El CISO y su función en la subsistencia de la organización
La seguridad de la información es un aspecto clave para la continuidad y el éxito de cualquier organización en un entorno tan cambiante y dinámico como el actual, donde los riesgos y las amenazas a todos los ámbitos son cada vez más frecuentes y sofisticados.
Por ello, es necesario contar con un profesional que lidere y coordine las estrategias, políticas y acciones para proteger los activos de información de la organización, así como para prevenir, detectar y responder a los incidentes que puedan afectarlos.
Este profesional es el Chief Information Security Officer (CISO) y entre sus funciones principales, se encuentra la de definir la visión, los objetivos y el plan de acción en materia de seguridad de la información, siempre alineados con la estrategia y las necesidades del negocio.
Esto se materializa en la creación, operación y mejora del plan de gestión de seguridad de la información.
Para ello, debe realizar un análisis de los riesgos que afectan a la organización, identificar las vulnerabilidades y amenazas, establecer los controles y las medidas de protección adecuadas, así como supervisar su implementación y cumplimiento.
El CISO tiene también un papel fundamental en la detección y la respuesta a los incidentes de seguridad, ya que debe establecer los mecanismos y los procedimientos para monitorizar, alertar y actuar ante cualquier incidente que pueda comprometer la confidencialidad, la integridad o la disponibilidad de la información.
Asimismo, debe asegurar la recuperación y la continuidad de los servicios afectados, así como analizar las causas y las lecciones aprendidas para mejorar la seguridad.
Añadido a todo lo anterior, debe gestionar los recursos humanos, técnicos y financieros necesarios para garantizar la eficacia y la eficiencia de las actividades de seguridad de la información.
Sin embargo, todas estas funciones no serían efectivas si el CISO no fuera capaz de comunicar y sensibilizar a la alta dirección y al resto del negocio sobre la importancia de la seguridad de la información para el logro de los objetivos estratégicos y operativos de la empresa.
El CISO debe ser un líder que sepa hablar el lenguaje del negocio basándose en conceptos claros y sencillos, que entienda sus prioridades y sus retos, que demuestre el valor y el retorno de inversión de las iniciativas de seguridad, que genere confianza y que fomente una cultura de seguridad en toda la organización.
Debe mostrar y demostrar cómo la seguridad de la información aporta valor a la organización, mediante indicadores que reflejen su impacto en el rendimiento, la eficiencia y la innovación.
Presentará la seguridad de la información como una inversión rentable, que genera un retorno positivo al reducir las pérdidas por incidentes, al aumentar la confianza de los clientes y al facilitar el acceso a nuevos mercados.
Así mismo, debe hacerles entender los riesgos a los que se enfrenta la organización ante las crecientes vulnerabilidades y ataques cibernéticos, que pueden comprometer su reputación, su cumplimiento legal, su rentabilidad y, en definitiva, su permanencia en el mundo.
En conclusión, el CISO es un elemento muy importante en la organización, que aglutina variados conocimientos técnicos y organizativos, pero también otras habilidades que pueden parecer menos evidentes y que, en su conjunto, le permiten desarrollar un papel clave entre las áreas tecnológicas, de negocio y la alta dirección con el fin de asegurar los objetivos estratégicos de la empresa.
Gabriel Aracil Pizarro, Senior Consultant & Advisor at GOVERTIS parte de Telefonica Tech
