Como piedra angular de la seguridad informática, el CISO supervisa y aplica la política de seguridad de los sistemas de información de una organización. Para ello, se basa en la reglamentación, las buenas prácticas y las normas internacionales. Además de sus conocimientos técnicos, estos responsables combinan conocimientos organizativos y funcionales. Guillaume*, experto de Cyberwings, empresa especializada en ciberseguridad, nos lo explica todo.
Director de Seguridad de los Sistemas de Información (ISSM), Director de Seguridad Informática, Chief Information Security Officer (CISO), Director de Ciberseguridad... son sólo algunos de los nombres que recibe la persona responsable de poner en marcha la estrategia de ciberseguridad de una organización. El gran número de ofertas de empleo disponibles para esta función da fe de esta variedad de denominaciones. El CISO es, por tanto, un puesto muy solicitado. Y sin embargo, a pesar de ser un elemento clave para la confianza, la resistencia y el rendimiento del sistema de información, pocas organizaciones cuentan con un CISO.
Prescindir de un CISO a veces viene dictado por el tamaño de la empresa. Es el caso de las microempresas y las PYME. Y a veces es una cuestión de elección. Algunas organizaciones han decidido no dedicar un equivalente a tiempo completo a esta función, obligando a los departamentos de TI, finanzas o calidad a llevar este sombrero extra.
¿Cuáles son las funciones del CISO? ¿Qué competencias se requieren? En un momento en que gobernanza y la resiliencia de las organizaciones se revelan como grandes retos, teñidos de soberanía, responsabilidad social y sobriedad, ¿cómo marca el CISO el rumbo de la ciberseguridad y dirige la nave?
Misión nº 1 de los CISO: gobernar la ciberseguridad de una organización
Aunque a veces es complejo decidir a quién se le asigna -o se le asignará- el papel de CISO, es más fácil definir sus misiones. La principal tarea de un CISO es dirigir -como un capitán en un barco- los aspectos estratégicos y operativos de la ciberseguridad de una organización.
Estableciendo un rumbo
Gobernar es ante todo ayudar a la dirección a fijar un rumbo. Se define en la Política de Seguridad de los Sistemas de Información (PSSI). Debe ser coherente con las ambiciones estratégicas de la organización (desarrollo, proyecto de certificación, deseo de abordar nuevos mercados) y derivarse del análisis de riesgos realizado al más alto nivel de la organización.
La ciberamenaza está innegablemente presente hoy en día en diversas formas. Cualquier proyecto de estructuración debe integrar necesariamente la buenas prácticas de ciberseguridad tener éxito. El rumbo también puede estar condicionado o influido por terceros, clientes o socios con requisitos cada vez más exigentes, aseguradoras, autoridades públicas, etc. a través de controles, auditorías o normativas. Por último, puede consistir en "ponerse al día" y reducir la brecha entre lo que ya existe y las mejores prácticas en materia de seguridad de la información. Este desfase suele detectarse a raíz de incidentes sufridos internamente o de auditorías y pruebas.
Definir una hoja de ruta
La formalización de una hoja de ruta desglosada en proyectos operativos debe permitir al equipo del SSI avanzar hacia el objetivo fijado. Para poner en marcha estos proyectos, el CISO debe ser capaz de movilizar recursos técnicos, organizativos y humanos.
Sensibilizar, movilizar y apoyar
Debe implicar a todo el personal de la organización en la aplicación de buenas prácticas y medidas de seguridad. Esto implica sensibilización y la gestión del cambio. Pero el CISO también debe contar con recursos específicos, tanto internos como externos: el equipo de SI, los ecosistemas, los socios y los proveedores de servicios de confianza.
Dominar varias disciplinas
Movilizar, reunir y coordinar estos recursos requiere que el CISO comprenda las cuestiones jurídicas, tecnológicas y de gestión implicadas en cada uno de los proyectos cibernéticos que componen la hoja de ruta. También debe ser capaz de arbitrar sobre la base de un estado del arte actualizado regularmente, tanto en términos de ataque como de defensa, así como de un corpus sustancial de documentación.
