Posted: 10 Jan. 2023 3 Tiempo de lectura

El reto transformacional que debe liderar un CISO

¿Estarías dispuesto a ahorrarte 2.000 euros en tu nuevo coche si este no incluyese un airbag? Seguro que no. Aunque parece un ejemplo obvio, en materia de ciberseguridad vemos muchos otros casos similares: ¿contratarías un servicio de almacenamiento en la nube que ahorra en el control de accesos? ¿Te operaría en un hospital en el que supieses que ahorran en los sistemas de DoS? ¿Te comprarías una casa al lado de una central nuclear en la que no invierten en segmentar adecuadamente la red OT e IT? ¿Harías uso de terminales de venta que no cifrasen las comunicaciones? Seguro que se entiende bien estos ejemplos.

Hemos de asumir que la ciberseguridad no se trata de un “coste” más del que podamos prescindir o no, ni si quiera es una “inversión” para evitar futuros ataques, como se suele decir. La ciberseguridad es parte del producto final, por la que el usuario está dispuesto a pagar. Es algo que se sobreentiende que ha de estar ahí.

La buena noticia es que cada vez este mensaje es compartido en mayor medida por la alta dirección. Los años en los que los CISO derrochaban esfuerzos en concienciar en materia de ciberseguridad a la alta dirección ya han pasado a la historia. Esta es una excelente noticia. La alta dirección ya está concienciada. Pero, si se acabó la evangelización, y ¿ahora qué? La respuesta es el reto transformacional que debe liderar el CISO y para ello es necesario un cambio de mentalidad. debemos de tener en cuenta que hoy en día este rol es menos autónomo que en el pasado y depende de un complejo ecosistema para tomar decisiones y llevar las iniciativas a buen puerto.
 

"El CISO es menos autónomo que en el pasado y depende de un complejo ecosistema para tomar decisiones"
 

De esta manera, el CISO empieza a trabajar con colaborares y en proyectos a los que no estaba acostumbrado. La ciberseguridad ya está en la agenda de los comités y, al ser un punto de gran interés, las decisiones y los proyectos van más allá de la figura del responsable de la ciberseguridad.

Finalmente, puesto que la ciberseguridad empieza y debe estar presente por defecto en el diseño de los servicios y productos de las organizaciones, el CISO debe conocer su negocio en mayor profundidad. No basta con conocer alto nivel qué hace cada área y cuales son los activos tecnológicos y de información más críticos.

El reto al que se enfrenta es complejo, puesto que debe más que nunca estar involucrado en actividades muy diferentes. Por ejemplo, debe asegurarse del correcto fine-tuning de los servicios de ciberseguridad y la evolución de estos. Las soluciones genéricas raramente encajan en las necesidades de la compañía.

Tampoco hay que olvidar que el modelo operativo debe evolucionar y ser totalmente sostenible y viable frente a la adquisición de tecnología. En los últimos años, se ha realizado en algunos casos una adquisición tecnológica desenfrenada sin tener en cuenta los altísimos costes de personal necesarios para poder operar esas tecnologías después. El número de alertas están aumentando a tal nivel que resulta casi imposible no contar con el apoyo de MSSP-. Al mismo tiempo, los diferentes equipos de ciberseguridad han crecido tanto que se puede observar como en las grandes compañías empiezan a generarse silos entre diferentes áreas de ciberseguridad donde la comunicación en muchos casos, como mínimo, es ineficiente.

Estos son algunos retos más cercanos a la capa de operación, pero existen otros que están más próximos a las capas de gobierno y estrategia, como es la capacidad que tiene el CISO para ser una palanca de la propia transformación del negocio. Además, debe  liderar el cumplimiento regulatorio, el cual cada vez es más intenso, y tener capacidad para anticipar y conectar los riesgos organizacionales.

