El papel del Chief Information Security Officer (CISO) nunca ha sido tan desafiante y crucial como en los días de hoy. Con el aumento exponencial de las amenazas cibernéticas, que pueden causar daños irreparables a la reputación, a la confianza y al patrimonio de las organizaciones, los CISOs deben estar preparados para enfrentar un escenario cada vez más complejo y dinámico
En 2024, Brasil registró un aumento significativo en los ataques cibernéticos. En el primer trimestre, hubo un crecimiento del 38% en comparación con el mismo período de 2023, con organizaciones brasileñas sufriendo, en promedio, 1.770 ataques semanales. En el segundo trimestre, el aumento fue aún más acentuado, alcanzando el 67% en comparación con el año anterior, con un promedio de 2.754 ataques semanales por organización. En el tercer trimestre, el número medio semanal de ataques por organización en Brasil alcanzó 2.766, representando un crecimiento del 95% en relación al mismo período de 2023. Los sectores más atacados fueron los de finanzas, salud, gobierno y energía, siendo que los principales tipos de ataques fueron ransomware, Suplantación de identidad (phishing), DDoS y APTs (Amenazas Persistentes Avanzadas)
Los CISOs tienen que adaptarse a esta nueva era de ataques cibernéticos sin precedentes – muchas veces desempeñando varias funciones al mismo tiempo y, en el caso de Brasil, gestionando un escenario de contención de costos e inversiones en ciberseguridad
El papel del CISO moderno
El cargo de CISO es relativamente nuevo. A diferencia de los directores financieros o directores ejecutivos, la función del director de seguridad de la información no existía oficialmente hasta mediados de la década de 1990
Además de eso, el papel del CISO ha cambiado constantemente en las organizaciones. De acuerdo con el informe CISO de 2023 de Splunk, El 90% de los encuestados creían que la función se había convertido en un "trabajo completamente diferente" de cuando comenzaron
Si al principio el CISO era responsable de la elaboración de políticas, gobernanza de seguridad e implementación de controles más rudimentarios de seguridad, lo que llevaba a este profesional a tener una visión mucho más técnica que gerencial, hoy la lista de atribuciones aumentó, y mucho. Una de ellas, por ejemplo, es la función política del cargo: los CISO necesitan tener relaciones de trabajo estrechas con el CEO, el CFO y el área Jurídica de la organización. El presupuesto del área de Seguridad es una condición esencial para enfrentar la miríada de amenazas que existen hoy
Y eso, todavía, es un problema para las empresas en todo el mundo, especialmente en Brasil. La complejidad del escenario trae, de un lado, un país con uno de los mayores índices de ataques del mundo. Por otro, las incertidumbres económicas y la fluctuación del dólar (ya que la abrumadora mayoría de las soluciones se venden en moneda extranjera) hacen que los CISOs tengan que equilibrarse con los recursos disponibles para garantizar la protección de la empresa
Buenos comunicadores
A diferencia de una imagen muy basada en el estereotipo del técnico en el pasado, hoy el CISO necesita tener un papel de liderazgo y ser un buen comunicador para liderar la creación de una cultura sólida de seguridad cibernética dentro de la empresa
Otro punto importante es que los CISOs no pueden actuar solos en la gestión de la seguridad de la información. Necesitan contar con el apoyo y la colaboración del ecosistema externo, que incluye proveedores, clientes, socios, órganos reguladores, entidades de clase y comunidades de seguridad. Estos actores pueden contribuir con información, recursos, soluciones y buenas prácticas que ayuden al ejecutivo a mejorar y fortalecer la seguridad de su organización. Por eso, la comunicación y la relación con el mercado también son fundamentales
La seguridad debe comenzar desde una visión holística
No basta tener herramientas y procesos de seguridad aislados y reactivos. Los CISOs necesitan tener una visión holística e integrada de la seguridad, que abarque desde la cultura y la concienciación de los colaboradores, hasta la gobernanza y la alineación con los objetivos de negocio
La seguridad debe ser vista como un elemento transversal y esencial para la continuidad y el crecimiento de la organización, y no como un costo o una barrera. Para eso, los CISOs deben involucrar a las demás áreas y liderazgos de la empresa, demostrando el valor y el retorno de la seguridad, y estableciendo políticas e indicadores claros y medibles
Un sentido de urgencia es esencial para anticipar las amenazas
Las amenazas cibernéticas están en constante evolución y sofisticación, y pueden afectar a cualquier organización, independientemente del tamaño o del sector. Por eso, es importante estar siempre atento y actualizado sobre las tendencias y las vulnerabilidades del mercado, y invertir en soluciones y metodologías que permitan anticiparse a las amenazas y a los riesgos
Una de las formas de hacer esto es adoptar un enfoque de seguridad por diseño, que incorpora la seguridad desde la concepción hasta la entrega de los productos y servicios de la organización. Otra forma es realizar pruebas y simulaciones periódicas que evalúen la eficacia y la resiliencia de los sistemas y de los procesos de seguridad, e identifiquen oportunidades de mejora y de mitigación
Aunque el papel del CISO aún esté en transformación, este profesional es una pieza clave para la protección y la innovación de las organizaciones en la era digital. Los CISOs deben estar preparados para enfrentar un nivel sin precedentes de amenazas, que exigen una gestión de la seguridad de la información proactiva, estratégica y colaborativa
Por fin, los CISOs deben tener en cuenta que la seguridad de la información no es solo una cuestión técnica, sino también un factor de competitividad y de valor para los clientes. Aquellos que logren alinear la seguridad con los objetivos de negocio y las expectativas de los interesados, y que sepan comunicar los beneficios y los desafíos de la seguridad de manera clara y convincente, serán capaces de construir una cultura de seguridad fuerte y sostenible en la organización, y de contribuir a su éxito y crecimiento en el escenario digital
