¿Qué es un CISO?

Un director de seguridad de la información (CISO, del inglés Chief Information Security Officer) es responsable de diseñar estrategias de ciberseguridad utilizadas para proteger los datos corporativos y evaluar riesgos en toda la organización para mejorar sus ciberdefensas. Los CISO diseñan programas de seguridad, crean planes de recuperación de desastres y capacitan a los usuarios, ejecutivos, fundadores y administradores sobre las prácticas recomendadas de ciberseguridad.

De manera análoga al CIO (director de información, del inglés Chief Information Officer), que está a cargo de un equipo de administradores de sistemas, un CISO o Chief Information Security Officer, supervisa a un equipo de profesionales de la seguridad. No todas las empresas pueden permitirse un gran equipo de seguridad, por lo que un CISO suele estar presente en las grandes empresas. Las pequeñas empresas pueden contratar a un CISO para que les ayude a crear un programa de seguridad, normalmente utilizando un CISO virtual o CISO as a service.

Dado que un CISO es un líder dentro de su organización, también continúa supervisando el panorama de la ciberseguridad para instruir al equipo de seguridad sobre el siguiente mejor curso de acción para proteger los datos. El CISO hace recomendaciones basadas en las últimas investigaciones sobre ciberseguridad para actualizar la infraestructura y proporcionar la planificación de nuevas herramientas de seguridad para detener las nuevas amenazas.

Si se produjera un ciberincidente, el CISO podría ser la persona autorizada para iniciar la recuperación ante catástrofes y dirigir las acciones del equipo de seguridad. El CISO también interviene en el diseño y la aplicación del plan de recuperación ante catástrofes, de modo que sea eficaz para responder a las incidencias y limitar el tiempo de inactividad para garantizar que las pérdidas de dinero y los daños se reduzcan al mínimo.

Sin un equipo de seguridad y un líder encargado de evaluar la seguridad de su organización, su empresa se convierte en un objetivo apetitoso para los hackers, los agentes de amenaza, etc. La organización es aún más vulnerable a los ataques aleatorios de secuencias de comandos que ni siquiera están diseñados específicamente para vulnerar sus sistemas. Los scripts escanean sitios web en toda la internet para encontrar vulnerabilidades comunes y, a menudo, las explotan automáticamente. Ya se trate de vulnerabilidades automatizadas en toda la Internet o de ataques sofisticados dirigidos a su empresa, el CISO se dedica a encontrar formas de detenerlos.

El papel del CISO a menudo cae bajo el “paraguas” más amplio de TI y operaciones. El equipo de seguridad trabaja tanto con el personal de desarrollo como con el de operaciones para encontrar mejores formas de mejorar la seguridad de los datos. Un CISO dirigirá el equipo de seguridad, pero los desarrolladores trabajan con el equipo de seguridad para encontrar vulnerabilidades en el software corporativo e indicarles cómo escribir código seguro. El personal de operaciones se beneficia de un CISO y del equipo de seguridad instalando una infraestructura que proteja los datos. La infraestructura puede estar en la nube o en las instalaciones.

Normalmente, un CIO (director de información) y un CISO trabajan juntos para diseñar la infraestructura corporativa. El CIO supervisa el diseño de la infraestructura de red, y el CISO trabaja con el CIO para integrar infraestructuras de seguridad como cortafuegos, gestión de parches, copias de seguridad, controles de acceso a los datos, supervisión, detección y prevención de intrusiones, gestión de identidades de usuarios y despliegue de antivirus en los puestos de trabajo. El papel de un CIO es fomentar la productividad del usuario, y el CISO debe asegurarse de que los usuarios siguen las buenas prácticas de seguridad adecuadas para proteger la información corporativa.

Dado que un CISO es un líder, el cargo requiere a alguien con buenas habilidades gerenciales. Además de trabajar bien con equipos, el CISO también debe ser habilidoso con la gestión presupuestaria y la planificación. Cualquier cosa que haga el CISO debe ir en favor de los intereses de la organización, por lo que la planificación y la formación en seguridad deben ser específicas para las necesidades del negocio.

Alinear los objetivos de seguridad con los objetivos financieros y de productividad de la empresa es la principal responsabilidad del CISO. Un buen CISO trabajará con todas las partes interesadas para garantizar que la seguridad no interfiera con la productividad de los empleados, sino que les impida exponer accidentalmente datos delicados.

Un buen chief information security officer necesita buenas dotes de liderazgo y una larga trayectoria en ciberseguridad y piratería informática. Algunos CISO contribuyen a las pruebas de penetración y hacen investigación en la dark web para mantenerse informados sobre las últimas amenazas y vulnerabilidades que van surgiendo. Dado que el CISO es responsable de la planificación y el diseño, debe ser capaz de comunicar claramente lo que se necesita para mejorar la seguridad y reducir los riesgos. Un CISO también diseña planes para programas de formación de concienciación sobre seguridad para ayudar a los empleados a reconocer los mensajes de correo electrónico de phishing, el malware, la ingeniería social y las actividades inseguras.

Una buena ciberseguridad abarca a toda la organización y debe ser un esfuerzo de toda la empresa. El CISO de una organización coordina los esfuerzos para formar y aplicar las políticas de ciberseguridad. Los equipos de seguridad distribuyen las políticas por correo electrónico, manuales para empleados, sitios de intranet o cursos internos. Coordinar los esfuerzos de ciberseguridad es una tarea bastante amplia, por lo que un buen CISO tiene la capacidad de gestionar a las personas y los recursos para desplegar políticas eficaces.