Como se puede observar, todos estos retos se caracterizan por la necesidad de mayor proactividad por parte del CISO. Y, ¿cómo es posible atender todo al mismo tiempo siendo estas actividades de naturaleza tan diferente? Tradicionalmente, los modelos de gobierno de ciberseguridad lo situaban en la línea de defensa 1,5, es decir, próximo a las operaciones y al gobierno y negocio al mismo tiempo. Las empresas más grandes son conscientes de la hazaña que supone que un mismo rol tenga la capacidad de estar en ambas líneas de defensa a la vez mostrando un accountability real. Por ello, las más pioneras empiezan a dividir la figura del CISO en dos: uno encargado de asegurar las operaciones de ciberseguridad en la primera línea y otro, más cercano al negocio, que gobierna correctamente la ciberseguridad desde la segunda línea.

Evidentemente, no todas las empresas deben ir hacia este modelo, pero lo que sí que deben hacer todas es tener muy presente cómo se va a dotar de los recursos necesarios para atender este reto transformación en la ciberseguridad de sus compañías.

Al mismo tiempo, algunas compañías fallan en esta misión por una falta de foco, por no saber lo que es importante y lo que no. Lo que habitualmente suele coincidir con una falta de estrategia de ciberseguridad. Otras tienen planes de ciberseguridad, en lugar de estrategias robustas.

En un contexto tan complejo y de recursos tan limitados, la estrategia es la brújula que nos marca el camino, el oráculo que nos dice qué hacer y qué no hacer.

La estrategia de ciberseguridad debe crearse para una organización determinada y atender  a un contexto único y limitado en un periodo temporal. Es decir, no puede ser copiada por otra empresa, porque ni siquiera los competidores de un mismo sector cuentan con una misma realidad. Cada organización es única y sus estrategias de ciberseguridad deben serlo igualmente.

Por otro lado, es habitual que confunda la estrategia con la táctica. Diferentes estrategias pueden hacer uso de tácticas similares. Por tanto, son las tácticas las que sí pueden ser “copiadas” pero nunca la estrategia como tal.

Y, ¿por qué es tan importante disponer de una estrategia para abordar este reto transformacional? Porque el tiempo y los recursos son limitados y es vital saber dónde poner el foco. Una correcta estrategia debe hacer una declaración de cuál es la ambición del área de ciberseguridad en la compañía y cómo esta facilita que los objetivos del negocio se cumplan.

También debe priorizar: habrá dominios que serán más importantes para unas empresas que para otras. Por ejemplo,   IT, OT, físico, producto, cliente, proveedor o regiones, entre otros

Los riesgos tampoco son iguales para todas las compañías, ni tampoco las necesidades de protección. Hay organizaciones que erróneamente priorizan ciertas iniciativas basándose únicamente en un GAP sectorial, sin atender a si esa capacidad determinada debe ser potenciada o no. Y solo una correcta estrategia nos va a dar la respuesta que buscamos.

­

En definitiva, la definición correcta de la estrategia de una organización es la clave para luego tomar decisiones correctas acerca de cómo dotar de roles y responsabilidades al área de ciberseguridad y qué debo priorizar en mis futuros planes de acción. Aunque no es la única solución para poder hacer frente al reto transformacional que debe liderar el CISO, al menos sí es la primera que debe abordarse.

Como rezaba Sun Tzu en su famosísima obra ‘El arte de la guerra’: “La estrategia sin táctica es el más lento de los caminos hacia la victoria. La táctica sin estrategia es el ruido antes de la derrota”.

Conoce a nuestro experto

Miguel Olías de Lima

Miguel Olías de Lima

Senior Product Manager Cyber Strategy

Miguel es manager en el departamento de Cyber Risk Advisory desde el 2017. A lo largo de su trayectoria profesional ha participado en diversos proyectos relacionados con la ciberseguridad, especialmente aquellos más orientados a la rama estratégica como los Planes Directores de Ciberseguridad, Análisis de Riesgos, Target Operating Modelo y definición de arquitecturas de Seguridad. Actualmente ejerce como Product Manager de Cyber Strategy Transformation and Assessment de Deloitte en España.