El papel del Chief Information Security Officer (CISO) nunca ha sido tan desafiante y crucial como en la actualidad. Con el aumento exponencial de las amenazas cibernéticas, que pueden causar daños irreparables a la reputación, la confianza y el patrimonio de las organizaciones, los CISOs deben estar preparados para enfrentar un escenario cada vez más complejo y dinámico.
En 2024, Brasil registró un aumento significativo en los ataques cibernéticos. En el primer trimestre, hubo un crecimiento del 38% en comparación con el mismo período de 2023, con organizaciones brasileñas sufriendo, en promedio, 1.770 ataques semanales. En el segundo trimestre, el aumento fue aún más pronunciado, alcanzando el 67% en comparación con el año anterior, con una media de 2.754 ataques semanales por organización. En el tercer trimestre, el número promedio semanal de ataques por organización en Brasil alcanzó las 2.766, lo que representa un crecimiento del 95% en comparación con el mismo período de 2023. Los sectores más afectados fueron finanzas, salud, gobierno y energía, siendo los principales tipos de ataques ransomware, phishing, DDoS y APTs (Amenazas Persistentes Avanzadas).
Los CISO tienen que adaptarse a esta nueva era de ciberataques sin precedentes, a menudo desempeñando múltiples funciones al mismo tiempo y, en el caso de Brasil, gestionando un escenario de contención de costos e inversiones en ciberseguridad.
El papel del CISO moderno
El cargo de CISO es relativamente nuevo. A diferencia de los directores financieros o directores ejecutivos, la función del director de seguridad de la información no existía oficialmente hasta mediados de la década de 1990.
Además, el papel del CISO ha ido cambiando constantemente en las organizaciones. Según el informe CISO de 2023 de Splunk, el 90% de los entrevistados creían que la función se había convertido en un "trabajo completamente diferente" desde que comenzaron.
Al principio, el CISO era responsable de la elaboración de políticas, gobernanza de seguridad y la implementación de controles de seguridad más rudimentarios, lo que hacía que este profesional tuviera una visión mucho más técnica que gerencial, hoy en día la lista de atribuciones ha aumentado, y mucho. Una de ellas, por ejemplo, es la función política del cargo: los CISOs necesitan tener relaciones laborales estrechas con el CEO, el CFO y el área Jurídica de la organización. El presupuesto del área de Seguridad es una condición esencial para enfrentar la miríada de amenazas que existen hoy.
Y eso, todavía, es un problema para las empresas en todo el mundo, especialmente en Brasil. La complejidad del escenario trae, por un lado, un país con uno de los índices de ataques más altos del mundo. Por otro lado, las incertidumbres económicas y la fluctuación del dólar (ya que la mayoría abrumadora de las soluciones se venden en moneda extranjera) hacen que los CISOs tengan que equilibrarse con los recursos disponibles para garantizar la protección de la empresa.
Buenos comunicadores
Contrario a una imagen que en el pasado estaba fuertemente basada en el estereotipo del técnico, hoy el CISO necesita tener un rol de liderazgo y ser un buen comunicador para liderar la creación de una sólida cultura de ciberseguridad dentro de la empresa.
Otro punto importante es que los CISOs no pueden actuar solos en la gestión de la seguridad de la información. Ellos necesitan contar con el apoyo y la colaboración del ecosistema externo, que incluye proveedores, clientes, socios, organismos reguladores, entidades de clase y comunidades de seguridad. Estos actores pueden contribuir con información, recursos, soluciones y buenas prácticas que ayuden al ejecutivo a mejorar y fortalecer la seguridad de su organización. Por eso, la comunicación y la relación con el mercado también son fundamentales.
La seguridad debe comenzar desde una visión holística
No basta tener herramientas y procesos de seguridad aislados y reactivos. Los CISOs necesitan tener una visión holística e integrada de la seguridad, que abarque desde la cultura y la concienciación de los empleados hasta la gobernanza y el alineamiento con los objetivos del negocio.
La seguridad debe ser vista como un elemento transversal y esencial para la continuidad y el crecimiento de la organización, y no como un costo o una barrera. Para ello, los CISOs deben involucrar a las demás áreas y liderazgos de la empresa, demostrando el valor y el retorno de la seguridad, y estableciendo políticas e indicadores claros y medibles.
Un sentido de urgencia es esencial para anticipar las amenazas
Las amenazas cibernéticas están en constante evolución y sofisticación, y pueden afectar a cualquier organización, independientemente de su tamaño o sector. Por eso, es importante estar siempre atento y actualizado sobre las tendencias y las vulnerabilidades del mercado, e invertir en soluciones y metodologías que permitan anticiparse a las amenazas y a los riesgos.
Una de las formas de hacerlo es adoptar un enfoque de seguridad por diseño, que incorpora la seguridad desde la concepción hasta la entrega de los productos y servicios de la organización. Otra forma es realizar pruebas y simulaciones periódicas que evalúen la eficacia y la resiliencia de los sistemas y procesos de seguridad, e identifiquen oportunidades de mejora y mitigación.
Aunque el papel del CISO todavía está en transformación, este profesional es una pieza clave para la protección y la innovación de las organizaciones en la era digital. Los CISOs deben estar preparados para hacer frente a un nivel sin precedentes de amenazas, que requieren una gestión de la seguridad de la información proactiva, estratégica y colaborativa.
Por último, los CISOs deben tener en cuenta que la seguridad de la información no es solo una cuestión técnica, sino también un factor de competitividad y de valor para los clientes. Aquellos que logren alinear la seguridad con los objetivos de negocio y las expectativas de los stakeholders, y que sepan comunicar los beneficios y los desafíos de la seguridad de manera clara y convincente, serán capaces de construir una cultura de seguridad fuerte y sostenible en la organización, y de contribuir a su éxito y crecimiento en el escenario digital.
