De Nerd-CISO a Pulgar-CITO
Comienzo hoy mis cavilaciones hablando de la historia de la tecnologĆa en las empresas. Los mĆ”s antiguos del lugar recordarĆ”n aquellos tiempos en los que la mĆ”quina del fax era tan imprescindible como es ahora el correo electrónico. Este ejemplo me sirve para demostrar cómo la tecnologĆa ha pasado de ser un elemento importante a convertirse en una pieza imprescindible de todos los procesos que hoy en dĆa conforman una organización.
El aumento en importancia de la tecnologĆa ha requerido que la posición del responsable de tecnologĆa en una empresa haya tambiĆ©n subido posiciones en el escalafón jerĆ”rquico empresarial. Esta adaptación, sin embargo, es mĆ”s lenta que la pervasividad de la tecnologĆa. AĆŗn es frecuente ver a directores de tecnologĆa, los llamados CIOs, reportando al director de operaciones, el COO, quien reporta a su vez al órgano de dirección (āmanagement bodyā).

Dr. Alberto Partida
linkedin.com/in/albertopartida
La seguridad informĆ”tica dio sus primeros pasos, como no podĆa ser de otro modo, dentro de los departamentos de tecnologĆa. El responsable de seguridad, el CISO, ha reportado tradicionalmente al responsable de tecnologĆa (CIO), quiĆ©n ātraducĆaā a la alta dirección los mensajes del CISO, carente de habilidades sociales (āNerd-CISOā). AĆŗn es muy frecuente encontrar organizaciones en las que el CISO estĆ” a dos o tres niveles de reporte del consejo: CISO a CIO y Ć©ste a COO.
La llegada de legislación europea enfocada en la ciberseguridad nos trae interesantes novedades. En concreto, NIS2 es la directiva para mejorar la ciberseguridad en la UE. Su fecha lĆmite de transposición a la legislación nacional es septiembre de 2024. DORA es el reglamento enfocado a la resiliencia digital de las entidades financieras, cuyos estĆ”ndares tĆ©cnicos serĆ”n de obligado cumplimiento en enero de 2025.
NIS2, en su artĆculo 20, indica que ālos Estados miembros garantizarĆ”n que los miembros de los órganos de dirección de las entidades esenciales e importantes deban asistir a formaciones ā¦para adquirir conocimientos y destrezas ⦠que les permitan detectar riesgos de ciberseguridadā y, en el recital 38, menciona que los estados miembros ādeben poder designar o crear una o varias autoridades nacionales competentes encargadas de la ciberseguridadā.
DORA, en su artĆculo 5, estipula que el órgano de dirección āasume la responsabilidad Ćŗltima de gestionar el riesgo tecnológicoā y sus miembros mantendrĆ”n al dĆa de manera activa conocimientos y capacidades suficientes para poder comprender y evaluar el riesgo tecnológico. Es mĆ”s, dicho órgano crearĆ” un cargo, o designarĆ” a un miembro de la alta dirección (āsenior managementā), como responsable de supervisar la exposición al riesgo del uso de proveedores de tecnologĆa.
Dos observaciones: primera, el foco se coloca en la gestión del riesgo tecnológico y, segunda, la naturaleza ācolectivaā de su conocimiento en la alta dirección. No hay una mención āindividualizadaā para un miembro del órgano de dirección en concreto. SerĆ” interesante ver a cuĆ”ntos CISOs encontraremos en tan altas jerarquĆas, y cuĆ”ntos seguirĆ”n trabajando como modestas anclas de confianza en jerarquĆas inferiores (los Pulgar-CITOs).
Imagino que la clave es la responsabilidad. Recordemos que la CISO es aquella o aquel profesional que continĆŗa siendo funcional aĆŗn en momentos crĆticos, como es en pleno ataque ciber a la empresa: un lĆder que tendrĆ” que seguir afilando su āhacha comunicativaā con sus superiores mientras gestiona el riesgo tecnológico desde la confianza.