Cómo ha cambiado el rol del CISO desde que Steve Katz inauguraba este cargo hace 30 años

Cuando Steve Katz se convirtió en el primer CISO en 1995, Netscape Navigator era el navegador más popular del mundo, Mark Zuckerberg estaba en la escuela secundaria, faltaba una década para la llegada de los teléfonos inteligentes y SSL 2.0 era completamente nuevo.

Citicorp le ofreció a Katz el puesto de director de seguridad de la información (algo que no había existido antes) mientras el banco todavía se recuperaba de un incidente del año anterior en el que los ciberdelincuentes intentaron robar 10 millones de dólares mediante transferencias internacionales fraudulentas. Se llevaron 400.000 dólares antes de que la empresa frustrara su estafa. “Eran dos niños rusos de San Petersburgo que intentaban encontrar una manera de obtener servicio telefónico gratuito”, recordaba el propio Katz en una entrevista en 2021 para el podcast CISO Stories de Todd Fitzgerald. Como resultado, Citicorp creó el puesto de CISO y se lo ofreció a Katz, que aceptó el trabajo y entrando en la historia de la ciberseguridad.  

Katz falleció en diciembre de 2023 a la edad de 81 años, y sus colegas del sector le rindieron homenaje y le denominaron “el padre de la ciberseguridad”. Laura Deaner, CISO de Northwestern Mutual le recuerda como un mentor generoso. “Tenemos un trabajo duro, pero siempre estaba dispuesto a atender una llamada y a hablar contigo si tenías dificultades con algo en particular. Era una persona muy positiva”.

Mientras Deaner y otros profesionales toman la antorcha que Katz encendió por primera vez, ha aquí un vistazo de cómo ha evolucionado este rol en las tres décadas que han pasado desde que se creó.

El papel del CISO pasa de las habilidades tecnológicas a las habilidades blandas

Katz no tenía ni idea de cuál era el puesto de CISO cuando lo aceptó en 1995. Tampoco Citicorp. “Dijeron que tenía un cheque en blanco, que construyera algo grandioso sea lo que sea”, relató Katz. “El CEO dijo: La junta no tiene ni idea, haga algo”. De hecho, solo se le dieron dos directivas: construir el mejor departamento de ciberseguridad del mundo y pasar tiempo con los principales líderes internacionales y de banca para limitar los daños.

Desde entonces, el trabajo del CISO se ha vuelto mucho más complejo. Según Fitzgerald, la contratación de Katz inció la primera era del CISO, desde el 1995 al 200, cuando estos se centraban en las contraseñas y la seguridad de inicio de sesión. Desde entonces, divide cómo han cambiado sus responsabilidades en una línea del tiempo:

• 2000 a 2004 : CISO de cumplimiento normativo
• 2004 a 2008 : CISO orientados al riesgo
• 2008 a 2016: CISO de ciberseguridad conscientes de las amenazas (social/móvil/nube)
• 2016 a 2022: CISO conscientes de la privacidad y los datos
• 2022 a 2027: el CISO integrado y resiliente al negocio

Fitzgerald dice que originalmente se consideraba que el puesto era técnico, pero ahora presenta un mayor énfasis en la estrategia comercial. "Hoy en día se presta mucha más atención a las habilidades interpersonales, a ser ese socio comercial y ese ejecutivo", afirma.

Con el tiempo, el trabajo del CISO ha pasado de comprender literalmente los aspectos prácticos de la red de TI de la empresa a comprender cómo recoger las piezas (tanto en sentido literal como figurado) en una crisis de ciberseguridad, asegura Yael Nagler, directora ejecutiva de Yass Partners. Hoy en día, añade, el CISO debería actuar como un socio estratégico dentro de su organización.

“A medida que el rol ha evolucionado, en realidad se ha alejado más del teclado de la tecnología y se ha trasladado más a la sala de reuniones ejecutivas. Entonces, las habilidades del CISO han evolucionado pero sus interacciones también han cambiado mucho”. Nagler dice que esas interacciones incluyen la colaboración con unidades como tecnología, finanzas, auditoría, legal y cumplimiento. Según Gartner Research, este tipo de cooperación más allá del ámbito de TI es fundamental para los CISO modernos. Después de que Gartner analizó el desempeño de 227 CISO entre 2020 y 2023, concluyó que "los CISO más efectivos” se reúnen periódicamente con tres veces más partes interesadas ajenas a TI (como jefes de ventas, jefes de marketing y líderes de unidades de negocios) que las partes interesadas principales de TI.

Los CISO han aprendido a transmitir el riesgo en términos comerciales

Con toda esa colaboración, el CISO de hoy debe poder comunicar las amenazas cibernéticas en términos que la línea de negocio pueda entender casi al instante. "Es la capacidad de articular el riesgo de una manera que esté relacionada con los procesos de negocio de la organización", habla Fitzgerald. “Es necesario poder traducir lo que significa riesgo. ¿Significa que no puedo realizar operaciones comerciales? ¿Significa que no podremos tratar a los pacientes en nuestro hospital porque sufrimos un ataque de ransomware?

Deaner cree que los CISO tienen un papel obvio que desempeñar en iniciativas centrales de seguridad de la información, como la implementación de un plan de continuidad del negocio o pruebas de recuperación ante desastres. A medida que la transformación digital entrelaza la tecnología en el tejido de cada organización, agrega, el CISO también debe romper con la ciberseguridad del silo tecnológico tradicional. "Es importante garantizar que la seguridad sea una parte importante de la cultura de la empresa y que se escuche sobre ella desde arriba hacia abajo", dice Deaner.