El CISO ideal... ¿una oveja con cinco patas?
Abogado digital, hacker ético, desarrollador, estratega, psicólogo, contable... el CISO ideal suele verse como una "oveja de cinco patas".
Habilidades raras y múltiples...
Entre sus muchos talentos, deben ser capaces de gestionar una prueba de intrusión en la infraestructura de red, analizar el impacto en el tratamiento de datos sensibles, redactar una cláusula de seguridad en un contrato de servicios, integrar la seguridad en el desarrollo de aplicaciones, realizar campañas de sensibilización y sesiones de formación, e incorporar después los resultados al análisis de riesgos estratégicos y a la hoja de ruta de la organización, etc.
Estas habilidades requieren una gran experiencia y un amplio abanico de competencias que muy pocos candidatos al puesto poseen. No es de extrañar que los reclutadores tengan dificultades para encontrar talentos de este tipo.
... bien pagado
Los perfiles excepcionales exigen una remuneración excepcional: si nos remitimos a la encuesta realizada por elANSSI en 2021 entre los CISO, 67 % de los encuestados tienen un salario bruto anual de entre 55.000 y 100.000 euros. Tienen al menos una titulación superior de 5 años y 93 % son directivos o altos directivos, según la ANSSI. Además de estos altos niveles salariales, los candidatos también buscan una serie de beneficios sociales: horarios flexibles, teletrabajo, trabajo a tiempo parcial, etc.
Un trabajo exigente
Atractivo pero difícil, el puesto de CISO es altamente competitivo, con una alta rotación de personal. En los últimos dos años, el 51% de los CISO afirman haber sido contactados entre 10 y 30 veces por reclutadores.
Mantener una estrategia electrónica coherente a largo plazo con una sucesión de pilotos puede ser muy complejo para una organización. Si el CISO está ausente, de baja, enfermo o no disponible, existe el riesgo de que el barco vaya a la deriva. Por lo tanto, es esencial contar con una organización y un sistema de gobernanza de la SSI resistentes, apoyados por un equipo responsable y presente en el día a día.
Estructura pequeña o grande, dos tipos de RSSI
En microempresas y pymes
Aunque el 79 % de los CISO trabajan en organizaciones con más de 250 empleados, las organizaciones pequeñas siguen necesitando estructurar y gestionar su estrategia de ciberprotección. Este puede ser el caso cuando estas pequeñas organizaciones forman parte de un ecosistema expuesto, o cuando poseen conocimientos técnicos y activos intelectuales especialmente innovadores. En estos casos, el papel de CISO suele ser asumido por el responsable informático de la empresa.
Sin embargo, los recursos disponibles y asignados a la ciberseguridad en las pequeñas organizaciones rara vez están a la altura de los retos de protección de la información a los que se enfrentan. La producción, las líneas de negocio, el desarrollo empresarial y las TI suelen acaparar la mayor parte de los recursos financieros y humanos existentes. Estos recursos limitados llevan naturalmente a los CISO a hacer concesiones entre las distintas áreas y a implicarse tanto en cuestiones estratégicas como operativas.
Por ejemplo, no es raro ver a un CISO estructurando las especificaciones para una futura consulta por la mañana, redactando un correo electrónico de concienciación por la tarde y ocupándose de los tickets de los usuarios y los eventos de seguridad durante todo el día, e incluso hasta la noche.
Esta multiplicidad de funciones a menudo provoca la sensación de no tener suficientemente en cuenta los retos del futuro, que exigen anticipación y visión estratégica, y de encontrarse con la "nariz pegada a la piedra", al día a día de la empresa.
En medianas y grandes empresas
En las grandes organizaciones, ser CISO tampoco es moco de pavo. Si los recursos disponibles son mayores y el CISO dirige un verdadero equipo de seguridad, se enfrentará a problemas recurrentes de organización y posicionamiento.
