 1995, no tenía idea de lo que implicaba el puesto. Lo mismo ocurre con Citicorp. “Te entregaron un cheque en blanco y te dijeron que hicieras algo grandioso, fuera lo que fuera”, dijo Katz en un podcast de 2021. “El director ejecutivo dijo: ‘La junta directiva no sabe nada. Simplemente hagan algo'”. Citicorp le dio a Katz sólo dos instrucciones después de contratarlo. “Construir el mejor departamento de ciberseguridad del mundo” y “pasar tiempo con los principales clientes bancarios internacionales para minimizar los daños”.
El trabajo del CISO se ha vuelto mucho más complejo desde entonces. Según el libro de Fitzgerald de 2019, “CISO COMPASS: Navigating Cybersecurity Leadership Skills with Insights from Pioneers”, la contratación de Katz marcó el comienzo de la primera era de CISO de 1995 a 2000, cuando los CISO eran seguridad de inicio de sesión. Fitzgerald clasifica los cambios de roles cronológicamente según épocas posteriores.
2000-2004: Cumplimiento normativo CISO 2004-2008: CISO orientado al riesgo 2008-2016: CISO de ciberseguridad consciente de las amenazas (social/móvil/nube) 2016-2022: CISO consciente de la privacidad y los datos 2022-2027 y más allá: El CISO integrado, CISO resistente al negocio
Fitzgerald le dijo a CSO que originalmente el puesto se consideraba técnico, pero ahora se centra en la estrategia comercial. “Hoy en día se pone mucho más énfasis en las habilidades interpersonales como socio comercial y como gerente”, afirma.
Yael Nagler, director ejecutivo de Yass Partners, una firma de consultoría y capacitación de CISO en Washington, D.C., dice que con el tiempo, el trabajo de un CISO pasa de comprender los detalles de la red de TI de una empresa a comprender literalmente los detalles de la red de TI de una empresa durante un La crisis de ciberseguridad (en sentido figurado) ha pasado a comprender cómo calmar la situación. También agrega que hoy en día, los CISO deberían actuar como socios estratégicos dentro de sus organizaciones.
“A medida que el rol evoluciona, en realidad se está alejando del teclado tecnológico hacia la sala de juntas. Entonces, si bien las habilidades del CISO han evolucionado, las interacciones también han cambiado significativamente”, afirma Nagler. Estas interacciones incluyen la colaboración con departamentos como tecnología, finanzas, auditoría, legal y cumplimiento. Según Gartner Research, este tipo de colaboración entre disciplinas de TI es fundamental para los CISO modernos. Después de analizar el desempeño de 227 CISO de 2020 a 2023, Gartner descubrió que los “CISO más efectivos” tenían tres veces más partes interesadas ajenas a TI (jefes de ventas, directores de marketing, directores de marketing. Llegamos a la conclusión de que cumplimos regularmente con los líderes de las unidades de negocios (por ejemplo, líderes de las unidades de negocios).
Los CISO aprendieron a comunicar el riesgo desde una perspectiva empresarial
Los CISO de hoy deben poder aprovechar toda esta colaboración para comunicar las amenazas cibernéticas en un lenguaje que las unidades de negocio puedan entender casi al instante. “Se necesita la capacidad de articular riesgos en relación con los procesos de negocio dentro de su organización”, afirma Fitzgerald. “Hay que poder interpretar lo que significa riesgo. ¿Significa riesgo que ya no puede operar su negocio, o significa que su hospital no puede tratar a los pacientes porque recibe un ataque de ransomware o algo así?”.
Dean dice que está claro que los CISO tienen un papel que desempeñar en los esfuerzos básicos de seguridad de la información, como la planificación de la continuidad del negocio y la realización de pruebas de recuperación ante desastres. A medida que la transformación digital entrelaza la tecnología en el tejido de cualquier organización, los CISO también necesitan separar la ciberseguridad de los silos tecnológicos tradicionales, añade. “La seguridad es una parte importante de la cultura de su empresa y es importante comunicarla de arriba hacia abajo”, dice Dean.
Los CISO de hoy están sobrecargados de trabajo, estresados y ansiosos.
Un estudio de Cybersecurity Venture de 2023 estima que actualmente hay aproximadamente 32.000 CISO en todo el mundo. Pero a medida que crece el número de CISO, también crece su sensación colectiva de inseguridad. En enero de 2024, una encuesta conjunta de IANS/Artico a 663 CISO en Canadá y Estados Unidos encontró que el 75% estaba dispuesto a cambiar de trabajo, frente al 64% del año anterior, pero se sentía insatisfecho con su trabajo y su empresa. El número de CISO satisfechos disminuyó del 74% al 64% durante el mismo período.
