āSisoasaservisā
Hay personas que cuando hablan castellano en pĆŗblico tienen el don de cautivar a la audiencia no necesariamente por su sabidurĆa, ni por su elegante oratoria, ni por dar un enfoque novedoso al asunto ventilado. Ni siquiera por el tono de su voz. No. Cautivan por tener un suave acento forĆ”neo, agradable y resultĆ³n āa veces, incluso exĆ³ticoā, que acaricia las entendederas.
Y esto es lo que le sucede a Gianluca DāAntonio (en adelante GD), exconsultor, exCISO de FCC, exCIO de FCC, flamante socio de Deloitte en la PrĆ”ctica de Ciber de Risk Advisory y, a fecha de cierre de esta ediciĆ³n, presidente del ISMS Forum Spain. (Cofundador lo serĆ” siempre).
Tuve el honor de escuchar a GD en LeĆ³n durante la celebraciĆ³n de 12ENISE, en el curso del panel en el que se presentĆ³ el Libro Blanco del CISO (en el que ademĆ”s de Ć©l, participaron CISOs en activo). Y quedĆ© prendado, ademĆ”s de por lo atinado de sus intervenciones, por ese acento suyo tan caracterĆstico. Si GD habla del CISO, dice SISO; si menciona al ISMS, el acento no le se nota. Y si habla del āCISO as a Serviceā, GD lo pronuncia como āSisoasaservisā. Y me regala, sin saberlo, el tĆtulo de este artĆculo.
JosƩ de la PeƱa MuƱoz
Director
jpm@codasic.com
CISOing y Baas
Pero quedarme en esta anĆ©cdota no serĆa honrado. AsĆ que hinquĆ©mosle el diente al tema de fondo que pretendo tocar aquĆ, siquiera de refilĆ³n; a saber: el CISO y su circunstancia.
Y, ĀæcuĆ”l es la circunstancia del CISO? Pues no es una, son muchas. Nos centraremos en tres: su posible reconocimiento legal en EspaƱa, la pertinencia de su denominaciĆ³n, y su perspectiva de futuro.
EntrĆ©mosle a la primera circunstancia: el reconocimiento de la funciĆ³n en una pieza legal de nivel. Esa pieza, sin duda, deberĆa de ser el Real Decreto (en preparaciĆ³n) de desarrollo del Real Decreto-ley por el que se transpuso a nuestra legislaciĆ³n la Directiva NIS. Mi opiniĆ³n es que hay que reconocer la funciĆ³n, la figura y las responsabilidades para la parte del sector privado regulado por la NIS. Y tarde o temprano, la parte alta de la cadena de provisiĆ³n asumirĆ” el modelo. La media y baja lo tendrĆ” mĆ”s complicado. DespuĆ©s, vendrĆ”n las normativas sectoriales para matizar o ajustar. No obstante lo dicho, bueno es recordar aquĆ que muchas compaƱĆas tienen CISO desde hace aƱos, con o sin legislaciĆ³n.
La segunda circunstancia es la denominaciĆ³n de la figura: Chief Information Security Officer, CISO. En la mesa referida de 12ENISE quedĆ³ patente que esta denominaciĆ³n se queda corta. El asunto lo suscitĆ³ atinadamente GD. Como sabemos, Gartner ya ha zanjado este debate, al denominarlo responsable de seguridad digital. Yo, que llevo aƱos en esto, no tengo claros hoy los contornos de la seguridad digital, ni los de la fĆsica. Y encima, me resisto a subsumirlos en el concepto de seguridad integral, inventado en el siglo pasado por la parte fĆsica (en el Ć”mbito PIC de hoy, el responsable de seguridad y enlace).
El Ćŗltimo punto que trataremos aquĆ es el porvenir del CISO. Algunos auguran que la automatizaciĆ³n lo irĆ” disolviendo y sus funciones se diseminarĆ”n en otros territorios de la gestiĆ³n. QuizĆ”; pero esto les pasarĆ” a todos los Chief. Por el momento, los CISOs tienen bastante trabajo y su papel estĆ” hiperjustificado.
PodrĆa aventurarse que la externalizaciĆ³n llevarĆ” a los proveedores a profundizar en la prestaciĆ³n de servicios de āCISOingā (on premise y gestionados). Si asĆ fuese, la perspectiva de empleo se ampliarĆa, porque habrĆa puestos para CISO interno regulado y contrataciĆ³n para āSisoasaservisā. Unos se comerĆan los marrones, y los otros ganarĆan mĆ”s dinero.
La cosa no acaba aquĆ, porque seguro que en estos momentos, lector, algĆŗn intrĆ©pido proveedor, en pleno subidĆ³n digital, estarĆ” preparando su rompedor portafolio para 2019, en el que ofrecerĆ” una lĆnea de BaaS (Board as a Service). Y si cuela, Gartner le tendrĆ” que poner un nombre molĆ³n y criar un cuadrante.
