De Nerd-CISO a Pulgar-CITO

Comienzo hoy mis cavilaciones hablando de la historia de la tecnología en las empresas. Los mÔs antiguos del lugar recordarÔn aquellos tiempos en los que la mÔquina del fax era tan imprescindible como es ahora el correo electrónico. Este ejemplo me sirve para demostrar cómo la tecnología ha pasado de ser un elemento importante a convertirse en una pieza imprescindible de todos los procesos que hoy en día conforman una organización.

El aumento en importancia de la tecnologĆ­a ha requerido que la posición del responsable de tecnologĆ­a en una empresa haya tambiĆ©n subido posiciones en el escalafón jerĆ”rquico empresarial. Esta adaptación, sin embargo, es mĆ”s lenta que la pervasividad de la tecnologĆ­a. AĆŗn es frecuente ver a directores de tecnologĆ­a, los llamados CIOs, reportando al director de operaciones, el COO, quien reporta a su vez al órgano de dirección (ā€œmanagement bodyā€).

La seguridad informĆ”tica dio sus primeros pasos, como no podĆ­a ser de otro modo, dentro de los departamentos de tecnologĆ­a. El responsable de seguridad, el CISO, ha reportado tradicionalmente al responsable de tecnologĆ­a (CIO), quiĆ©n ā€œtraducĆ­aā€ a la alta dirección los mensajes del CISO, carente de habilidades sociales (ā€œNerd-CISOā€). AĆŗn es muy frecuente encontrar organizaciones en las que el CISO estĆ” a dos o tres niveles de reporte del consejo: CISO a CIO y Ć©ste a COO.

La llegada de legislación europea enfocada en la ciberseguridad nos trae interesantes novedades. En concreto, NIS2 es la directiva para mejorar la ciberseguridad en la UE. Su fecha límite de transposición a la legislación nacional es septiembre de 2024. DORA es el reglamento enfocado a la resiliencia digital de las entidades financieras, cuyos estÔndares técnicos serÔn de obligado cumplimiento en enero de 2025.

NIS2, en su artĆ­culo 20, indica que ā€œlos Estados miembros garantizarĆ”n que los miembros de los órganos de dirección de las entidades esenciales e importantes deban asistir a formaciones …para adquirir conocimientos y destrezas … que les permitan detectar riesgos de ciberseguridadā€ y, en el recital 38, menciona que los estados miembros ā€œdeben poder designar o crear una o varias autoridades nacionales competentes encargadas de la ciberseguridadā€.

DORA, en su artĆ­culo 5, estipula que el órgano de dirección ā€œasume la responsabilidad Ćŗltima de gestionar el riesgo tecnológicoā€ y sus miembros mantendrĆ”n al dĆ­a de manera activa conocimientos y capacidades suficientes para poder comprender y evaluar el riesgo tecnológico. Es mĆ”s, dicho órgano crearĆ” un cargo, o designarĆ” a un miembro de la alta dirección (ā€œsenior managementā€), como responsable de supervisar la exposición al riesgo del uso de proveedores de tecnologĆ­a.

Dos observaciones: primera, el foco se coloca en la gestión del riesgo tecnológico y, segunda, la naturaleza ā€œcolectivaā€ de su conocimiento en la alta dirección. No hay una mención ā€œindividualizadaā€ para un miembro del órgano de dirección en concreto. SerĆ” interesante ver a cuĆ”ntos CISOs encontraremos en tan altas jerarquĆ­as, y cuĆ”ntos seguirĆ”n trabajando como modestas anclas de confianza en jerarquĆ­as inferiores (los Pulgar-CITOs).

Imagino que la clave es la responsabilidad. Recordemos que la CISO es aquella o aquel profesional que continĆŗa siendo funcional aĆŗn en momentos crĆ­ticos, como es en pleno ataque ciber a la empresa: un lĆ­der que tendrĆ” que seguir afilando su ā€œhacha comunicativaā€ con sus superiores mientras gestiona el riesgo tecnológico desde la confianza.

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×