“La gente en los círculos de CISO habla mucho sobre responsabilidad. Estamos todos preocupados por ello”, reconoce Deaner. «La gente se está tomando muy en serio los cambios a esas regulaciones porque están ahí por una razón».
En opinión de Nagler, unos parámetros regulatorios más definidos podrían en realidad convertirse en “el mejor regalo” para los CISO. “Los líderes se están dando cuenta y, con suerte, esto está impulsando acciones más reflexivas y el desarrollo responsable de programas (de ciberseguridad) en las organizaciones. Es una gran oportunidad para que los CISO evolucionen su función y su valor para la empresa más allá de la tecnología y se conviertan en socios estratégicos”, afirma.
Eso podría requerir un encuentro cara a cara más frecuente y significativo con la alta dirección. Sin embargo, el estudio de IANS/Artico indicó:
- Sólo el 20% de los CISO son considerados ejecutivos de nivel C en sus organizaciones.
- Sólo el 50% de los CISO interactúan con su junta directiva trimestralmente.
- Aunque el 85% quiere una orientación clara sobre la tolerancia al riesgo por parte de su junta directiva, sólo el 36% la obtiene.
“Muchas veces los CISO todavía reportan al CIO o al CTO, la parte técnica de la organización. Entonces, por mucho que deberían informar al CEO, muchos de ellos todavía no lo hacen”, dice Fitzgerald.
Replantear la posición del CISO para el futuro
Ante las amenazas cibernéticas que surgen constantemente, los avances de la IA que parecen surgir de la noche a la mañana y un panorama legislativo que cambia de forma, ¿qué debe hacer un CISO hoy en día? en un nota de investigación 2022 que declaró que los CISO simplemente están «agotados», Sam Oyaei de Gartner argumentó que el papel debe replantearse por completo: como líder de la gestión de riesgos compartidos, no como el único portero encargado de prevenir infracciones. “[The job] «Debe evolucionar de ser la persona responsable de facto para tratar los riesgos cibernéticos a ser responsable de garantizar que los líderes empresariales tengan las capacidades y el conocimiento necesarios para tomar decisiones informadas y de alta calidad sobre riesgos de información», escribió Olyeai, vicepresidente de asesoría en ciberseguridad de Gartner.
Haciéndose eco de esto, Nagler insta a los CISO de hoy a “reconocer que no es su única responsabilidad” equilibrar las delicadas dualidades de gestionar el riesgo y permitir el crecimiento empresarial. Más bien, dice que su deber es «asegurarse de que el equipo de liderazgo esté equipado para equilibrar eso: enhebrar la aguja, explicar las cosas, anticipar, comprender hacia dónde se dirige».
Fitzgerald aconseja a la generación actual de CISO que se centren en la estrategia y la gobernanza, «asegurándose de que se estén haciendo todas las cosas correctas y de que se esté logrando la propiedad de la seguridad en toda la organización, no sólo las partes técnicas de la misma».
La última palabra la tiene el primer CISO. En 2021, cuando Steve Katz reflexionó sobre su trabajo pionero en Citicorp en 1995, describió proféticamente su enfoque del puesto en términos muy similares. «Los departamentos de TI fueron la parte más pequeña del problema», dijo Katz. «Desde el primer día, la filosofía subyacente fue que la seguridad de la información es una cuestión de riesgo empresarial; es una cuestión de gestión de riesgos empresariales».