Análisis

¿Qué es un CISO y por qué es crucial para la ciberseguridad?

La necesidad de proteger los datos y la información le ha dado paso a un nuevo rol empresarial: El CISO.

Publicado el 21 Mar 2024

CISO

En el informe anual “Cost of a Data Breach” de 2023, IBM Security reveló una estadística alarmante: el costo promedio de una filtración de datos en Latinoamérica alcanzó los US$ 2.46 millones, marcando un máximo histórico y reflejando un aumento del 76% desde 2020. En este contexto, la figura del Chief Information Security Officer (CISO) adquiere una relevancia sin precedentes. Los CISOs no solo enfrentan el desafío de proteger los activos digitales de sus organizaciones, sino que también deben anticiparse a una variedad de amenazas,, lo que convierte su rol en uno crucial para la supervivencia y prosperidad empresarial.

Su trabajo trasciende la implementación de medidas de seguridad técnica; también implica la creación de una cultura organizacional donde la seguridad de la información se integra en cada nivel de la empresa. La responsabilidad de educar a los empleados sobre los riesgos y las mejores prácticas de ciberseguridad recae en gran medida sobre los CISOs, quienes deben equilibrar la habilitación de la innovación tecnológica con la necesidad de proteger la información y los sistemas críticos. Este equilibrio es vital en una época donde los ataques cibernéticos no solo son más frecuentes, sino también más sofisticados.

En el ámbito regulatorio y de cumplimiento, deben asegurar que las empresas no solo sigan las normativas vigentes, sino que también estén preparadas para adaptarse a las futuras. Esto incluye no solo proteger los datos y la infraestructura, sino también gestionar los riesgos relacionados con la ciberseguridad de manera que apoyen los objetivos empresariales y la continuidad del negocio. 

En 2020, la pandemia cambió la manera en la que las empresas manejan la información. La digitalización de los datos y el crecimiento de las herramientas informáticas se profundizó velozmente, lo que trajo nuevas soluciones, pero también amenazas. Accenture, ya en 2021, mostró que más CISOs que nunca reportan directamente a CEOs o juntas directivas. A su vez, el informe demostró que se les otorga un mayor control directo sobre sus presupuestos. 

CISO

Definición de CISO y función

Cuando hablamos del término CISO, estamos haciendo referencia a un Chief Information Security Officer, o Director de Seguridad de la Información. Se trata de un ejecutivo responsable de establecer y mantener la estrategia de seguridad de la información en una empresa. 

El CISO supervisa la protección de los activos de información, como los datos confidenciales y sistemas de tecnología de la información. A su vez, es quien toma las decisiones relativas al camino a seguir para mitigar los riesgos de seguridad cibernética.

Entre las principales funciones de este profesional de empresa podemos destacar las siguientes: 

  • Desarrollo y ejecución de estrategias de seguridad de la información.
  • Gestión de riesgos relacionados con los datos.
  • Protección de la infraestructura de TI.
  • Respuesta a los incidentes de seguridad.

El rol de los CISO en las empresas es la respuesta a las amenazas de ciberseguridad. Lo cierto es que, con cada brecha o incidente de ciberseguridad, el rol de este ejecutivo se fortalece aún más.

Fundamentos y rol en la ciberseguridad argentina

Argentina es uno de los países sudamericanos más afectados por la ciberseguridad. Además, la cantidad de ataques sufridos por empresas y por el propio gobierno nacional ha crecido en comparación a años anteriores.

Así lo demuestra un informe de Check Point Research que afirma que en la primera parte del 2023 los ciberataques dirigidos a organizaciones empresariales crecieron un 21% en comparación a las cifras del 2022. 

En 2023, la Unidad Fiscal Especializada en Ciberdelincuencia realizó informes acerca de la creciente cantidad de estafas online. Además, se observó un aumento en las modalidades de fraude en línea como la usurpación de identidad y el secuestro de datos (ransomware).

Pero claro, este no es solamente un problema argentino, a nivel global en el año 2023, cuatro de cada diez personas sufrieron algún tipo de ataque de ciberseguridad. Entre los casos de fraude más comunes se encuentran aquellos vinculados a compraventas y relacionados con operatorias a través de la banca electrónica, junto con los cometidos mediante usurpación de identidad. 

Esto muestra que, en general, falta mucha preparación y educación de la ciudadanía en lo relativo a las estafas virtuales. Esto, lógicamente, se traslada a las empresas porque significa contar con empleados más predispuestos a caer en casos de phishing, una de las técnicas preferidas por los ciberdelincuentes.

