āSisoasaservisā
Hay personas que cuando hablan castellano en pĆŗblico tienen el don de cautivar a la audiencia no necesariamente por su sabidurĆa, ni por su elegante oratoria, ni por dar un enfoque novedoso al asunto ventilado. Ni siquiera por el tono de su voz. No. Cautivan por tener un suave acento forĆ”neo, agradable y resultón āa veces, incluso exóticoā, que acaricia las entendederas.
Y esto es lo que le sucede a Gianluca DāAntonio (en adelante GD), exconsultor, exCISO de FCC, exCIO de FCC, flamante socio de Deloitte en la PrĆ”ctica de Ciber de Risk Advisory y, a fecha de cierre de esta edición, presidente del ISMS Forum Spain. (Cofundador lo serĆ” siempre).
Tuve el honor de escuchar a GD en León durante la celebración de 12ENISE, en el curso del panel en el que se presentó el Libro Blanco del CISO (en el que ademĆ”s de Ć©l, participaron CISOs en activo). Y quedĆ© prendado, ademĆ”s de por lo atinado de sus intervenciones, por ese acento suyo tan caracterĆstico. Si GD habla del CISO, dice SISO; si menciona al ISMS, el acento no le se nota. Y si habla del āCISO as a Serviceā, GD lo pronuncia como āSisoasaservisā. Y me regala, sin saberlo, el tĆtulo de este artĆculo.

JosƩ de la PeƱa MuƱoz
Director
jpm@codasic.com
CISOing y Baas
Pero quedarme en esta anĆ©cdota no serĆa honrado. AsĆ que hinquĆ©mosle el diente al tema de fondo que pretendo tocar aquĆ, siquiera de refilón; a saber: el CISO y su circunstancia.
Y, ¿cuÔl es la circunstancia del CISO? Pues no es una, son muchas. Nos centraremos en tres: su posible reconocimiento legal en España, la pertinencia de su denominación, y su perspectiva de futuro.
EntrĆ©mosle a la primera circunstancia: el reconocimiento de la función en una pieza legal de nivel. Esa pieza, sin duda, deberĆa de ser el Real Decreto (en preparación) de desarrollo del Real Decreto-ley por el que se transpuso a nuestra legislación la Directiva NIS. Mi opinión es que hay que reconocer la función, la figura y las responsabilidades para la parte del sector privado regulado por la NIS. Y tarde o temprano, la parte alta de la cadena de provisión asumirĆ” el modelo. La media y baja lo tendrĆ” mĆ”s complicado. DespuĆ©s, vendrĆ”n las normativas sectoriales para matizar o ajustar. No obstante lo dicho, bueno es recordar aquĆ que muchas compaƱĆas tienen CISO desde hace aƱos, con o sin legislación.
La segunda circunstancia es la denominación de la figura: Chief Information Security Officer, CISO. En la mesa referida de 12ENISE quedó patente que esta denominación se queda corta. El asunto lo suscitó atinadamente GD. Como sabemos, Gartner ya ha zanjado este debate, al denominarlo responsable de seguridad digital. Yo, que llevo aƱos en esto, no tengo claros hoy los contornos de la seguridad digital, ni los de la fĆsica. Y encima, me resisto a subsumirlos en el concepto de seguridad integral, inventado en el siglo pasado por la parte fĆsica (en el Ć”mbito PIC de hoy, el responsable de seguridad y enlace).
El último punto que trataremos aquà es el porvenir del CISO. Algunos auguran que la automatización lo irÔ disolviendo y sus funciones se diseminarÔn en otros territorios de la gestión. QuizÔ; pero esto les pasarÔ a todos los Chief. Por el momento, los CISOs tienen bastante trabajo y su papel estÔ hiperjustificado.
PodrĆa aventurarse que la externalización llevarĆ” a los proveedores a profundizar en la prestación de servicios de āCISOingā (on premise y gestionados). Si asĆ fuese, la perspectiva de empleo se ampliarĆa, porque habrĆa puestos para CISO interno regulado y contratación para āSisoasaservisā. Unos se comerĆan los marrones, y los otros ganarĆan mĆ”s dinero.
La cosa no acaba aquĆ, porque seguro que en estos momentos, lector, algĆŗn intrĆ©pido proveedor, en pleno subidón digital, estarĆ” preparando su rompedor portafolio para 2019, en el que ofrecerĆ” una lĆnea de BaaS (Board as a Service). Y si cuela, Gartner le tendrĆ” que poner un nombre molón y criar un cuadrante.