La evolución de un director de seguridad de la información (CISO): cómo ha cambiado su función
En muchas organizaciones, el Director de Seguridad de la Información (director de seguridad de la información (CISO)) se centra principalmente, y a veces exclusivamente, en la ciberseguridad. Sin embargo, con las amenazas sofisticadas actuales y el escenario de amenazas en evolución, las empresas están cambiando las responsabilidades de muchos roles, y la expansión del rol del director de seguridad de la información (CISO) está a la vanguardia de esos cambios. Según Gartner, la presión regulatoria y la expansión de la superficie de ataque darán como resultado que el 45 % de las competencias de los CISO se expandan más allá de la ciberseguridad para 2027.
Con el alcance de las responsabilidades de un director de seguridad de la información (CISO) cambiando tan rápidamente, ¿cómo se adaptará el rol para enfrentar los desafíos cibernéticos del futuro?
¿Su equipo captaría a tiempo el próximo día cero?
Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.
Steve Katz se convirtió en el primer director de seguridad de la información (CISO) del mundo cuando asumió el cargo en Citicorp/Citigroup en 1995. Desde el inicio de su trayectoria como director de seguridad de la información (CISO), Katz se dio cuenta de que el puesto no era solo un puesto en TI; se trataba de servir al negocio reduciendo riesgos. En los años siguientes, otras organizaciones agregaron este nuevo puesto, con el CISO reportando al CIO en la mayoría de las estructuras organizacionales. Si bien muchos CISO reconocieron la verdadera naturaleza de su función, el resto de sus organizaciones a menudo no estaban en la misma página.
Con el tiempo, los CISO se encontraron gestionando problemas fuera de sus organizaciones, como la creación de asociaciones, el trabajo con proveedores y la gestión de transmisiones de datos externas. Sin embargo, muchas organizaciones sintieron que el rol aún permanecía principalmente en el ámbito de TI, con la principal responsabilidad de evitar que el negocio apareciera en los titulares debido a una violación de seguridad cibernética. Esto significaba que muchos CISOs se centraban principalmente en el cumplimiento y la gestión de riesgos.
En los últimos años, el rol del director de seguridad de la información (CISO) ha dado otro cambio significativo ante el aumento de los ataques cibernéticos y los crecientes riesgos de interrupción del negocio, multas y daños a la reputación. Según el Informe del director de seguridad de la información (CISO) de Splunk, el 86 % de los encuestados dice que el rol ha cambiado tanto desde que se convirtió en director de seguridad de la información (CISO) que es casi un trabajo diferente. El rol ha pasado de ser principalmente un rol técnico a más de un líder empresarial.
En lugar de implementar la ciberseguridad, los CISO ahora se enfocan en ayudar a los líderes de la organización a comprender la importancia de la ciberseguridad y liderar el pensamiento estratégico para la estrategia cibernética de la organización. Los CISO cierran la brecha entre el lenguaje técnico que llega fácilmente al departamento de TI y el lenguaje empresarial de la alta dirección.
Este cambio también provocó una remodelación de la estructura organizacional, ya que el 47 % de los CISO ahora reportan directamente a su CEO, según el informe de Splunk. Al hacer que el CISO responda al CEO en lugar del CIO, la organización ilustra la importancia de la ciberseguridad como una prioridad clave. Además, los CISO ahora tienen una mayor influencia con un puesto en la mesa ejecutiva y, a menudo, incluso en la junta directiva.
Los expertos en ciberseguridad debaten si el papel del director de seguridad de la información (CISO) debe centrarse en los negocios o en la Tecnología. A medida que avancemos, la respuesta caerá sólidamente en el medio. Más que nunca, los CISO exitosos de hoy deben poseer una rara combinación de perspicacia técnica y comercial para tener éxito en el puesto.
En lugar de simplemente ayudar a la organización a hablar un lenguaje común en términos de ciberseguridad y riesgo, el director de seguridad de la información (CISO) asumirá un papel de liderazgo mayor, asumiendo la Estrategia de ciberseguridad para toda la organización. Con el aumento del perfil y la responsabilidad, otros empleados también se darán cuenta de la importancia de la ciberseguridad en las organizaciones.
Como uno de los roles ejecutivos más nuevos, que solo existió durante las últimas décadas, el director de seguridad de la información (CISO) ha evolucionado considerablemente desde que Katz fue noticia. A medida que las amenazas se vuelven más sofisticadas y las empresas se vuelven cada vez más digitales, la interrupción del negocio de los ataques de ciberseguridad a menudo afecta todos los aspectos de una empresa. Las organizaciones que se dan cuenta de la creciente importancia de la ciberseguridad y evolucionan su función de director de seguridad de la información (CISO) pueden crear una cultura en la que cada empleado y ejecutivo vea la ciberseguridad como su trabajo.