Es por eso que el rol CISO en Argentina es protagónico. Las empresas necesitan líderes con características ejecutivas que puedan comandar una verdadera lucha contra la ciberdelincuencia. Estamos hablando de especialistas y profesionales en la materia. 

No perdamos de vista que la ciberseguridad se ha convertido en una de las prioridades a nivel mundial y es considerada una amenaza preocupante. Con el desembarco de la inteligencia artificial, los hackers ahora tienen más facilidades y pueden llevar a cabo ataques más fuertes. 

Importancia del CISO en empresas: protegiendo la información crítica

El rol del CISO en las empresas toma mayor importancia con cada brecha de seguridad, vulnerabilidad e incidente que ocurre. Como hemos mencionado, las amenazas de seguridad han sido mucho más agresivas en los últimos años, sobre todo en América Latina, y van desde simples hacktivistas hasta poderosas organizaciones criminales con altos presupuestos y tecnologías. 

Los CISO participan y lideran la protección de datos sensibles, infraestructura de TI y la privacidad del cliente. Al contar con un experto en la empresa, las organizaciones pueden adaptarse y protegerse de mejor manera contra las nuevas amenazas y así proteger sus activos valiosos.

Los datos y la información crítica tienen un valor económico muy alto y la manera en la que las empresas los protegen afecta directamente a la reputación de estas. De esa manera, no tomar las medidas suficientes de seguridad se vuelve algo inaceptable. 

Un famoso caso en Argentina fue el de la empresa citrícola San Miguel, la cual sufrió un ciberataque masivo en junio de 2017. Como resultado del ataque, San Miguel perdió mercadería, tuvo cancelaciones de ventas, y, como marcamos, sufrió un daño reputacional. El valor de lo perdido se cuantificó en nada más ni nada menos que en USD 15 millones.

Estrategias de implementación de un CISO

A la hora de contratar un CISO en una compañía hay ciertas cuestiones a valorar para que la estrategia de su implementación sea exitosa. Quien ocupe el cargo será una persona muy relevante en la estructura empresarial, por lo cual la elección del candidato debe ser exhaustiva y llevada a cabo estudiando a todos los postulantes en detalle.

En primera medida, es importante que exista una profunda comprensión de las necesidades empresariales. Cualquier CISO que haya sido recientemente contratado debe investigar y conocer la situación actual de la empresa. De esa manera, podrá entender que medidas de seguridad deben tomarse. 

Para ello, debe reunirse periódicamente con la mesa directiva de la empresa o incluso, no estaría nada mal que forme parte de ella. A partir de esas reuniones con quienes toman decisiones comerciales se podrá interiorizar en los objetivos de mercado, entender el rumbo del crecimiento de la compañía y diagnosticar cuáles serán las posibles futuras amenazas que surgirán. 

Pensemos que a medida que la empresa escala y mueve más activos ya sean financieros o de información, es más probable que sea objeto o víctima de un ataque cibernético. 

También será necesario que exista un plan estratégico a la hora de incluir a este nuevo profesional a la estructura organizativa. Esto toma relevancia debido a que se deben establecer claramente las responsabilidades del CISO, sus áreas de autoridad y su alcance dentro de la organización. 

Como veremos en los próximos apartados, se trata de un profesional que debe tener perfil ejecutivo, por lo tanto, es importante que cuente con el poder y los recursos necesarios para llevar a cabo su función de manera efectiva. 

También debe existir una comunicación constante con los responsables de la Dirección Financiera, de marketing y de Operaciones, para que exista una alineación completa en la ejecución de estrategias organizacionales. 

Esto puede parecer obvio, pero del Informe de Investigación Empresarial del año 2023 de Accenture surge que el 83% de las empresas están atascadas en silos: no colaboran de forma proactiva internamente, lo cual conduce a experiencias fragmentadas. 

Por último, si se quiere implementar una buena estrategia de seguridad y se busca que el CISO tenga éxito, no se debe, bajo ningún punto de vista, escatimar con los presupuestos de ciberseguridad. Es cierto que pueden ser costosas algunas tecnologías, así como también lo pueden ser los profesionales como hackers éticos o especialistas en el área, pero más costosos son las consecuencias de un ataque. 

