El papel transformador del CISO

imagen blog principal para el articulo El CISO y su función en la subsistencia de la organización. CISO accionando botón de ciberseguridad.

El papel transformador del CISO

Los nuevos desafíos hacia un futuro digital más seguro y resiliente

El futuro del rol del Chief Information Security Officer (CISO) se presenta tan desafiante como emocionante, ya que son numerosos los cambios que están experimentando la tecnología, la ciberseguridad y el propio escenario de amenazas. La creciente dependencia de las organizaciones a la tecnología digital está haciendo que el papel CISO se haga cada vez más extenso y evolutivo, a medida que se enfrenta a nuevos desafíos y una creciente base de responsabilidades.

En un mundo digital, el CISO desempeña un papel estratégico, en asegurar los activos digitales de una organización en constante evolución. Los CISO ya no se centran únicamente en la seguridad de la información. Su práctica se ha ampliado para incluir la gestión de riesgos en el lugar de trabajo, la resiliencia organizacional y la estrategia de seguridad digital. Esto requiere habilidades en áreas como inteligencia artificial (IA), aprendizaje automático (ML), seguridad en los servicios en la nube, así como un profundo conocimiento de las leyes globales de privacidad y cumplimiento.

A medida que los servicios en la nube y la Inteligencia Artificial (IA) se vuelven un componente esencial de las empresas, están también, transformando el papel del CISO al proporcionar herramientas avanzadas para defender las ciberdefensas y proteger los datos. En este artículo, nos adentraremos en cómo la transformación de los servicios en la nube y la IA trabajarán juntas para transformar el papel del CISO para un futuro digital más seguro y resiliente, nuevas habilidades y responsabilidades que se requieren, con cambios en el panorama de las amenazas, y el papel estratégico que los CISO deben adoptar para navegar con seguridad estas aguas turbias.

Nuevas Responsabilidades y Competencias

Para navegar con éxito este entorno, el CISO debe evolucionar más allá del rol tradicional centrado en la tecnología y asumir las funciones de estratega, innovador y comunicador eficaz. Debemos de tener en cuenta que hoy en día este rol es menos autónomo que en el pasado y depende de un complejo ecosistema para tomar decisiones y llevar las iniciativas a buen puerto.

La estrategia es la que nos marca el camino. Los CISOs debe comprender profundamente el negocio y cómo la IA puede servir tanto como una herramienta para mejorar la seguridad como un vector de riesgo. Esto implica participar en la planificación estratégica y en la toma de decisiones a nivel ejecutivo, asegurando que la seguridad sea una consideración integral en todas las iniciativas de negocio y transformación digital. Comunicando de manera efectiva la estrategia de ciberseguridad a diferentes partes interesadas, traduciendo conceptos técnicos en un lenguaje comprensible para equipos no técnicos

Para liderar eficazmente en la era de la IA, los CISOs deben estar al frente de las tendencias tecnológicas, evaluando constantemente nuevas herramientas y técnicas de seguridad. Esto significa experimentar con soluciones de IA y aprendizaje automático para mejorar las defensas de seguridad, al tiempo que se mantiene una visión crítica sobre los riesgos y limitaciones de estas tecnologías, la habilidad de adaptarse rápidamente a los cambios tecnológicos impulsados por la IA, así como gestionar crisis y situaciones de riesgo con eficacia, demostrando resiliencia en un entorno dinámico

La formación y la concienciación sobre ciberseguridad son más cruciales que nunca. Los CISOs deben liderar esfuerzos para fomentar una cultura de seguridad en toda la organización, comunicando efectivamente los riesgos y las mejores prácticas a todos los niveles, desde la junta directiva hasta el empleado individual. Esto también implica traducir complejidades técnicas en términos de impacto empresarial, para justificar inversiones en seguridad y tecnología.

Deben comunicar de manera efectiva la importancia de la seguridad de la información a todos los niveles de la organización, desde la junta directiva hasta los empleados de primera línea. Esto implica traducir temas técnicos complejos en un lenguaje claro y accesible, y persuadir a las partes interesadas para que adopten prácticas de seguridad o inviertan en tecnologías de seguridad.

Los CISOs, como defensores de la ética y el cumplimiento, deben asegurar que las implementaciones de IA en seguridad respeten las leyes de privacidad y protección de datos, y se adhieran a los principios éticos. Esto requiere una colaboración estrecha con los equipos legales y de cumplimiento, así como con las partes interesadas externas.

