A medida que el rol de CISO madura en entornos corporativos y los ejecutivos de seguridad ascienden de rango desde gerentes de tecnología hasta asesores de riesgos y líderes empresariales más holísticos, la progresión profesional también está cambiando. Los trabajos de CISO ya no son el destino ejecutivo principal para las personas hoy en día, ya que los líderes de seguridad buscan aprovechar sus habilidades comerciales en constante crecimiento en roles ejecutivos más amplios en el nivel C.
Algunos de los movimientos más obvios para los CISO incluyen convertirse en director de riesgos (CRO) o director de información (CIO). Pasar al puesto de director de tecnología (CTO) también es cada vez más común. Dado que tanto el mundo empresarial como el de seguridad exigen cada vez más seguridad por diseño en ingeniería de software, desarrollo de productos y arquitectura tecnológica, ocupar el puesto de CTO con un ex CISO en las circunstancias adecuadas parece una gran apuesta.
Aunque todavía no hay respaldo estadístico que demuestre esta tendencia, la evidencia anecdótica está aumentando: empresas como 20th Century Fox, Bank of America y Fifth Third Bank han promovido a CISO a CTO en los últimos años. Este es el camino tomado por el gigante de informes crediticios Equifax, que nombró al CISO Jamil Farshki para el puesto conjunto de CTO/CISO hace unos meses.
Falci, sin embargo, dijo que la medida era “natural” tanto para Equifax como para él mismo. Falci, un CISO veterano que trabajó en Home Depot, Time Warner, el Laboratorio Nacional de Los Álamos y la NASA, se unió a Equifax hace más de seis años a raíz de una violación masiva de datos en 2017. Se le asignó la tarea de liderar una transformación organizacional y tecnológica fundamental no solo para transformar los programas de seguridad, sino también para apoyar a la empresa en sus esfuerzos de transformación digital.
“En mi calidad de CISO, mi equipo y yo hemos estado profundamente involucrados en la tecnología desde el principio, y por la forma en que están estructuradas nuestras líneas jerárquicas, siempre he reportado al CEO”, explica. “Entonces, avancemos hasta hace unos meses, cuando mi anterior CTO se fue y tuvo otra oportunidad de ser director ejecutivo de otra empresa. También se le pidió que ampliara su función.
CISO tiene habilidades adecuadas para CTO
Incluso antes de que se anunciara la promoción de Equifax, Farshchi dijo que estaba viendo cambios similares en toda la comunidad de seguridad. No solo ha visto a amigos pasar de CISO a roles como CTO y jefe de producto, sino que también los directores ejecutivos y reclutadores se han acercado a él para preguntarle si tiene sentido que un CISO asuma el rol de CTO. En su opinión, la pregunta es un claro sí.
“Muchos de los comportamientos, muchas prácticas, muchas habilidades y pensamiento estratégico que se necesitan para tener éxito en tecnología como CTO son exactamente las mismas cualidades que se necesitan para tener éxito en seguridad hoy en día”, afirmó. dice.
Este es un sentimiento compartido por muchos en la comunidad de liderazgo en seguridad y tecnología. Según Bob Zukis, que dirige Digital Directors Network y es un experto desde hace mucho tiempo en seguridad cibernética y desarrollo ejecutivo, los CISO (verdaderos líderes empresariales, no profesionales altamente técnicos) corporativos son un grupo con múltiples talentos que está listo para hacer la transición a CTO y comenzar a trabajar; correr.
“Muchos de los trabajos del CISO, desde el estratégico hasta el operativo, se traducen naturalmente en un rol de CTO. Están acostumbrados a trabajar de manera multifuncional; trabajar en toda la organización desde una perspectiva de riesgo. “Estamos acostumbrados a operacionalizar la tecnología. introduciendo mucha tecnología innovadora desde nuestras capacidades de seguridad”, afirma. “La situación está cambiando ahora hacia una situación en la que las empresas están empezando a seleccionar e implementar estratégicamente tecnología desde una orientación de creación de valor en lugar de una orientación de protección de valor”.