El CISO de hoy está sobrecargado, estresado y lleno de angustia.

Un estudio de 2023 realizado por Cybersecurity Venture estimó que actualmente hay alrededor de 32.000 CISO en todo el mundo. Sin embargo, a medida que ha aumentado el número de CISO, también ha aumentado su sensación colectiva de angustia. En enero de 2024, una encuesta conjunta de IANS/Artico a 663 CISO en Canadá y EE. UU. encontró que el 75% estaba abierto a cambiar de trabajo, frente al 64% del año anterior, y el número de CISO satisfechos con su trabajo y empresa cayó de 74% al 64% durante el mismo período.

"Los CISO están experimentando una dualidad de ansiedad y oportunidades, que se atribuye a la reducción del gasto en ciberseguridad, el aumento de las infracciones cibernéticas, el aumento de las herramientas de inteligencia artificial generativa y reglas de ciberseguridad más estrictas que enfatizan los requisitos de divulgación", afirma el estudio.

La tensa psique del CISO actual no sorprende a Fitzgerald. Señala que ninguna de las responsabilidades básicas requeridas para los CISO en épocas anteriores se ha vuelto menos importante. En cambio, ahora se espera que los CISO los aborden todos : gestión de riesgos, estar al tanto de las amenazas emergentes, cumplimiento normativo, privacidad de datos y desarrollar la resiliencia empresarial mediante la integración de la ciberseguridad en toda la cultura y las operaciones de la organización. “Ninguna de estas cosas de las etapas anteriores desapareció. No fueron reemplazados, sino ampliados”, dice Fitzgerald.

La responsabilidad ha surgido como una nueva preocupación

Al efecto acumulado se suma un entorno regulatorio cada vez más estricto en todo el mundo, incluida la Unión Europea. En EE. UU., el exCISO de Uber, Joe Sullivan, fue condenado en 2023 por no revelar una violación de datos; Ese mismo año, la Comisión de Bolsa y Valores presentó cargos contra el CISO de SolarWinds, Timothy G. Brown, en relación con un ciberataque de 2020. 

“La gente en los círculos de CISO habla mucho sobre responsabilidad. Estamos todos preocupados por ello”, reconoce Deaner. "La gente se está tomando muy en serio los cambios a esas regulaciones porque están ahí por una razón".

En opinión de Nagler, unos parámetros regulatorios más definidos podrían en realidad convertirse en “el mejor regalo” para los CISO. “Los líderes se están dando cuenta y, con suerte, esto está impulsando acciones más reflexivas y el desarrollo responsable de programas (de ciberseguridad) en las organizaciones. Es una gran oportunidad para que los CISO evolucionen su función y su valor para la empresa más allá de la tecnología y se conviertan en socios estratégicos”, afirma.

Eso podría requerir un encuentro cara a cara más frecuente y significativo con la alta dirección. Sin embargo, el estudio de IANS/Artico indicó:

• Sólo el 20% de los CISO son considerados ejecutivos de nivel C en sus organizaciones.
• Sólo el 50% de los CISO interactúan con su junta directiva trimestralmente.
• Aunque el 85% quiere una orientación clara sobre la tolerancia al riesgo por parte de su junta directiva, sólo el 36% la obtiene.

“Muchas veces los CISO todavía reportan al CIO o al CTO, la parte técnica de la organización. Entonces, por mucho que deberían informar al CEO, muchos de ellos todavía no lo hacen”, dice Fitzgerald.

Replantear la posición del CISO para el futuro

Ante las amenazas cibernéticas que surgen constantemente, los avances de la IA que parecen surgir de la noche a la mañana y un panorama legislativo que cambia de forma, ¿qué debe hacer un CISO hoy en día? En una nota de investigación de 2022 que declaraba que los CISO simplemente están “agotados”, Sam Oyaei, de Gartner, argumentó que es necesario replantear por completo el papel: como líder de la gestión de riesgos compartidos, no como el único portero encargado de prevenir infracciones. "[El trabajo] debe evolucionar de ser la persona responsable de facto para tratar los riesgos cibernéticos a ser responsable de garantizar que los líderes empresariales tengan las capacidades y el conocimiento necesarios para tomar decisiones informadas y de alta calidad sobre los riesgos de la información", escribió Olyeai, vicepresidente de asesoría en seguridad cibernética. en Gartner.

Haciéndose eco de esto, Nagler insta a los CISO de hoy a “reconocer que no es su única responsabilidad” equilibrar las delicadas dualidades de gestionar el riesgo y permitir el crecimiento empresarial. Más bien, dice que su deber es "asegurarse de que el equipo de liderazgo esté equipado para equilibrar eso: enhebrar la aguja, explicar las cosas, anticipar, comprender hacia dónde se dirige".

Fitzgerald aconseja a la generación actual de CISO que se centren en la estrategia y la gobernanza, "asegurándose de que se estén haciendo todas las cosas correctas y de que se esté logrando la propiedad de la seguridad en toda la organización, no sólo las partes técnicas de la misma".

La última palabra la tiene el primer CISO. En 2021, cuando Steve Katz reflexionó sobre su trabajo pionero en Citicorp en 1995, describió proféticamente su enfoque del puesto en términos muy similares. "Los departamentos de TI fueron la parte más pequeña del problema", dijo Katz. "Desde el primer día, la filosofía subyacente fue que la seguridad de la información es una cuestión de riesgo empresarial; es una cuestión de gestión de riesgos empresariales".