CISO

Casos ejemplares: empresas en Argentina que reforzaron su seguridad con un CISO

Hemos analizado en los apartados anteriores la situación argentina en materia de ciberseguridad. El delicado panorama que representa muchas amenazas para el sector empresarial ha provocado que diferentes organizaciones se vuelquen hacia la contratación de un CISO.

Banco Galicia 

Desde marzo del 2019, Pedro Adamovic es el CISO de Banco Galicia, uno de los bancos más grandes y relevantes de Argentina. Su rol implica anticiparse constantemente a las amenazas y garantizar que los productos y servicios que la entidad ofrece sean seguros. 

Además, es conocida la enorme cantidad de información que maneja un banco de sus clientes, por lo cual gestionar y cuidar la privacidad de ellos es uno de los principales desafíos de estas compañías.

Tal fue el éxito de Adamovic que, hoy en día, es el único argentino elegido entre los “Global Top CISO 100 Awards”, un premio que reconoce a los ejecutivos que desempeñan esta posición en diferentes compañías del mundo. 

YPF

Otro caso ejemplar es el de YPF, una de las empresas energéticas más importantes del país. Se trata de una organización con una compleja red de operaciones en toda Argentina y con muchos sectores de trabajo diferentes. Los responsables de la ciberseguridad de YPF destacan la relevancia de tener buenos hábitos que eviten amenazas en todas las partes de la cadena de producción.

Actualmente, Leonardo Oscar Iglesias es el CISO de esta petrolera, donde trabaja hace más de 21 años  y sin duda conoce cada detalle de la compañía. 

11 Pon un CISO en tu empresa: en qué consiste su trabajo y por qué son necesarios en ciberseguridad

11 Pon un CISO en tu empresa: en qué consiste su trabajo y por qué son necesarios en ciberseguridad

Ver este vídeo en YouTube

Tendencias actuales en ciberseguridad

Mantenerse en constante evolución es, quizá, el desafío de mayor relevancia en la ciberseguridad. Los hackers se adaptan, aprenden, mejoran e invierten en nuevas maneras de atacar, y es justamente por eso que hay que conocer cuáles son las tendencias en la actualidad. 

Auge de la inteligencia artificial (IA) en ciberseguridad

La inteligencia artificial es una de las innovaciones más importantes de los últimos años y ha logrado la profundización del fenómeno de la digitalización. La cantidad de datos e información que almacenan y gestionan las empresas crece de manera exponencial y lo seguirá haciendo a través de la IA. 

También, esta nueva invención logra que aparezcan novedades como las respuestas automatizadas y los análisis predictivos. Todo esto ayuda a anticipar futuras amenazas cibernéticas a través del análisis de datos históricos. 

Ciberseguridad adaptativa

De la mano de la inteligencia artificial y también del aprendizaje automático, aparece la ciberseguridad adaptativa. Esta última consiste en la detección y en la respuesta automática y programada a amenazas cibernéticas en tiempo real.

Para comprenderlo mejor, podemos decir que, en lugar de depender únicamente de medidas estáticas de seguridad, como firewalls y sistemas de detección de intrusiones, la ciberseguridad adaptativa utiliza tecnologías y herramientas que pueden ajustarse y responder automáticamente a los cambios en el panorama de amenazas. Para ello, una de las claves es el análisis permanente de los riesgos. 

Ciberseguridad basada en la nube

Por otro lado, otra de las innovaciones que han revolucionado al mundo digital ha sido el almacenamiento en la nube. Muchísimas empresas han migrado sus datos a la nube, es por eso que aquellas soluciones de ciberseguridad basadas en este tipo de almacenamiento facilitan la protección de los activos que se encuentran en ella.

En primer lugar, una de las claves del cloud computing es la centralización de la gestión y la protección de los recursos de TI. El acceso a los datos y a las herramientas está asegurado desde cualquier ubicación con conexión a Internet. Pero, además, aquellas empresas que elijan una opción de seguridad en la nube, pueden apalancarse en el análisis de datos a gran escala y en las diferentes facilidades que provee la tecnología. 

Desafíos y oportunidades: el rol evolutivo del CISO en el escenario digital

El rol del Chief Information Security Officer evoluciona velozmente en una época en donde los cambios y las innovaciones son protagonistas principales. 

Y lo hemos dicho, la ciberseguridad es un campo de adaptación y no hay un solo día que no se pueda dejar de investigar sobre las nuevas tendencias. Por eso es importante que estos profesionales se mantengan al día con las últimas tácticas, técnicas y procedimientos utilizados por los ciberdelincuentes.

