CIBERSEGURIDAD

La evolución de CISO y CIO

La seguridad de los datos es un gran problema. Usted lo sabe, yo lo sé, y es difícil argumentar en este momento que, a menos que viva fuera de la red, la seguridad de los datos es un valor universal. Casi a diario, las filtraciones de datos y sus consecuencias graves y de gran alcance se informan en las noticias, lo que deja a las organizaciones a escala multinacional sin duda de que este es un tema de la mayor importancia.
Además, se han introducido regulaciones como el RGPD y el Escudo de privacidad para proteger los datos de los clientes, lo que lleva la seguridad de los datos a la cima de la agenda de la C-suite desde una perspectiva de cumplimiento legal. Por eso, hoy en día, la seguridad de los datos está recibiendo la atención que debería recibir en muchas empresas con visión de futuro. Pero no siempre fue así.
El CIO: un oficial solo
Mirando hacia atrás varios años, la ciberseguridad, aunque importante, no había llegado a la agenda de la sala de juntas. Todavía estaba burbujeando bajo la superficie, visto como un problema que era competencia exclusiva del departamento de TI. Si bien los procesos digitales todavía existían dentro de las empresas en este momento, las empresas dependían mucho menos de ellos para la operación diaria y se almacenaban menos detalles de los clientes en la nube.
Esto significaba que, aunque una violación de datos sería un inconveniente y sería mejor evitarla, no tendría los efectos catastróficos del ciberataque de la era moderna. Imagine un ataque de ransomware en una plataforma como Hailo: el negocio (y una franja de la industria de los taxis en el Reino Unido) se detendría de golpe. Pero antes del cambio de milenio, la seguridad de los datos existía principalmente como una viñeta en la descripción del trabajo del Director de Información (CIO). Fue uno de los muchos problemas que se le asignó a un CIO, junto con la gestión de recursos de TI, la presupuestación y las operaciones internas. Los CIO dieron prioridad a garantizar que sus sistemas y servicios funcionaran sin problemas para sus usuarios finales y, a menudo, las capacidades de seguridad se priorizaron en segundo o tercer lugar.
Ingresa el CISO
La principal prioridad del CISO es proteger los datos corporativos y los recursos informáticos críticos. A medida que la transformación digital se ha expandido para abarcar todas las industrias y sectores, la tecnología se ha convertido en una parte integral del negocio diario. Los procesos y aplicaciones digitales han evolucionado más allá del almacenamiento y la comunicación de datos internos. Para muchas empresas, la interacción con los clientes se produce casi exclusivamente a través de plataformas digitales. Pero si bien la tecnología tiene enormes beneficios que ofrecer a la empresa, una mayor dependencia de lo digital ha generado una mayor vulnerabilidad a las amenazas en línea.
En consecuencia, la ciberseguridad se ha convertido en un tema que requiere atención a tiempo completo. Y las empresas han respondido a este panorama cambiante priorizando el rol de CISO. Esto cumplió la doble función de proporcionar mitigación de riesgos adicional para la empresa y liberar al CIO para que se concentre en requisitos estratégicos y operativos más amplios, mantenimiento de TI y más oportunidades para la transformación digital.
Pero no es una solución del todo sencilla. Separar las funciones de ciberseguridad y TI de esta manera tiene el potencial de causar conflictos. Por ejemplo, ¿qué sucede si el CIO quiere implementar una solución particular que el CISO considera un riesgo desde una perspectiva de seguridad? ¿Quién tiene la última palabra?
Un cambio de guardia
Si bien la jerarquía del CIO y el CISO sigue siendo bastante ambigua y puede variar entre las organizaciones, tradicionalmente ha sido un lugar común que el CISO difiera ante el CIO en casos de conflicto.
Sin embargo, me imagino que estos roles se invierten en el futuro. La importancia de la seguridad de los datos se ha trasladado más allá del departamento de TI y se ha convertido en una preocupación para toda la empresa, e incluso para el directorio. En particular, la explosión de la computación en la nube significa que los datos de la empresa ya no se almacenan exclusivamente dentro de los límites del centro de datos, sino que se almacenan en los dispositivos terminales de los empleados, como computadoras portátiles y tabletas. Y la prevalencia de la cultura BYOD ha llevado a un aumento sin precedentes de la TI en la sombra: personas que utilizan herramientas no autorizadas para completar tareas con la facilidad de uso como criterio de selección principal.
La función de un CISO es asociarse con C-Suite y ayudar a que la empresa funcione más rápido y de forma segura. Tradicionalmente, se consideraba que las organizaciones de seguridad ralentizaban las cosas y, a menudo, decían «no» al negocio. En mi humilde opinión, esa no es la mentalidad adecuada para ninguna organización de seguridad. Identificar técnicas y herramientas para acelerar las ventajas competitivas de su empleador y superar a la competencia es ahora parte de la descripción del trabajo; o debería serlo.
Por Rick Orloff, director de seguridad de Código42

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar