En el ecosistema empresarial, el cimiento más importante es la información. Para protegerla, especialmente de los riesgos que acarrea el Internet, se debe contar con perfiles especializados que respondan por la ciberseguridad de la compañía. Por esta razón, es necesario contar con un CISO, es decir, un responsable de la seguridad en la información.
El CISO (Chief Information Security Officer) es un ejecutivo de alto nivel. Se encarga de proteger la seguridad de la información ante ciberataques y fugas de datos. Por tanto, diseña, orienta y pone en práctica las estrategias de seguridad de una empresa.
Algunas de sus funciones más relevantes son las siguientes (García, 2021):
Para cumplir con estas funciones, el CISO debe contar con formación en informática y telecomunicación. Además, requiere de conocimientos legales y certificaciones, que lo acrediten como auditor capacitado para el control de riesgos de la información.
El CISO no solo debe responder a un perfil específico y contar con los conocimientos suficientes. Para este cargo, es fundamental tener la capacidad de crear estrategias de defensa y de ciberseguridad efectivas e integrales. De modo que el CISO debe ejercer buenas prácticas basadas en los pilares que detallamos a continuación.
La gestión efectiva del CISO comienza con el análisis de las condiciones actuales de la empresa, para luego identificar sus posibles vulnerabilidades. Esto permite que la estrategia de ciberseguridad se centre en los elementos más críticos y se blinden así los activos más importantes (Silicon, 2019).
Es necesario tener en cuenta que las funciones del CISO no están enfocadas en detalles técnicos. Su labor se relaciona principalmente con la medición del alcance y el impacto que dichas vulnerabilidades van a generar en la empresa y en sus operaciones.
Otro de los pilares de una buena estrategia de ciberseguridad es la inversión en tecnología operativa (OT), a través de la infraestructura de red y tecnologías emergentes como la 5G (Cortés, 2022). La inclusión de la inteligencia artificial (IA) facilitará la automatización de procesos y la respuesta pertinente y rápida a las ciberamenazas, como el vishing. Asimismo, será clave para implementar mecanismos de seguridad como las OTP.
El CISO debe contar con un equipo capaz de desarrollar ecosistemas digitales con herramientas compatibles y escalables. Todas las soluciones que se otorguen con estos ecosistemas deben funcionar en conjunto.
Las estrategias propuestas por el CISO deben adecuarse a las necesidades de la compañía. No se pueden adquirir herramientas o desplegar habilidades sin considerar los objetivos empresariales. Esto reduciría la viabilidad de la estrategia, retrasaría la gestión de riesgo e incrementaría el coste.
El impacto del CISO tiene que ser significativo y acorde con la agilidad y la realidad empresarial. Gran parte del éxito y del crecimiento de la compañía dependerá del rol de este ejecutivo.
Este pilar es fundamental no solo para crear una estrategia, sino para consolidar un equipo de ciberseguridad capacitado y consciente del impacto tecnológico. El CISO debe asegurar que todo su equipo acceda a los conocimientos necesarios para usar adecuadamente la tecnología. Solo así estarán al día en tendencias y podrán mantener sus herramientas de ciberseguridad actualizadas.
El CISO por sí mismo es un agente de cambio dentro de la empresa. Sin embargo, el éxito de su tarea no se limita al cumplimiento de sus funciones –técnicamente hablando–. Incorporar los pilares a los que nos hemos referido asegurará un mayor impacto positivo de sus labores, así como la respuesta oportuna a las necesidades de la compañía.