Nuevos desafíos: impulsando la Seguridad y Resiliencia Digital

El desafío para los Chief Information Security Officer (CISO) al llevar la Inteligencia Artificial (IA) y los servicios en la nube hacia un futuro digital más seguro y resiliente implica adaptarse a las nuevas tecnologías y enfrentar diversos retos en el ámbito de la ciberseguridad. A continuación, se presentan los aspectos clave relacionados con este desafío:

1. Preparación para el Auge de la Inteligencia Artificial

Actualmente, todo lo que se habla gira en torno a la IA generativa, pero muchas otras ramas de la IA, desde la robótica hasta el aprendizaje automático, continuarán transformando los negocios.

Los CISO deben estar preparados para adoptar la IA en sus estrategias de seguridad cibernética. La IA ofrece oportunidades significativas, como la detección avanzada de amenazas y la automatización de respuestas, pero también plantea desafíos en términos de integración y gestión eficaz.

Las empresas tendrán dificultades para definir las responsabilidades específicas de la inteligencia artificial (IA) en el trabajo. Al mismo tiempo, los atacantes utilizarán modelos de lenguaje a gran escala (LLM) e IA generativa para mejorar aún más los correos electrónicos de phishing, impulsar deepfakes y otras técnicas de ataque impulsadas por IA que hacen que estos ataques tengan tanto éxito en conjunto.

A medida que las organizaciones avanzan en sus proyectos de IA Generativa, se espera que se desplacen hacia la madurez, exponiendo dimensiones cruciales aún no comprendidas en las fases iniciales.

La IA puede aumentar drásticamente la complejidad de la ciberseguridad, no solo con la detección de anomalías en tiempo real, sino también con la detección inteligente para evitar el acceso no autorizado. La respuesta a incidentes basada en el aprendizaje automático permitirá a las organizaciones responder a las amenazas con una velocidad sin precedentes. Las empresas necesitan asociarse con profesionales de seguridad de IA confiables. Cualquier IA validada también debe seguir un cuidadoso proceso de validación para garantizar que los modelos que produce sean confiables y potentes.

Los CISO deben reconocer los riesgos de las estrategias impulsadas por la IA y aplicarlas de manera efectiva al negocio. Esto requiere una priorización clara de las tareas que son más valiosas para el negocio y tienen el mayor impacto en la ciberseguridad. Para aumentar el rendimiento de la seguridad y al mismo tiempo reducir la complejidad, los CISO deben confiar en plataformas impulsadas por IA. Además, los expertos deben compartir entre sí las mejores prácticas de seguridad de la IA e incorporarlas a la fuerza laboral.

Calibrar la seguridad, la privacidad y las implicaciones éticas inherentes a estas tecnologías es un desafío, y las organizaciones buscan establecer marcos que provean tanto la gestión de riesgos como la gobernanza al implementar la IA.

2. Asegurar la Privacidad de los Datos y la Seguridad en la Nube

Las empresas están migrando los sistemas a la nube, el volumen de datos que necesitan protección está aumentando rápidamente y cada vez más personas trabajan de forma remota y acceden a las redes corporativas con sus propios dispositivos, por lo que aumenta el riesgo de violaciones de datos y exige un enfoque robusto de privacidad y seguridad. Como resultado, la superficie de ciberataque se está expandiendo, creando más alertas y falsos positivos que los CISO deben gestionar.

La comprensión del entorno en el que se está realizando la transición juega un papel importante en la seguridad de los datos. Los CISOs deben adoptar un enfoque de privacidad y seguridad por diseño, implementando prácticas como el cifrado de datos en reposo y en tránsito, la gestión de identidades y accesos, y el cumplimiento de marcos regulatorios como GDPR. Además, utilizar la IA para mejorar la detección de amenazas y la respuesta a incidentes.

La única forma que tienen los CISOs de no perderse nada, detectando amenaza tras amenaza, es a través de la automatización.

La IA puede ayudar a automatizar la recopilación y análisis de datos necesarios para cumplir con regulaciones de privacidad de datos, como el GDPR, facilitando la demostración de cumplimiento. Puede identificar y clasificar datos sensibles almacenados en la nube, asegurando que se apliquen políticas de protección adecuadas y ayudando a prevenir la exposición de datos personales.

