El papel del CISO está evolucionando significativamente a medida que las empresas se vuelven más conscientes de los riesgos cibernéticos.


Según un informe de Moody’s Ratings, los CISO y otros ejecutivos de ciberseguridad de nivel gerencial están ganando influencia e importancia a medida que las empresas comienzan a reconocer la necesidad de una gobernanza y supervisión cibernéticas sólidas.

Aproximadamente el 90% de los gerentes de ciberseguridad ahora reportan a ejecutivos de alto nivel en sus empresas, frente al 62% en 2021. Una proporción cada vez mayor de estos ejecutivos de ciberseguridad ahora reportan directamente a los directores ejecutivos de sus empresas, según el informe, que se basa en una encuesta de más de 2.000 organizaciones emisoras de bonos en todo el mundo, incluidas 1.100 en América del Norte.

“El papel del CISO ha ganado importancia y reconocimiento dentro de las organizaciones”, dijo en un correo electrónico Stephen Libretti, vicepresidente y analista de Moody’s Ratings. “Esto significa líneas de reporte más directas desde los gerentes cibernéticos hasta los ejecutivos de nivel C y sesiones informativas cibernéticas más frecuentes para los directores ejecutivos”.

Moody’s descubrió que los CISO y otros gerentes de ciberseguridad brindan cada vez más actualizaciones a los ejecutivos y juntas directivas dentro de las organizaciones. Según el informe, aproximadamente el 40% de los cibergerentes se reúnen mensualmente con su director ejecutivo.

“Cuanto más cerca esté el equipo ejecutivo del CISO, más confianza habrá y mayor será la conciencia y la comprensión del riesgo cibernético dentro de la organización”, dice Libretti. “También suele aumentar el apoyo a mayores presupuestos y recursos”.

El papel del CISO ha evolucionado desde el ataque a la cadena de suministro Sunburst de 2020 contra SolarWinds y otras empresas y el ataque de ransomware Colonial Pipeline de 2021.

Los CISO también están bajo un mayor escrutinio, con el ex CISO de Uber acusado de supuestamente encubrir un ataque de ransomware y la SEC presentando una demanda civil contra el actual CISO de SolarWinds por engañar a los inversores sobre los riesgos cibernéticos de la empresa.

Las empresas líderes están dando a los CISO más visibilidad, responsabilidad y supervisión. En particular, se requiere liderazgo de CISO a la luz de la necesidad de una rápida detección y divulgación de amenazas resultante de las reglas de informes de incidentes de la Comisión de Bolsa y Valores y la próxima Ley de Informes de Incidentes Cibernéticos de Infraestructura Crítica.

Las reglas de la SEC requieren que las empresas informen incidentes graves dentro de los cuatro días hábiles posteriores a la determinación de su gravedad. CIRCIA exige que los proveedores de infraestructura crítica, incluidas más de 300.000 entidades cubiertas, informen incidentes graves a las autoridades federales dentro de las 72 horas posteriores a la ocurrencia del incidente. Se espera que la norma final esté lista en aproximadamente 18 meses.



Fuente: https://www.cybersecuritydive.com/news/ciso-gains-corporate-cyber-risk/712684/