“Los CISO están experimentando una dualidad de miedo y oportunidades debido a la disminución del gasto en ciberseguridad, el aumento de las infracciones cibernéticas, el aumento de las herramientas de inteligencia artificial generativa y el endurecimiento de las regulaciones de ciberseguridad que enfatizan los requisitos de divulgación”, se afirma en el estudio.
Para Fitzgerald, el estado mental nervioso de los CISO de hoy no es una sorpresa. Señala que ninguna de las responsabilidades básicas exigidas a los CISO en épocas anteriores ha perdido importancia. Por el contrario, los CISO ahora son responsables de todas las responsabilidades, incluida la gestión de riesgos, la respuesta a amenazas emergentes, el cumplimiento normativo, la privacidad de los datos y la integración de la ciberseguridad en la cultura y las operaciones de una organización para desarrollar la resiliencia empresarial. “En etapas anteriores, ninguna de estas responsabilidades desapareció; fueron agregadas, no reemplazadas”, dice Fitzgerald.
Los problemas de responsabilidad surgen como nuevas preocupaciones
Este impacto negativo se ve exacerbado aún más por el entorno regulatorio cada vez más estricto en todo el mundo, incluida la Unión Europea. En Estados Unidos, el ex CISO de Uber, Joe Sullivan, fue condenado en 2023 por no informar sobre una violación de datos. Ese mismo año, la Comisión de Bolsa y Valores acusó al CISO de SolarWinds, Timothy G. Brown, en relación con un ciberataque de 2020.
“La gente del CISO habla mucho sobre responsabilidad y eso a todos nos preocupa”, reconoce Deaner. “Hay una razón para el cambio regulatorio y la gente se lo está tomando muy en serio”.
En opinión de Nagler, unos parámetros regulatorios más claros pueden ser en realidad el “mayor regalo” para los CISO. “Los líderes están prestando atención y esperamos ver un comportamiento más reflexivo y un desarrollo de programas (de ciberseguridad) más responsables dentro de sus organizaciones. Para los CISO, esto no se trata solo de tecnología, sino de socios estratégicos. Esta es una gran oportunidad para evolucionar el rol. y valor para la empresa”, afirma.
Esto puede requerir reuniones más frecuentes y significativas con la dirección. Sin embargo, el estudio de IANS/Artico muestra que;
Sólo el 20% de los CISO son considerados ejecutivos de nivel C dentro de sus organizaciones. Sólo el 50% de los CISO interactúan con sus juntas directivas trimestralmente. El 85% quiere instrucciones claras de su junta directiva sobre la tolerancia al riesgo, pero sólo el 36% la obtiene.
“En muchos casos, los CISO todavía informan al CIO o al CTO, que es el brazo técnico de la organización, por lo que, aunque deberían informar al CEO, muchos CISO todavía no lo hacen”.
Reconstruir la posición de CISO para el futuro
¿Qué debe hacer un CISO hoy en día, frente a amenazas cibernéticas cada vez más emergentes, avances aparentemente repentinos en la IA y un entorno legislativo en constante cambio? En una nota de investigación de 2022 que declara que los CISO simplemente están “agotados”, Sam Oyaei de Gartner argumentó que el papel del CISO debe redefinirse por completo. Esto significa que su papel debe ser el de líder en la gestión de riesgos compartidos, en lugar del de único portero encargado de prevenir infracciones.[The job] “Existe la necesidad de pasar de ser un responsable de facto de responder a los riesgos cibernéticos a una responsabilidad de garantizar que los líderes empresariales tengan las competencias y los conocimientos necesarios para tomar decisiones informadas y de calidad sobre los riesgos de la información”, escribió Oriai, vicepresidente de asesoramiento en ciberseguridad de. Garner.
En respuesta, Nagler insta a los CISO de hoy a “reconocer que no es sólo su responsabilidad” equilibrar las delicadas dualidades de gestionar el riesgo y hacer crecer el negocio. Más bien, su deber es “permitir a los equipos de liderazgo equilibrar entre enhebrar el ojo de la aguja, explicar cosas, predecir cosas y comprender hacia dónde se dirigen” para hacer algo, dice.
Fitzgerald insta a los CISO de hoy a centrarse en la estrategia y la gobernanza y asegurarse de que “se logre la propiedad de la seguridad en toda la organización, no solo en la parte técnica, y que se estén haciendo todas las cosas correctas. Le recomendamos que se asegure de eso”.
Finalmente, aquí hay algunas palabras del primer CISO: En 2021, Steve Katz reflexionó sobre su trabajo pionero en Citicorp en 1995 y tuvo la visión de describir su enfoque en este rol en términos muy similares. “La TI fue la parte más pequeña del problema”, dice Katz. “Desde el primer día, la idea ha sido que la seguridad de la información es una cuestión de riesgo empresarial y una cuestión de gestión de riesgos empresariales”.
Fuente: https://www.csoonline.com/article/1310847/30-years-of-the-ciso-role-how-things-have-changed-since-steve-katz.html/amp/