3. Gestionar la Complejidad de los Entornos Multi-Cloud

A medida que las organizaciones adoptan estrategias de multi-cloud o híbridas, para mejorar la resiliencia, optimizar costos y beneficiarse de las mejores soluciones que cada proveedor puede ofrecer, la tarea de asegurar estos entornos se vuelve más compleja y crítica. La adopción de servicios en la nube de múltiples proveedores introduce complejidad en la gestión y la seguridad.

Utilizar herramientas de gestión multi-cloud que ofrezcan visibilidad y control sobre los recursos distribuidos. Implementar políticas uniformes de seguridad y cumplimiento en todos los entornos cloud.

Con el auge de las soluciones en la nube, los CISOs necesitan tener un conocimiento profundo de las arquitecturas cloud, modelos de servicio (IaaS, PaaS, SaaS) y las implicaciones de seguridad asociadas, así como, necesitan establecer asociaciones estratégicas más sólidas con los proveedores con el objetivo monitorear y administrar continuamente los perfiles de riesgo (en constante evolución) para fortalecer la resiliencia operativa.

4. Fortalecer la Resiliencia ante Ciberataques

La resiliencia se ha convertido en un tema común para las organizaciones en sectores de infraestructura crítica como la energía, la comunicación y el transporte, con ejecutivos centrados en la recuperación en caso de que fallen los controles preventivos.

Las tácticas, técnicas y procedimientos de los adversarios evolucionan rápidamente, lo que requiere una capacidad de respuesta ágil y adaptativa. Durante un incidente cibernético, las organizaciones necesitan una respuesta medida en minutos y horas, no en días y semanas.

La resiliencia debe buscar una integración perfecta con la ciberseguridad, haciendo hincapié en la protección, la detección, una respuesta rápida y su recuperación. Es vital para mantener las competencias operativas de la empresa, proteger la confianza de los clientes y reducir el impacto de futuros ataques.

Los CISOs deben enfocarse en que se desarrollen sistemas de IA que puedan aprender de los ataques y adaptarse a nuevas amenazas, mejorando continuamente la detección de anomalías y la respuesta automatizada. Realizar simulaciones de ataque y ejercicios de recuperación ante desastres para mejorar la preparación.

Para lograr esto, los CISOs deben enfocarse en varias áreas clave y adoptar un enfoque holístico que abarque tanto la prevención como la recuperación. La ciberseguridad se está integrando en los procesos empresariales básicos, una realidad que se refleja en la transición del rol del CISO.

5.Promover la Colaboración y el Intercambio de Información

La fragmentación y la reticencia a compartir información sobre amenazas limitan la capacidad de las organizaciones para responder a ciberataques de manera efectiva.

Los CISOs deben fomentar la colaboración entre organizaciones, industrias y gobiernos para compartir inteligencia sobre amenazas y mejores prácticas de seguridad. Utilizar plataformas de intercambio de información y análisis de amenaza, para mejorar la defensa colectiva.

La IA puede desempeñar un papel crucial en la mejora de las capacidades de seguridad de una organización, no solo optimizando la detección y respuesta a amenazas, sino también facilitando y enriqueciendo la colaboración y el intercambio de información sobre ciberseguridad.

Al impulsar la colaboración con IA y otras entidades, el CISO puede mejorar significativamente la eficacia, velocidad y calidad de la postura de seguridad cibernética de la organización, permitiendo una respuesta más efectiva ante las amenazas digitales en un entorno cada vez más complejo y dinámico.

6. Abordar la Escasez de Talentos en Ciberseguridad

En respuesta a la creciente brecha de habilidades en el sector de la seguridad cibernética, se prevé un enfoque renovado en la educación y las habilidades interpersonales. La demanda de profesionales de ciberseguridad supera ampliamente la oferta, lo que pone en riesgo la capacidad de proteger infraestructuras críticas.

Las inversiones en tecnología de seguridad serán complementadas con esfuerzos para abordar problemas que la tecnología no puede resolver por sí sola, como las amenazas internas y el robo de credenciales legítimas. La formación de los equipos en la comprensión de sus responsabilidades y la prevención de incidentes será esencial.

Además, NIS2 exige a las juntas directivas ser más responsables en el ámbito de la ciberseguridad. El futuro posiciona al CISO como un estratega clave dentro de las organizaciones. Como resultado, las empresas agregarán más expertos o ex CISO a sus juntas directivas y establecerán comités dedicados a la ciberseguridad para abordar el creciente escrutinio por parte de los reguladores. La educación continua en ciberseguridad será un factor importante para fortalecer la confianza entre el CISO y la junta directiva.

