De Nerd-CISO a Pulgar-CITO
Comienzo hoy mis cavilaciones hablando de la historia de la tecnologĆa en las empresas. Los mĆ”s antiguos del lugar recordarĆ”n aquellos tiempos en los que la mĆ”quina del fax era tan imprescindible como es ahora el correo electrĆ³nico. Este ejemplo me sirve para demostrar cĆ³mo la tecnologĆa ha pasado de ser un elemento importante a convertirse en una pieza imprescindible de todos los procesos que hoy en dĆa conforman una organizaciĆ³n.
El aumento en importancia de la tecnologĆa ha requerido que la posiciĆ³n del responsable de tecnologĆa en una empresa haya tambiĆ©n subido posiciones en el escalafĆ³n jerĆ”rquico empresarial. Esta adaptaciĆ³n, sin embargo, es mĆ”s lenta que la pervasividad de la tecnologĆa. AĆŗn es frecuente ver a directores de tecnologĆa, los llamados CIOs, reportando al director de operaciones, el COO, quien reporta a su vez al Ć³rgano de direcciĆ³n (āmanagement bodyā).
Dr. Alberto Partida
linkedin.com/in/albertopartida
La seguridad informĆ”tica dio sus primeros pasos, como no podĆa ser de otro modo, dentro de los departamentos de tecnologĆa. El responsable de seguridad, el CISO, ha reportado tradicionalmente al responsable de tecnologĆa (CIO), quiĆ©n ātraducĆaā a la alta direcciĆ³n los mensajes del CISO, carente de habilidades sociales (āNerd-CISOā). AĆŗn es muy frecuente encontrar organizaciones en las que el CISO estĆ” a dos o tres niveles de reporte del consejo: CISO a CIO y Ć©ste a COO.
La llegada de legislaciĆ³n europea enfocada en la ciberseguridad nos trae interesantes novedades. En concreto, NIS2 es la directiva para mejorar la ciberseguridad en la UE. Su fecha lĆmite de transposiciĆ³n a la legislaciĆ³n nacional es septiembre de 2024. DORA es el reglamento enfocado a la resiliencia digital de las entidades financieras, cuyos estĆ”ndares tĆ©cnicos serĆ”n de obligado cumplimiento en enero de 2025.
NIS2, en su artĆculo 20, indica que ālos Estados miembros garantizarĆ”n que los miembros de los Ć³rganos de direcciĆ³n de las entidades esenciales e importantes deban asistir a formaciones ā¦para adquirir conocimientos y destrezas ā¦ que les permitan detectar riesgos de ciberseguridadā y, en el recital 38, menciona que los estados miembros ādeben poder designar o crear una o varias autoridades nacionales competentes encargadas de la ciberseguridadā.
DORA, en su artĆculo 5, estipula que el Ć³rgano de direcciĆ³n āasume la responsabilidad Ćŗltima de gestionar el riesgo tecnolĆ³gicoā y sus miembros mantendrĆ”n al dĆa de manera activa conocimientos y capacidades suficientes para poder comprender y evaluar el riesgo tecnolĆ³gico. Es mĆ”s, dicho Ć³rgano crearĆ” un cargo, o designarĆ” a un miembro de la alta direcciĆ³n (āsenior managementā), como responsable de supervisar la exposiciĆ³n al riesgo del uso de proveedores de tecnologĆa.
Dos observaciones: primera, el foco se coloca en la gestiĆ³n del riesgo tecnolĆ³gico y, segunda, la naturaleza ācolectivaā de su conocimiento en la alta direcciĆ³n. No hay una menciĆ³n āindividualizadaā para un miembro del Ć³rgano de direcciĆ³n en concreto. SerĆ” interesante ver a cuĆ”ntos CISOs encontraremos en tan altas jerarquĆas, y cuĆ”ntos seguirĆ”n trabajando como modestas anclas de confianza en jerarquĆas inferiores (los Pulgar-CITOs).
Imagino que la clave es la responsabilidad. Recordemos que la CISO es aquella o aquel profesional que continĆŗa siendo funcional aĆŗn en momentos crĆticos, como es en pleno ataque ciber a la empresa: un lĆder que tendrĆ” que seguir afilando su āhacha comunicativaā con sus superiores mientras gestiona el riesgo tecnolĆ³gico desde la confianza.
