“Sisoasaservis”

Hay personas que cuando hablan castellano en público tienen el don de cautivar a la audiencia no necesariamente por su sabiduría, ni por su elegante oratoria, ni por dar un enfoque novedoso al asunto ventilado. Ni siquiera por el tono de su voz. No. Cautivan por tener un suave acento foráneo, agradable y resultón –a veces, incluso exótico–, que acaricia las entendederas.

Y esto es lo que le sucede a Gianluca D’Antonio (en adelante GD), exconsultor, exCISO de FCC, exCIO de FCC, flamante socio de Deloitte en la Práctica de Ciber de Risk Advisory y, a fecha de cierre de esta edición, presidente del ISMS Forum Spain. (Cofundador lo será siempre).

Tuve el honor de escuchar a GD en León durante la celebración de 12ENISE, en el curso del panel en el que se presentó el Libro Blanco del CISO (en el que además de él, participaron CISOs en activo). Y quedé prendado, además de por lo atinado de sus intervenciones, por ese acento suyo tan característico. Si GD habla del CISO, dice SISO; si menciona al ISMS, el acento no le se nota. Y si habla del ‘CISO as a Service’, GD lo pronuncia como ‘Sisoasaservis’. Y me regala, sin saberlo, el título de este artículo.

CISOing y Baas

Pero quedarme en esta anécdota no sería honrado. Así que hinquémosle el diente al tema de fondo que pretendo tocar aquí, siquiera de refilón; a saber: el CISO y su circunstancia.

Y, ¿cuál es la circunstancia del CISO? Pues no es una, son muchas. Nos centraremos en tres: su posible reconocimiento legal en España, la pertinencia de su denominación, y su perspectiva de futuro.

Entrémosle a la primera circunstancia: el reconocimiento de la función en una pieza legal de nivel. Esa pieza, sin duda, debería de ser el Real Decreto (en preparación) de desarrollo del Real Decreto-ley por el que se transpuso a nuestra legislación la Directiva NIS. Mi opinión es que hay que reconocer la función, la figura y las responsabilidades para la parte del sector privado regulado por la NIS. Y tarde o temprano, la parte alta de la cadena de provisión asumirá el modelo. La media y baja lo tendrá más complicado. Después, vendrán las normativas sectoriales para matizar o ajustar. No obstante lo dicho, bueno es recordar aquí que muchas compañías tienen CISO desde hace años, con o sin legislación.

La segunda circunstancia es la denominación de la figura: Chief Information Security Officer, CISO. En la mesa referida de 12ENISE quedó patente que esta denominación se queda corta. El asunto lo suscitó atinadamente GD. Como sabemos, Gartner ya ha zanjado este debate, al denominarlo responsable de seguridad digital. Yo, que llevo años en esto, no tengo claros hoy los contornos de la seguridad digital, ni los de la física. Y encima, me resisto a subsumirlos en el concepto de seguridad integral, inventado en el siglo pasado por la parte física (en el ámbito PIC de hoy, el responsable de seguridad y enlace).

El último punto que trataremos aquí es el porvenir del CISO. Algunos auguran que la automatización lo irá disolviendo y sus funciones se diseminarán en otros territorios de la gestión. Quizá; pero esto les pasará a todos los Chief. Por el momento, los CISOs tienen bastante trabajo y su papel está hiperjustificado.

Podría aventurarse que la externalización llevará a los proveedores a profundizar en la prestación de servicios de “CISOing” (on premise y gestionados). Si así fuese, la perspectiva de empleo se ampliaría, porque habría puestos para CISO interno regulado y contratación para ‘Sisoasaservis’. Unos se comerían los marrones, y los otros ganarían más dinero.

La cosa no acaba aquí, porque seguro que en estos momentos, lector, algún intrépido proveedor, en pleno subidón digital, estará preparando su rompedor portafolio para 2019, en el que ofrecerá una línea de BaaS (Board as a Service). Y si cuela, Gartner le tendrá que poner un nombre molón y criar un cuadrante.

Uso de cookies

Este sitio utiliza cookies propias y de terceros para facilitar la navegación. Si continúa navegando consideramos que acepta su uso. Política de cookies.

ACEPTAR
Aviso de cookies