Las empresas deben establecer un marco de gobernanza de la resiliencia cibernética que cuente con el apoyo explícito de la junta directiva. Los CISO deben establecer reuniones anuales de la junta directiva que involucren a socios del ecosistema (por ejemplo, vendedores, clientes y/o proveedores estratégicos), así como asesorar proactivamente a la junta directiva y realizar ejercicios teóricos

Invertir en la formación y el desarrollo de habilidades en ciberseguridad dentro de la organización. Además, aprovechar la IA para automatizar tareas de seguridad rutinarias y permitir que el personal se enfoque en desafíos más estratégicos.

7. Navegar por el Paisaje Regulatorio en Evolución

Las regulaciones de privacidad y seguridad varían según la industria y la ubicación geográfica. El CISO debe garantizar que la organización cumpla con todas las normativas aplicables. Las regulaciones nuevas en materia de privacidad y seguridad de la información están en constante evolución, lo que requiere una vigilancia continua para garantizar el cumplimiento.

Las organizaciones operan en un espacio regulatorio cada vez más complejo donde se establecen cada vez más requisitos regulatorios sobre la soberanía de la información, la seguridad en la cadena de suministro, la transparencia en el cumplimiento de los controles cibernéticos, la notificación de incidentes y, por supuesto, la privacidad. Las organizaciones necesitan calibrar sus reportes normativos para un mundo sin fronteras, así como mantener controles de seguridad que puedan personalizarse de acuerdo con los requisitos locales. También deben estar preparados para responder rápidamente a los cambios geopolíticos y a los diversos requisitos que supongan sanciones.

NIS2 y DORA en comparación con la directiva NIS1 ejercen presión sobre las organizaciones. Estos requisitos plantean el riesgo de malas interpretaciones e información incompleta, lo que a su vez puede provocar una escasez de recursos para las autoridades. Esta falta de recursos dificulta la priorización y calificación de los casos y da como resultado menos recursos para apoyo, educación y respuesta.

Tanto las autoridades como las organizaciones deberían utilizar la tecnología para comprender la gravedad y el impacto potencial de los nuevos requisitos, en lugar de evaluarlos reactivamente en tiempos de crisis. Es fundamental que las agencias y organizaciones desarrollen programas basados en tecnologías de gestión de superficies de ataque, inteligencia proactiva sobre amenazas y evaluaciones. Además, deben utilizar los servicios de empresas de seguridad acreditadas al responder a incidentes de seguridad. Las agencias deben adoptar un enfoque de ciberseguridad centrado en las amenazas para calificar los informes.

Mantener una estrategia proactiva de cumplimiento, monitoreando los cambios en la legislación y adaptando las prácticas de seguridad y privacidad en consecuencia. Utilizar la IA para ayudar en la gestión del cumplimiento y la evaluación de riesgos.

Conclusión

Estos desafíos resaltan la importancia de que los CISOs no solo comprendan las implicaciones técnicas del uso de la IA en la ciberseguridad, sino que también consideren aspectos estratégicos, de talento humano y de experiencia del cliente para garantizar que la implementación de esta tecnología afecte a su organización de manera más efectiva y eficiente.

En resumen, el CISO es un arquitecto de la seguridad digital. Su papel no solo es técnico, sino también estratégico. Al abordar los desafíos actuales y adoptar tecnologías emergentes, el CISO allana el camino hacia un futuro digital más seguro y resiliente para todas las organizaciones

Fuentes consultadas para el artículo:

Fernando Fernández-Pedraza Pérez, Senior Consultant & Advisor at GOVERTIS parte de Telefonica Tech

Por Blog AEC Govertis

25 de marzo de 2024

Cookie	Duración	Descripción
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Non Necessary".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
wpEmojiSettingsSupports	session	WordPress sets this cookie when a user interacts with emojis on a WordPress site. It helps determine if the user's browser can display emojis properly.

Cookie	Duración	Descripción
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.

Cookie	Duración	Descripción
_ga	1 year 1 month 4 days	Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.

Cookie	Duración	Descripción
yt-player-headers-readable	never	The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience.
yt-remote-cast-available	session	The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player.
yt-remote-cast-installed	session	The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-fast-check-period	session	The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos.
yt-remote-session-app	session	The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player.
yt-remote-session-name	session	The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video.
ytidb::LAST_RESULT_ENTRY_KEY	never	The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future.

menú

Club CISO