El primer reto es implicarse en el proceso de toma de decisiones estratégicas y hacer que la alta dirección comprenda la importancia de los ciberriesgos y su impacto (jurídico, financiero, operativo, reputacional, etc.) en la organización.
Sin embargo, el CISO también debe ser capaz de desvincularse de la visión técnica del riesgo para explicar a la dirección las consecuencias de estos ciberriesgos. Una vez concluida esta primera cruzada, el CISO tendrá la onerosa tarea de cuantificar los ciberriesgos en términos de gravedad de los impactos estimados y de probabilidad de que se produzcan, con el fin de definir la dotación presupuestaria adecuada para reducir los riesgos a un nivel aceptable. Este presupuesto deberá justificarse, optimizarse y defenderse ante un departamento financiero que tiende a considerar esta partida como un coste más que como una inversión.
CISO, gestores de proyectos que necesitan saber cómo gestionar el estrés
En el extremo opuesto de la cadena organizativa, el CISO también se enfrenta al problema de gestionar y coordinar los distintos proyectos que se llevan a cabo al mismo tiempo. Desglosar los grandes proyectos en tareas interdependientes y distribuir los recursos asociados (humanos, temporales, financieros), garantizando al mismo tiempo un seguimiento y un análisis adecuados de los indicadores de rendimiento, puede ser un verdadero quebradero de cabeza. Esto es aún más cierto cuando es probable que un gran número de actores (equipo de seguridad interno, desarrolladores, líneas de negocio, expertos externos, consultores, etc.) participen simultáneamente en proyectos complejos, convirtiendo al CISO en un verdadero director de orquesta, luchando por mantener la armonía general y no desviarse de su partitura.
Todas estas responsabilidades, reforzadas por el hecho de ser designado, legal o simbólicamente, como culpable en caso de incidente, hacen que el trabajo de CISO sea complejo desde el punto de vista humano y crean un clima de ansiedad propicio al desarrollo de riesgos psicosociales (agotamiento, incapacidad para desconectar, etc.). De hecho, tres cuartas partes de los encuestados por la ANSSI consideran que su trabajo es estresante, o incluso muy estresante.
Externalizar la función de CISO para aligerar la carga de trabajo
Por último, la escasez de perfiles disponibles en el mercado laboral, combinada con las limitaciones asociadas a esta función, hace que la contratación de un CISO sea un proceso complejo. Por no mencionar el hecho de que será difícil mantener dicho perfil dentro de la organización.
Contratar a un CISO para que actúe como un superhéroe de la ciberseguridad representa, por tanto, una inversión real. Para la empresa, también significa poner todas las responsabilidades cibernéticas en manos de una sola persona, que no tendrá margen de error.
Ante estas dificultades, la externalización total o parcial de la función de CISO es una solución que merece la pena considerar. Apoyarse en empresas y equipos de expertos externos para dirigir o codirigir la ciberestrategia, o para contribuir al desarrollo del CISO en funciones, es una manera de limitar los riesgos y debilidades mencionados anteriormente, optimizando al mismo tiempo los recursos ya asignados. La elección de un "equipo mixto" es, desde el punto de vista de los expertos, la configuración óptima para asumir la ardua misión de CISO.
El entrenamiento, imprescindible para aguantar la barra
La compleja función de CISO requiere una verdadera formación tanto en los aspectos técnicos como en los de gestión. Esto permitirá a los futuros CISO comprender mejor los conceptos de seguridad que tendrán que aplicar día a día, y coordinar y movilizar lo mejor posible a todos los actores de la SI con los que trabajarán.
Nuestra mejor formación
- Seguridad de los sistemas de información, resumen
- Ciberseguridad de redes e Internet, resumen
- Seguridad de sistemas y redes, nivel 2
Todos nuestros cursos de formación en :
