De Nerd-CISO a Pulgar-CITO

Comienzo hoy mis cavilaciones hablando de la historia de la tecnología en las empresas. Los más antiguos del lugar recordarán aquellos tiempos en los que la máquina del fax era tan imprescindible como es ahora el correo electrónico. Este ejemplo me sirve para demostrar cómo la tecnología ha pasado de ser un elemento importante a convertirse en una pieza imprescindible de todos los procesos que hoy en día conforman una organización.

El aumento en importancia de la tecnología ha requerido que la posición del responsable de tecnología en una empresa haya también subido posiciones en el escalafón jerárquico empresarial. Esta adaptación, sin embargo, es más lenta que la pervasividad de la tecnología. Aún es frecuente ver a directores de tecnología, los llamados CIOs, reportando al director de operaciones, el COO, quien reporta a su vez al órgano de dirección (“management body”).

La seguridad informática dio sus primeros pasos, como no podía ser de otro modo, dentro de los departamentos de tecnología. El responsable de seguridad, el CISO, ha reportado tradicionalmente al responsable de tecnología (CIO), quién “traducía” a la alta dirección los mensajes del CISO, carente de habilidades sociales (“Nerd-CISO”). Aún es muy frecuente encontrar organizaciones en las que el CISO está a dos o tres niveles de reporte del consejo: CISO a CIO y éste a COO.

La llegada de legislación europea enfocada en la ciberseguridad nos trae interesantes novedades. En concreto, NIS2 es la directiva para mejorar la ciberseguridad en la UE. Su fecha límite de transposición a la legislación nacional es septiembre de 2024. DORA es el reglamento enfocado a la resiliencia digital de las entidades financieras, cuyos estándares técnicos serán de obligado cumplimiento en enero de 2025.

NIS2, en su artículo 20, indica que “los Estados miembros garantizarán que los miembros de los órganos de dirección de las entidades esenciales e importantes deban asistir a formaciones …para adquirir conocimientos y destrezas … que les permitan detectar riesgos de ciberseguridad” y, en el recital 38, menciona que los estados miembros “deben poder designar o crear una o varias autoridades nacionales competentes encargadas de la ciberseguridad”.

DORA, en su artículo 5, estipula que el órgano de dirección “asume la responsabilidad última de gestionar el riesgo tecnológico” y sus miembros mantendrán al día de manera activa conocimientos y capacidades suficientes para poder comprender y evaluar el riesgo tecnológico. Es más, dicho órgano creará un cargo, o designará a un miembro de la alta dirección (“senior management”), como responsable de supervisar la exposición al riesgo del uso de proveedores de tecnología.

Dos observaciones: primera, el foco se coloca en la gestión del riesgo tecnológico y, segunda, la naturaleza “colectiva” de su conocimiento en la alta dirección. No hay una mención “individualizada” para un miembro del órgano de dirección en concreto. Será interesante ver a cuántos CISOs encontraremos en tan altas jerarquías, y cuántos seguirán trabajando como modestas anclas de confianza en jerarquías inferiores (los Pulgar-CITOs).

Imagino que la clave es la responsabilidad. Recordemos que la CISO es aquella o aquel profesional que continúa siendo funcional aún en momentos críticos, como es en pleno ataque ciber a la empresa: un líder que tendrá que seguir afilando su “hacha comunicativa” con sus superiores mientras gestiona el riesgo tecnológico desde la confianza.

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×