Para que cualquier estrategia de ciberseguridad o protección de datos tenga éxito, las organizaciones deben basarse en sólidos procesos internos de colaboración y comunicación. En particular, la dinámica CIO/CISO puede tener un impacto significativo en la toma de decisiones a corto y largo plazo, desde las relativas a la inversión estratégica hasta la respuesta a los incidentes de seguridad.
Mientras que los CIO tienen una serie de responsabilidades en todo el parque informático de una organización, los CISO suelen tener un mandato aún más amplio, que abarca la gestión de riesgos en toda la empresa, así como la gobernanza y el cumplimiento. Por lo general, se considera que el CISO es la autoridad final en todas las cuestiones clave de seguridad, pero cada vez es más evidente que no puede actuar completamente solo.
La relación de los CIO y los CISO
En los últimos años, la forma en que estos dos altos cargos trabajan juntos ha evolucionado significativamente en muchas organizaciones, ya que la importancia de la seguridad y la protección de datos ha pasado a ocupar un lugar prioritario en la agenda corporativa. En lugar del tradicional enfoque en silos, la situación ideal es que los CIO y los CISO colaboren estrechamente para ofrecer una estrategia holística de seguridad y resiliencia. Desde el establecimiento de un perímetro de red completo hasta el tratamiento del cumplimiento normativo, sus responsabilidades y áreas de experiencia deben estar estrechamente integradas para que las medidas de seguridad se alineen con la necesidad de eficiencia operativa.
Sin embargo, aunque según un estudio reciente, el 99 por ciento de los directivos cree que los equipos de ITOP y de seguridad están cada vez más conectados, solo el 48 por ciento afirma haber establecido procesos y procedimientos conjuntos para recuperarse de los ciberataques.
Sin la plena participación tanto del CIO como del CISO, será difícil conseguir mejoras en la resiliencia
Colaboración eficaz
Hay una serie de obstáculos potencialmente difíciles de superar para unir a estas dos partes, y las consecuencias de equivocarse pueden ser muy graves. Esto incluye los problemas que surgen cuando los recursos y los niveles de inversión no son suficientes para cubrir las prioridades establecidas por el CIO y el CISO. En un momento en el que existe una presión significativa para aumentar los presupuestos de ciberseguridad, los líderes pueden verse obligados a transigir para garantizar el cumplimiento de los objetivos.
Del mismo modo, los CIO y los CISO pueden tener perspectivas diferentes sobre el modo en que la ciberseguridad afecta a áreas como la productividad. En muchas situaciones, existe un delicado equilibrio entre implantar tecnologías eficaces de seguridad y protección de datos sin imponer onerosos requisitos adicionales a la plantilla. Aquí es donde una colaboración eficaz puede ayudar a que los CEO y los ejecutivos de nivel directivo salgan ganando, ya que, en última instancia, necesitan obtener resultados finales.
Cumplir los requisitos de resiliencia y conformidad
Pero ¿cómo debe aplicarse esta dinámica en la práctica? Hay muchas áreas en las que estas funciones clave se entrecruzan. Un buen ejemplo son los retos que presenta la resiliencia organizativa, una consideración crucial para cualquier empresa moderna. Una de las formas más eficaces de evaluar los niveles de resiliencia es comprobar la capacidad de los equipos, tecnologías y procesos informáticos y de seguridad para responder a los incidentes cibernéticos y recuperarse de ellos.
En este contexto, el objetivo es identificar áreas de mejora tanto en la protección como en las estrategias de mitigación que van más allá de la ciberseguridad para centrarse en cualquier parte del parque informático donde existan vulnerabilidades. Esto solo puede ocurrir cuando el proceso se aplica de forma holística para abarcarlo todo, desde los retos tecnológicos hasta las personas, los procedimientos y la formación. Sin la plena participación tanto del CIO como del CISO, será difícil conseguir mejoras en la resiliencia.
Luego están los retos cada vez más complejos que plantean la legislación y el cumplimiento normativo. Aquí, los directivos de nivel C deben cooperar para garantizar que están operando dentro del marco de leyes como el Reglamento General de Protección de Datos a nivel operativo (de particular interés para el CIO), y que su seguridad es lo suficientemente robusta como para minimizar el riesgo de una violación de datos, lo que caería bajo la competencia del CISO. Sin una estrategia integrada, es mucho menos probable que una organización pueda ofrecer el tipo de enfoque conjunto necesario para seguir cumpliendo la normativa.
Alcanzar la madurez y la integración CIO/CISO
A medida que las organizaciones optimizan la forma en que los CIO, los CISO y sus respectivos equipos trabajan juntos, se sitúan en una posición mucho más fuerte para alinear las prioridades de TI y seguridad con los objetivos empresariales estratégicos. Este nivel de madurez también ayuda a las partes interesadas a hacer frente de forma más eficaz a la creciente complejidad tecnológica y a la naturaleza dinámica de la innovación digital, que se está convirtiendo en algo tan importante para ofrecer ventajas empresariales.
La madurez organizativa también puede desempeñar un papel útil a la hora de preparar a los equipos directivos para el futuro frente a los inevitables cambios de personal. Dado que la permanencia en el cargo de un CIO y un CISO suele oscilar entre los tres y los cinco años, la integración de procesos eficaces en sus áreas de responsabilidad es vital si las empresas quieren minimizar la interrupción estratégica que puede surgir cuando los altos ejecutivos se marchan.
Está claro que hay muchas partes móviles y prioridades contrapuestas que determinarán la eficacia de la integración de las funciones del CIO y el CISO. Sin embargo, las organizaciones que entienden hasta qué punto estas personas clave deben colaborar estrechamente se encuentran en una posición mucho más fuerte para ofrecer la agilidad, la seguridad y el rendimiento que ahora dominan las agendas de las salas de juntas de todo el mundo.
La entrada El dúo dinámico: ¿Por qué las empresas de hoy necesitan colaboración CIO/CISO? se publicó primero en Red Seguridad.
