El CIO reportará al CISO
JJ Guy, director sénior de ingeniería en la nube, Carbon Black
Hace varios años, los líderes de seguridad en muchas organizaciones fueron promovidos de un gerente de nivel medio a CISO. En las primeras iteraciones del organigrama, la seguridad se consideraba como «solo un trabajo más» del departamento de TI, por lo que el gerente que es dueño de la seguridad tomó el título de CISO pero continuó reportando al CIO.
A medida que las empresas aprendieron que la seguridad era más un riesgo comercial general que una simple función de la tecnología, la cadena de informes para los CISO comenzó a moverse fuera de la organización del CIO y los CISO comenzaron a informar al CEO, CFO o COO.
Esta evolución aún está en marcha, pero volverá a cambiar pronto: el CIO informará al CISO.
Los CISO son poner en funcionamiento sus programas de seguridad de la información, transformando la seguridad de un producto de casilla de verificación que el CIO compró a un proveedor en una operación que combina productos, personas y procesos. Esas operaciones están ganando disciplina y rigor a partir de un ciclo de retroalimentación doloroso pero efectivo, gracias a las pruebas constantes de los atacantes. Los CISO están descubriendo que los conceptos básicos de TI, como la gestión de redes, la gestión de activos y la aplicación de parches, son fundamentales para proteger las operaciones, pero en muchas organizaciones. están mal gestionados.
Como WannaCry y Petya han demostrado claramente, había millones de máquinas ambas cosas sin parche durante semanas y con SMB abierto al mundo. Parchar es difícil y SMB abierto es una tontería, pero los sistemas sin parche con SMB abierto son negligencia grave, y este es solo un ejemplo reciente y de alto perfil. Es imposible asegurar una red empresarial cuando la organización no puede manejar el bloqueo y abordaje básicos de TI.
Para proteger sus redes, las empresas deben comenzar a poner en funcionamiento sus programas de TI, aumentando la disciplina tan fuerte como sus equipos de operaciones de seguridad. A medida que aumenta la comprensión de esta verdad, veremos un cambio: el CISO será el propietario no solo de las funciones de seguridad, sino de toda la infraestructura central: redes, dispositivos y sistemas operativos. El CIO será el propietario de los procesos comerciales: el valor central de la TI que hace que el negocio sea más eficiente. El CISO es dueño de la infraestructura central que hace que la red funcione, el CIO es dueño de las aplicaciones que se ejecutan en esa infraestructura y los procesos comerciales que soportan.
Los títulos de hoy no tendrán sentido en ese momento. El puesto que hoy llamamos CISO será algo más parecido al Director de operaciones de información, para reflejar su deber de poner en funcionamiento los programas de seguridad y de TI, con el rigor operativo 24 horas al día, 7 días a la semana, necesario para mantener la seguridad y la disponibilidad. Tendrá algo así como tres informes directos: el centro de operaciones, el equipo de aplicaciones empresariales y un equipo de cumplimiento.
Por supuesto, esta organización se parece mucho a la que teníamos hace diez años: el CIO y su equipo. Excepto que ahora reconocemos que la seguridad y una cultura operativa son componentes críticos para el rol del CIO, algo que antes no se reconocía ampliamente. Quizás la respuesta más simple es que volvemos al organigrama original, pero con una comprensión más aguda de las responsabilidades. Los «CISO» de hoy son promovidos a «CIO» y volvemos a ser un «CxO de tecnología» en el equipo ejecutivo.
Independientemente de cómo se desarrolle, será divertido ver cómo se desarrolla y, como resultado, nuestras redes continuarán haciéndose más seguras.