Por Tom Kellermann, responsable de estrategia de ciberseguridad de VMware
Ser un CISO (Chief Information Security Officer) es como ser un bombero rodeado de pirómanos. Esta cruda realidad se ve agravada en muchas ocasiones por las políticas internas de los departamentos de TI. A falta de mayores autoridades, internamente puede parecer que se está escalando una montaña a diario. Los CISO que se preocupan profundamente por la seguridad de su organización, siguen siendo marginados debido a un fallo en la gobernanza corporativa. La lucha constante por los recursos y la autoridad dentro de una organización se debe a una estructura de reporte anticuada en la que la mayoría de los líderes de la seguridad de la información dependen de los CIO (Chief Information Officer).
En 2021 los cárteles cibernéticos están secuestrando la transformación digital de las corporaciones y escalando las intrusiones aprovechándose d los ataques destructivos. Es por ello que la insurgencia global subraya la necesidad inmediata de que los CISO se empoderen.
He aquí una estrategia de diez pasos para reforzar y fortalecer la posición del CISO:
1. Conocer el funcionamiento de la organización y añadir el riesgo cibernético al riesgo empresarial general.
2. Establecer una buena relación con el consejo general y explicar cómo la ciberseguridad es un “deber de lealtad”. Transmitir que el peor escenario posible ha cambiado debido a la transformación digital, que puede ser utilizada para atacar a los clientes y socios de la compañía.
3. Reforzar las herramientas de seguridad y asegurarse de que están integradas en la estrategia empresarial.
4. Atraer la atención sobre el tema de la junta directiva mediante la realización de búsquedas semanales de amenazas.
5. Unirse al consejo asesor de los dos principales proveedores de seguridad e influir en sus diseños y planes.
6. Llevar a cabo informes mensuales claros y concisos, con material gráfico, para la junta directiva.
7. Colaborar con expertos externos en ciberamenazas para que informen a la junta sobre las campañas de ciberataques específicas del sector con carácter trimestral.
8. Participar en el grupo de trabajo regional sobre ciberfraude.
9. En caso de no tener el personal o la capacidad para trasladar la visión de la seguridad, contratar a una empresa especializada en este sector.
10. Participar en las principales conferencias sobre ciberseguridad y desarrollar la marca personal.
Estas diez claves te pueden empoderar como CISO. La ciberseguridad ya no puede verse como un gasto, sino como una funcionalidad más para gestionar el negocio. Se trata de la protección de la marca. Se espera que este sea el comienzo de un viaje histórico para la comunidad de los CISO.
“Ni si quiera todos los ejércitos de la historia del mundo pueden detener una idea a la que le ha llegado su hora”. – Victor Hugo.