Al igual que en otras áreas de la seguridad de la información, el CISO nunca deja de aprender, investigar y utilizar recursos educativos para comprender las últimas amenazas. Cada día surgen nuevas amenazas, y es responsabilidad del CISO mantenerse al tanto sobre estas. También se descubren nuevas vulnerabilidades a diario, por lo que es responsabilidad del CISO identificar el software vulnerable a partir de los últimos informes y encontrar rápidamente formas de parchear la infraestructura.

Cada empresa tiene su propia estrategia para la seguridad de la información y la persona adecuada para dirigir los esfuerzos. El rol de un chief information security officer no está rígidamente definido. Aparte de dirigir los esfuerzos de ciberseguridad, el CISO debe ser capaz de encajar en la cultura organizativa y seguir las prácticas recomendadas para la implementación de medidas de ciberseguridad y gestión de riesgos.

La pasión por la ciberseguridad suele ser el identificador clave de alguien que será una inversión a largo plazo para una organización. El CISO puede contratarse internamente a medida que los empleados ascienden en el escalafón corporativo, pero un buen CISO también podría encontrarse externamente. El CISO debe estar familiarizado con las prácticas empresariales habituales para integrarse fácilmente en el papel de líder. También es bueno para el negocio que el CISO entienda los presupuestos de TI y cómo financiar la infraestructura al tiempo que establece prioridades.

Los dos principales marcos definidos como prácticas recomendadas son NIST e ISO. Cuando un nuevo CISO se une al equipo, se hará una revisión de las prácticas actuales, los puntos de referencia, las evaluaciones de riesgos y otros procesos empresariales. Deben contar con las habilidades necesarias para examinar las prácticas actuales y elaborar planes para mejorarlas.

La mayoría de las empresas han adoptado una fuerza de trabajo en casa, por lo que un CISO también debe entender la nube y la ciberseguridad que rodea a la infraestructura de la nube. La migración a la nube y la integración en la infraestructura local son habituales en los entornos informáticos actuales. El CISO debe ser capaz de dirigir al personal de operaciones y a los desarrolladores sobre las mejores formas de aprovechar la nube para que los empleados sean más productivos.

No se sabe qué infraestructura de ciberseguridad se necesita si no se conoce el número de riesgos dentro del entorno. Un CISO realiza una evaluación de riesgos para encontrar vulnerabilidades y puntos débiles en toda la red. En la mayoría de las organizaciones pequeñas, existen diversas vulnerabilidades sin que nadie sea consciente de los riesgos. El CISO identifica los riesgos y crea estrategias para remediarlos.

La principal razón para contratar a un CISO es aprovechar sus conocimientos para que pueda crear un plan y diseñar una estrategia de ciberseguridad para reducir los riesgos. La otra razón por la que un CISO es beneficioso es que puede aportar en el tema de cumplimiento de la normativa de su organización. Si su organización debe seguir unas directrices de cumplimiento específicas y su entorno no las cumple, esto puede llegar a costar millones en multas tras una vulneración de datos.

Ahorrar dinero y preservar la reputación de su marca son dos razones principales para contratar a un CISO. Una vulneración de datos puede costar millones de euros en litigios, daños a la marca, tiempo de inactividad, pérdida de ingresos y lealtad de los clientes. Los efectos a largo plazo de una vulneración de datos pueden durar años e incluso llevar a la quiebra a algunas pequeñas empresas. Un CISO protege a la organización de las vulneraciones de datos que afectan a los ingresos y mantiene a su organización conforme con los requisitos reglamentarios.

Estar en el campo de la ciberseguridad requiere que cualquiera se adapte a un panorama cambiante y en evolución. Cada día aparecen nuevas amenazas, y muchas de ellas tienen como objetivo a las empresas. Los CISO se enfrentan a nuevas amenazas, pero el CISO del futuro también debe comprender cómo proteger las tecnologías más recientes. La inteligencia artificial (IA), el metaverso, los medios sociales, la informática cuántica y muchas otras tecnologías del futuro.

La mayoría de las normas sugieren que los mejores entornos de ciberseguridad son los que emplean una estrategia de confianza cero. Un CISO debe conocer las normas de confianza cero y saber cómo aplicarlas en cualquier entorno. Adoptar una nueva estrategia puede resultar difícil para una organización con tecnología más antigua, por lo que el CISO debe ser capaz de conducir a la organización hacia un nuevo marco con el menor tiempo de inactividad posible.

Los CISO virtuales o CISO as a service, también son populares entre las empresas que no quieren contratar a un ejecutivo a tiempo completo, pero necesitan un líder en ciberseguridad. Un CISO virtual (vCISO) realiza todas las mismas funciones que un CISO estándar, pero un vCISO trabaja cuando la organización necesita ayuda en lugar de supervisar un equipo de seguridad a tiempo completo. Un CISO es un empleado caro, por lo que un vCISO es una opción asequible para las pequeñas empresas que no pueden permitirse un ejecutivo regular a tiempo completo.

Proofpoint tiene un CISO hub que contiene recursos que pueden ayudar a los CISO con los retos de la ciberseguridad, las redes de confianza cero y la computación en nube. También ayudamos a los CISO con la investigación de las últimas amenazas y estrategias asociadas con la supervisión, contención y erradicación. El CISO hub es un buen lugar para empezar.

Eche un vistazo a nuestro libro blanco Voice of the CISO Report (En español: Informe “La voz del CISO”), en el que repasamos los incidentes de ciberseguridad del año anterior, las nuevas estrategias que pueden utilizarse para luchar contra las amenazas y el dinámico papel del CISO, así como retos a los que se enfrenta.

Para conocer la opinión de otros CISO de todo el mundo, consulte nuestra página perspectivas de los CISO.