Los CISO ya no se limitan a proteger la infraestructura de TI de una organización; ahora también deben responder a amenazas cambiantes, y hacer uso de todas las oportunidades que ofrecen las nuevas tecnologías. En ese sentido, la nube, el internet de las cosas y la inteligencia artificial han hecho que la infraestructura de TI se haya vuelto más compleja, aumentando así la superficie de ataque.

Pero esto hace que el rol de los CISO en las empresas sea cada vez más importante y que no abarque solamente la ciberseguridad, sino que además se integre en todas las caras de la organización, desde el diseño de productos hasta las operaciones comerciales.

Aspectos claves de seguridad y cumplimiento con un CISO: consideraciones

Dentro de las tareas y las posibilidades de los CISOs, existe la oportunidad de fomentar una cultura de seguridad en toda la organización, algo que claramente funciona como una estrategia de acción para evitar incidentes cibernéticos. Es sabido que el phishing y la ingeniería social son de las actividades preferidas por los ciberdelincuentes para penetrar los sistemas informáticos. 

Para evitar eso, es importante que cada persona dentro de la empresa esté atenta y conozca algunas precauciones mínimas. Aquí el rol del CISO también se expande. Pensemos en el caso de YPF, que cuenta con miles de empleados que operan en diferentes partes de la empresa a lo largo y a lo ancho de todo el país. La brecha en estos casos es muy grande porque es difícil controlar las acciones de cada empleado. 

Es por eso que las charlas de concientización y de capacitación para empleados es, probablemente, de las tareas más necesarias de los departamentos de ciberseguridad.

CISO

Perfil profesional del CISO: requisitos, competencias y habilidades

Son varias las habilidades que debe saber manejar un CISO para llevar a cabo una labor exitosa en la empresa en la que se esté desempeñando. Nos encargaremos de mencionar algunas de las más relevantes. 

Perfil ejecutivo

Algo ya hemos estado anticipando cuando describimos cuál debe ser la estrategia de implementación de un CISO en una compañía. Lo cierto es que este último debe tener presencia ejecutiva dentro de la organización. Debe ser un líder en el área de seguridad y es necesario que sea escuchado por todas las personas en lugares de decisión en la empresa. 

En este sentido, el trabajo del CISO no se limita a identificar las amenazas, va más allá. Quien ocupe ese rol debe poder comunicarles a los ejecutivos financieros lo que se precisa en materia presupuestaria y por qué se necesita. En definitiva, debe ser alguien que sepa desenvolverse en un ámbito de alto nivel empresarial. 

Aptitudes comerciales

En línea con el perfil ejecutivo, un CISO debe tener conocimientos mínimos de operaciones comerciales. En una empresa, ningún departamento funciona aislado del resto, todas las decisiones que se toman afectan al conjunto. 

Por ello, el CISO debe ser capaz de evaluar costos y beneficios de las medidas de seguridad y necesita un buen criterio para no entrometerse en el correcto funcionamiento de las operaciones de negocio. 

Profesional de la ciberseguridad

Por último, un CISO debe ser un profesional de la ciberseguridad. Es lo lógico, estamos hablando de la persona que será responsable de establecer la dirección estratégica de la seguridad cibernética en la empresa. Para tomar decisiones de calidad, el CISO debe comprender los principios fundamentales de la seguridad en línea y conocer los mejores cursos de acción para repeler ataques. 

Pero, además, su rol ejecutivo requiere que tenga la capacidad de traducir conceptos técnicos complejos en términos comerciales. Debe poder expresarse y ser entendido por otras personas en puestos de decisión.

Herramientas de ciberseguridad: guía para seleccionar la mejor opción con un CISO

Combatir a la ciberdelincuencia no es tarea fácil. Estas nuevas amenazas que ponen en jaque a los sistemas informáticos de los gobiernos y empresas más importantes del mundo actúan, no solo con un conocimiento técnico muy elevado, sino también con una tecnología de primer nivel.

Para contrarrestarlos es importante saber elegir las herramientas adecuadas. Sobre todo, porque no todos los sistemas o empresas tienen las mismas vulnerabilidades. Las brechas de seguridad son propias de cada empresa en particular. A continuación, hemos preparado un paso a paso para elegir las herramientas de seguridad con un CISO.