Randy Watkins, CTO del proveedor de MDR Critical Start, dice que uno de los mayores beneficios que los CISO aportan a los candidatos a CTO es la experiencia y los conocimientos multifuncionales. Los CTO suelen abarcar muchas disciplinas y manejar muchas relaciones complejas entre ingeniería, equipos de productos, grupos empresariales y más. Esto es cierto ya sea que esté lanzando al mercado un producto basado en tecnología o utilizando aplicaciones y plataformas comerciales para brindar soporte a muchos clientes internos y grupos comerciales.
“Los CISO no tenían sus propios presupuestos, por lo que tuvieron que asumir roles multifuncionales”, dijo, y agregó que los CISO colaboran con otros grupos de TI, grupos empresariales y ejecutivos. la necesidad de hacer las cosas y sostener las iniciativas de seguridad. “Por lo tanto, un rol multifuncional es una fortaleza absolutamente esencial para un CISO, y es una fortaleza que tiene cualquier líder senior de una organización. Abre un enorme potencial”.
Aunque el Sr. Watkins nunca ha sido CISO, tiene experiencia en seguridad y fue Director de Arquitectura de Seguridad antes de unirse a Critical Start. Fue una transición muy fluida hace unos años, ya que la empresa es una empresa de seguridad, pero siento que necesitaba crecer y ampliar mis habilidades y conocimientos de gestión de productos. Esta es un área en la que algunos CISO también deben concentrarse para desempeñar con éxito el rol de CTO.
“La mayor curva de aprendizaje fue comprender el ciclo de vida de la gestión de productos, ágil y en cascada, y las ventajas y desventajas de cada uno”, afirma. “Fue realmente difícil establecer cronogramas y plazos y comprender los ciclos de sprint, las fechas de lanzamiento, la cadencia de lanzamiento, etc. Y siento que es un proceso de aprendizaje permanente”.
Como CTO de una empresa de seguridad, Watkins dice que todavía tiene muy buenas relaciones con sus amigos de la comunidad CISO. Dijo que la ventaja reciente del grupo es que se han vuelto más conocedores del producto, lo que será útil para muchos que quieran competir por puestos de CTO en el futuro. Hay dos razones para esta mayor familiaridad, añade.
“Primero, normalmente se les pide consulta; [venture capital and private equity companies] “Para hablar de la última y mejor tecnología”, dice. “Y dos, necesitan hablar con fabricantes como nosotros, dónde está posicionado nuestro ciclo de productos y cómo inyectar más valor en la construcción de nuestro negocio. Esto cambia la flexibilidad y agilidad del rol de CISO”.
El CTO centrado en la seguridad respalda la seguridad por diseño
Pero quizás el mayor beneficio que ofrece un CISO como candidato a CTO es la mentalidad de gestión de riesgos que aporta al ciclo de innovación.
“No hay duda de que veremos más conversaciones sobre seguridad en etapas más tempranas del ciclo de vida de la innovación, y creo que eso es algo realmente bueno”, dice Zukis de Digital Directors.
El señor Watkins está completamente de acuerdo.
“Me gusta cualquier puesto que ocupe una persona con mentalidad de seguridad porque aporta un conocimiento innato y un proceso de pensamiento sobre la seguridad, incluso si no es un puesto de alta dirección o una persona con mentalidad de seguridad, incluso si recién te estás mudando a un puesto diferente. papel”, afirmó Watkins. “Es eficaz para entrelazar un proceso de pensamiento de seguridad en cada pequeño aspecto de su transición”.
Esto puede tener un enorme impacto en los esfuerzos de seguridad desde la etapa de diseño, que a menudo se ven empantanados más que cualquier otro por cuestiones culturales y de incentivos. Es mucho más probable que un CTO de seguridad veterano esté intrínsecamente motivado para crear mejores incentivos para que los equipos de ingeniería desarrollen y creen productos seguros desde el principio. Más importante aún, es más probable que los ex CISO reconozcan los riesgos que puede plantear un nuevo producto o plataforma en las primeras etapas de planificación.
“Las organizaciones que designan a un responsable de seguridad como su CTO se beneficiarán enormemente al centrarse en la seguridad desde la etapa de diseño”, afirma Farshchi de Equifax. “Vamos a centrarnos en la seguridad desde el principio y a incorporarla en lugar de apresurarnos a cambiarla más tarde”.
Fuente: https://www.darkreading.com/cybersecurity-careers/ciso-as-a-cto-when-and-why-it-makes-sense