En muchas organizaciones, los directores de seguridad de la información (CISO) se centran principalmente, y a veces exclusivamente, en la ciberseguridad. Sin embargo, con las amenazas avanzadas actuales y el panorama de amenazas en evolución, las empresas están cambiando las responsabilidades de muchos roles, y el papel ampliado del CISO está a la vanguardia de estos cambios. Según Gartner, se espera que el 45% de las competencias de los CISO se extiendan más allá de la ciberseguridad para 2027 debido a las presiones regulatorias y una superficie de ataque en expansión.
A medida que las responsabilidades del CISO cambian rápidamente, ¿cómo se adaptará el rol del CISO para enfrentar los futuros desafíos cibernéticos?
Rol anterior del CISO
Steve Katz se convirtió en CISO de Citicorp/Citigroup en 1995, convirtiéndose en el primer CISO del mundo. Desde el comienzo de su carrera como CISO, Katz reconoció que la función del CISO era más que una simple función de TI: se trataba de mitigar el riesgo y contribuir al negocio. En los años siguientes, otras organizaciones agregaron este nuevo rol y, en la mayoría de las estructuras organizacionales, el CISO ahora reporta al CIO. Si bien muchos CISO reconocieron la naturaleza de su función, otros miembros de la organización no necesariamente compartían el mismo entendimiento.
Con el tiempo, los CISO comenzaron a gestionar cuestiones fuera de la organización, como crear asociaciones, trabajar con proveedores y gestionar transferencias de datos externas. Sin embargo, muchas organizaciones sintieron que su papel todavía estaba principalmente en el campo de TI y que su mayor responsabilidad era garantizar que sus empresas no atrajeran la atención debido a violaciones o ataques importantes de ciberseguridad. En otras palabras, muchos CISO se centraban principalmente en el cumplimiento y la gestión de riesgos.
El papel del CISO hoy
El papel del CISO ha cambiado significativamente en los últimos años debido al aumento de los ciberataques y al mayor riesgo de interrupción del negocio, multas y daños a la reputación. Según el informe CISO de Splunk, el 86% de los encuestados dijeron que su función ha cambiado tanto desde que se convirtieron en CISO que es casi un trabajo diferente. El papel del CISO ha pasado de ser principalmente un papel técnico a uno de líder empresarial.
En lugar de implementar la ciberseguridad, los CISO ahora se centran en ayudar a los líderes organizacionales a comprender la importancia de la ciberseguridad y liderar el pensamiento estratégico de las estrategias cibernéticas de sus organizaciones. Los CISO cierran la brecha entre la terminología técnica que los departamentos de TI pueden entender fácilmente y el lenguaje empresarial de la alta dirección.
Este cambio también ha llevado a una reorganización de las estructuras organizativas: el 47% de los CISO ahora reportan directamente al CEO, según un informe de Splunk. Al hacer que el CISO informe al CEO en lugar del CIO, la organización está demostrando que valora la ciberseguridad como una prioridad clave. Además, los CISO ahora tienen más influencia al tener un asiento en los comités ejecutivos y, en muchos casos, en las juntas directivas.
Predicciones futuras para el rol de CISO
Los expertos en ciberseguridad debaten si el papel del CISO debería centrarse en los negocios o en la tecnología. En el futuro, la respuesta definitivamente se ubicará en algún punto intermedio. Ahora más que nunca, los CISO exitosos necesitan tener perspicacia tanto técnica como comercial para realmente tener éxito en sus funciones.
Los CISO no solo ayudan a las organizaciones a hablar un lenguaje común en torno a la ciberseguridad y el riesgo, sino que también asumen un mayor liderazgo y asumen la responsabilidad de la estrategia general de ciberseguridad de la organización. A medida que aumente la conciencia y la responsabilidad, otros empleados también tomarán conciencia de la importancia de la ciberseguridad en la organización.
El CISO es uno de los puestos ejecutivos más nuevos que ha surgido en las últimas décadas, pero ha evolucionado significativamente desde que Katz apareció en las noticias. A medida que las amenazas se vuelven cada vez más sofisticadas y las empresas se vuelven cada vez más digitales, la interrupción operativa provocada por ataques de ciberseguridad a menudo afecta todos los aspectos de una empresa. Las organizaciones que reconocen la creciente importancia de la ciberseguridad y evolucionan el papel del CISO pueden crear una cultura en la que todos los empleados y ejecutivos vean la ciberseguridad como su trabajo.
sigue leyendo
Fuente: https://securityintelligence.com/articles/ciso-role-evolution/