Determinación de objetivos

Primero que todo, como ya hemos venido describiendo, es importante preguntarse ¿Cuál es el objetivo de la empresa y específicamente del área de ciberseguridad? Se trata de conocer los riesgos y las vulnerabilidades únicas de nuestra empresa. 

Entre ellas, el tipo de datos que manejamos, los sistemas y aplicaciones que utilizamos y las regulaciones legales en materia de privacidad que se deben cumplir. Por ello, la necesidad de entender a la empresa en su conjunto. 

Identificación de características de la compañía

En el mismo sentido, es muy necesario identificar y evaluar las posibles brechas de seguridad que existen en nuestra infraestructura de TI. Es de esta manera que podremos determinar qué áreas de seguridad necesitan atención prioritaria y qué características son esenciales en las herramientas que seleccionemos.

Investigar las soluciones en el mercado

Conocer en detalle las herramientas, así como también la manera en la que trabajan los proveedores, es una de las claves de este proceso. Tengamos en cuenta que el CISO debe trabajar y pensar como ejecutivo, por lo tanto, debe evaluar relación precio-calidad, el nivel de necesidad de la herramienta en cuestión y de qué manera el costo de adoptarla afectará al presupuesto de la empresa.

Tener buenos contactos con los proveedores y conocer la calidad de cada uno de ellos facilitará la elección. Una buena investigación y un conocimiento profundo del mercado son la base de una buena selección de herramientas. 

Verificar lo que estás comprando

Antes de concretar una compra de cualquier tipo de herramienta relacionada a la ciberseguridad, lo mejor es siempre probarla. A veces, podemos creer que estamos ante una gran solución que nos ayudará a enfrentar amenazas, pero al ver cómo funciona en la realidad nos podemos llevar una sorpresa. 

Con los conocimientos de un CISO y de todo su equipo de profesionales esto es fácil de lograr puesto que para ellos será sencillo saber la efectividad de una solución. Además, siempre es recomendable consultar con otros colegas que estén trabajando en diferentes compañías o mismo en sitios web de ciberseguridad donde haya foros de opinión.

Quienes ya hayan probado o comprado estas herramientas tendrán la experiencia. Así será posible orientarnos y conocer mejor el producto antes de adquirirlo. 

Futuro de la ciberseguridad en Argentina: CISO y las próximas fronteras digitales

Las estadísticas de ciberseguridad en Argentina marcan una realidad preocupante. El incremento del ransomware y del phishing asustan a quienes tienen en sus datos una muy valiosa fuente de trabajo. Es por eso que aún quedan desafíos por afrontar y cada día las empresas toman mayor conciencia de la relevancia que adquiere invertir en ciberseguridad.

Incluso, faltan profesionales en ciberseguridad que puedan ocupar los lugares que hacen falta para combatir al ciberdelito. Probablemente, la clave del éxito en la lucha contra estas amenazas se encuentre allí; en la posibilidad de que surjan nuevos jóvenes capacitados en diferentes áreas de tecnología que puedan combinar las nuevas invenciones como la IA con una sólida estrategia de ciberseguridad.

Consejos para contratar un CISO

Existen varios principios importantes a la hora de iniciar la contratación de un CSO. Algunos los hemos mencionado en el artículo, especialmente cuando enumeramos cuáles son los aspectos que debe tener un CISO para ser exitoso. Entre estas máximas, una de las más importantes es la necesidad de tener una comprensión clara de lo que se espera de este profesional en términos de liderazgo en seguridad, gestión de riesgos y protección de datos.

Para eso es importante conocer la empresa y sus necesidades. Recordemos que las brechas de seguridad son diferentes y dependen del estilo de información y tecnología que se gestione. 

Por ende, podemos sintetizar este primer consejo diciendo que es necesario definir claramente el rol y las responsabilidades del CISO antes de su contratación. 

En segundo lugar, se recomienda que los candidatos a ocupar el puesto se busquen con este norte. El perfil ganador debe alinearse de forma perfecta con los objetivos y la cultura de la organización. A su vez, esta persona debe conocer de antemano la realidad de la organización para saber a qué amenazas se estará enfrentando. 

Como mínimo, un buen candidato debe contar con habilidades para desarrollar estrategias de seguridad efectivas, gestionar equipos y comunicarse eficazmente con otros ejecutivos de la compañía.  

Así otro consejo clave es buscar experiencia y habilidades que se alineen con los objetivos predefinidos. 

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Gonzalo Castillo
Gonzalo Castillo
Redactor

Artículos relacionados

Artículo 1 de 5