La brecha entre el CISO y los directivos

Víctor Deutsch, autor de Ciberseguridad para directivos (LID Editorial)

CISO

Según un informe publicado recientemente, citado por Frank Konkel en NextGov, alrededor de la mitad de los CISOs de las grandes empresas en EEUU y el Reino Unido se quejan de que no obtienen el presupuesto de inversión necesario para gestionar las amenazas de seguridad a las que se enfrentan. Un 60% dice que no se siente completamente apoyado por sus directivos y un 12% dice abiertamente que sólo se habla de seguridad con la dirección cuando se produce una brecha de seguridad.

Sin embargo, si observamos las encuestas dirigidas a la alta dirección de las empresas, el resultado es muy diferente. El Global Risk Management Survey de 2021, indica que el riesgo de «ciberataques y fugas de información» ocupa el primer puesto en la valoración de los ejecutivos.

¿Por qué esa diferencia de valoración? Probablemente porque el «idioma» de los directivos no se parece mucho al que hablan los CISOs. La ciberseguridad es una disciplina para la cual los altos directivos de las empresas no han sido preparados durante su fase de formación y durante su propio ciclo laboral. Están muy preparados en finanzas, procesos, marketing y operaciones, incluso en seguridad física, pero la gestión de los riesgos en ciberseguridad es un terreno desconocido.

Al entrar en este terreno, un error muy frecuente es delegar completamente esa tarea en el CISO, un especialista sobradamente preparado. Incluso dotándole de grandes cuotas de autonomía. Con esto el directivo entiende que evidencia su preocupación en el tema. Pero obviando que por si solo un CISO no puede gestionar todos los riesgos.

Al tiempo, el CISO se sentirá «no apoyado» como indica el informe citado anteriormente porque, por más autonomía que tenga, no tendrá el control de presupuesto, de la comunicación interna y de las operaciones, que son fundamentales en una estrategia general de ciberseguridad. Esto también es responsabilidad del CISO. Además de aplicar sus conocimientos técnicos debe procurar entender el impacto de cada riesgo y control sobre el negocio, buscar la mayor eficiencia en las soluciones a utilizar y en concienciar adecuadamente a los directivos, hablando en su idioma: las pérdidas económicas, el impacto en los clientes y en la sociedad, la reputación corporativa y los riesgos regulatorios. De nada sirve pedir presupuesto para combatir el «spoofing», si no se explican adecuadamente las consecuencias en el negocio.

En definitiva, para lograr un marco adecuado de control de los riesgos de ciberseguridad se requiere una involucración constante de los directivos en la actividad, sumado al conocimiento técnico del CISO. No vale decir «te he dado todo»: hay que ejercer la dirección estratégica y la supervisión en el día a día.

¿Cómo se logra esto? En primer lugar, considerando a la ciberseguridad como cualquier otra actividad a supervisar. No es ese sitio donde hay unos «tipos raros» protegiéndonos de los «hackers», hay que normalizar su tarea como cualquier otra. Luego, hay que intentar entender los fundamentales de este “negocio”.

Para lograr esto quizás es mejor empezar por entender la ciberseguridad como la «seguridad tradicional», pero por otros medios. Más allá de los sistemas operativos y las aplicaciones, la mayoría de los riesgos informáticos proviene de modalidades delictivas y esquemas de fraude que ya existían desde hace muchos años en el «mundo físico», para las cuáles un directivo si está preparado para lidiar.

Los riesgos de «insiders», errores de los empleados y fallos de terceros influyen mucho en los riesgos de ciberseguridad y la alta dirección tiene mucho mayor empowerment que el CISO para mitigarlos, dejando al CISO las tareas más específicas de las infraestructuras de sistemas, pero, claro, al acotar los riesgos tendrá muchas menos «bolas en el aire» que manejar, para hacer mejor su trabajo.

Adicionalmente, los directivos deben adaptarse a un mundo digital que está cambiando. La migración de las infraestructuras a la nube, la filosofía DEVOPS y la digitalización de los procesos industriales hacen que las estructuras organizativas de sistemas deban cambiar y adaptarse, estableciendo esquemas de control interno muy diferentes a los del pasado. Transformarse digitalmente sin adaptar la organización y los procesos de TI para mantener el nivel de control, puede tener consecuencias muy graves.

En definitiva, hay que cerrar esa brecha entre el idioma del CISO y los demás directivos. Tenemos que lograr que directivos de diferentes áreas que puedan plantear discusiones sobre estrategia de ciberseguridad en un Comité de Dirección, con asesoramiento fundamental de los expertos, pero también con juicio propio y capacidad de decisión. Ese alineamiento entre el CISO y la dirección es una combinación ganadora.

CISO

Ciberseguridad para directivos (LID Editorial) de Víctor Deutsch permite a los responsables de empresas y equipos que no provengan del campo de la seguridad o la tecnología de la información gestionar los tres pilares fundamentales de la ciberseguridad: identificar los riesgos devenidos, establecer controles y poner en práctica los procesos y la organización necesarios para hacerlo de forma eficiente.

Sin ninguna duda, una lectura fundamental para que cualquier directivo pueda afrontar los riesgos digitales con éxito y mantener a salvo los activos: la información de su negocio y de sus clientes y sistemas.