ā€œSisoasaservisā€

Hay personas que cuando hablan castellano en pĆŗblico tienen el don de cautivar a la audiencia no necesariamente por su sabidurĆ­a, ni por su elegante oratoria, ni por dar un enfoque novedoso al asunto ventilado. Ni siquiera por el tono de su voz. No. Cautivan por tener un suave acento forĆ”neo, agradable y resultón –a veces, incluso exótico–, que acaricia las entendederas.

Y esto es lo que le sucede a Gianluca D’Antonio (en adelante GD), exconsultor, exCISO de FCC, exCIO de FCC, flamante socio de Deloitte en la PrĆ”ctica de Ciber de Risk Advisory y, a fecha de cierre de esta edición, presidente del ISMS Forum Spain. (Cofundador lo serĆ” siempre).

Tuve el honor de escuchar a GD en León durante la celebración de 12ENISE, en el curso del panel en el que se presentó el Libro Blanco del CISO (en el que ademĆ”s de Ć©l, participaron CISOs en activo). Y quedĆ© prendado, ademĆ”s de por lo atinado de sus intervenciones, por ese acento suyo tan caracterĆ­stico. Si GD habla del CISO, dice SISO; si menciona al ISMS, el acento no le se nota. Y si habla del ā€˜CISO as a Service’, GD lo pronuncia como ā€˜Sisoasaservis’. Y me regala, sin saberlo, el tĆ­tulo de este artĆ­culo.

CISOing y Baas

Pero quedarme en esta anécdota no sería honrado. Así que hinquémosle el diente al tema de fondo que pretendo tocar aquí, siquiera de refilón; a saber: el CISO y su circunstancia.

Y, ¿cuÔl es la circunstancia del CISO? Pues no es una, son muchas. Nos centraremos en tres: su posible reconocimiento legal en España, la pertinencia de su denominación, y su perspectiva de futuro.

Entrémosle a la primera circunstancia: el reconocimiento de la función en una pieza legal de nivel. Esa pieza, sin duda, debería de ser el Real Decreto (en preparación) de desarrollo del Real Decreto-ley por el que se transpuso a nuestra legislación la Directiva NIS. Mi opinión es que hay que reconocer la función, la figura y las responsabilidades para la parte del sector privado regulado por la NIS. Y tarde o temprano, la parte alta de la cadena de provisión asumirÔ el modelo. La media y baja lo tendrÔ mÔs complicado. Después, vendrÔn las normativas sectoriales para matizar o ajustar. No obstante lo dicho, bueno es recordar aquí que muchas compañías tienen CISO desde hace años, con o sin legislación.

La segunda circunstancia es la denominación de la figura: Chief Information Security Officer, CISO. En la mesa referida de 12ENISE quedó patente que esta denominación se queda corta. El asunto lo suscitó atinadamente GD. Como sabemos, Gartner ya ha zanjado este debate, al denominarlo responsable de seguridad digital. Yo, que llevo años en esto, no tengo claros hoy los contornos de la seguridad digital, ni los de la física. Y encima, me resisto a subsumirlos en el concepto de seguridad integral, inventado en el siglo pasado por la parte física (en el Ômbito PIC de hoy, el responsable de seguridad y enlace).

El último punto que trataremos aquí es el porvenir del CISO. Algunos auguran que la automatización lo irÔ disolviendo y sus funciones se diseminarÔn en otros territorios de la gestión. QuizÔ; pero esto les pasarÔ a todos los Chief. Por el momento, los CISOs tienen bastante trabajo y su papel estÔ hiperjustificado.

PodrĆ­a aventurarse que la externalización llevarĆ” a los proveedores a profundizar en la prestación de servicios de ā€œCISOingā€ (on premise y gestionados). Si asĆ­ fuese, la perspectiva de empleo se ampliarĆ­a, porque habrĆ­a puestos para CISO interno regulado y contratación para ā€˜Sisoasaservis’. Unos se comerĆ­an los marrones, y los otros ganarĆ­an mĆ”s dinero.

La cosa no acaba aquí, porque seguro que en estos momentos, lector, algún intrépido proveedor, en pleno subidón digital, estarÔ preparando su rompedor portafolio para 2019, en el que ofrecerÔ una línea de BaaS (Board as a Service). Y si cuela, Gartner le tendrÔ que poner un nombre molón y criar un cuadrante.

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×