Un gran líder en alguna sesión de coaching me preguntó: "¿Cuándo es el mejor momento para sembrar un árbol?”, a lo que sin analizar demasiado la pregunta le contesté: "¡En invierno!". Rápidamente me corrigió: "¡10 años atrás!".
Han pasado 6 meses desde que inició la pandemia y ciertamente nos ha cambiado la vida a todas las personas a nivel mundial. Han sido meses desafiantes en los frentes sanitario, económico y social, en donde nos hemos tenido que adaptar a la nueva normalidad. Desde los primeros días se posicionó en diferentes escenarios la frase: “Es hora de reinventarnos”.
En este periodo de pandemia, nos reunimos como cada década lo hacemos desde que nos conocimos, con un grupo de líderes de ciberseguridad en Colombia, para analizar qué va a pasar con nuestra industria en los próximos 10 años. Nuestra primera reunión se realizó diez años atrás, en 2010. En 2020, nos atrevimos a hacer nuevas proyecciones. En esta oportunidad planteé el riesgo de la pérdida de liderazgo del CISO en las organizaciones.
Todos se preguntarán el porqué de mi preocupación en la relevancia del CISO. Y quiero explicarlo en 5 grandes errores:
-
- Ante la amenaza arreglamos sistemas y no el negocio: Nuestra función de líderes de ciberseguridad ha sido concebida como una función técnica. Pero, en realidad, esta posición ha evolucionado y hoy en día se centra en transformar la capacidad reactiva frente a problemas técnicos, implementando controles y herramientas técnicas a una gestión del riesgo y la incertidumbre, basado en el costo beneficio.
-
- Nuestro propósito en las organizaciones es crear valor en espacios directivos: Ponemos una barrera y creamos desconexión al hacer referencia al tema técnico en la Junta Directiva de la organización. Debemos entender las expectativas, ser estratégicos y transformar nuestro lenguaje técnico de ciberseguridad a un lenguaje de negocio.
Desde hace más de 15 años, he trabajado en evidenciar cómo las decisiones de seguridad impactan el P&G (Estado de Resultados Financieros) de una compañía, compartiendo mis ideas a las juntas directivas y posicionando al CISO de una forma estratégica en este tipo de espacios.
Gráfico 1. Impacto de las decisiones de Seguridad en los Estados Financieros
- Nuestro portafolio de proyectos de ciberseguridad, no está siendo parte de la estrategia de negocio: La generación de confianza a los clientes se vuelve un elemento estratégico. Un error común del rol de ciberseguridad es no tener una estrategia alineada al negocio. Esta falla, hace que no se integre la ciberseguridad en las primeras etapas del desarrollo de nuevos productos o servicios.
- Tomamos decisiones basadas en percepciones y no en datos: La transformación de todas las industrias se ha soportado bajo el concepto “DataDriven” (basado en datos). La ciberseguridad no es la excepción. Soportar nuestras decisiones en datos se vuelve fundamental en la alta dirección, por lo tanto, el CISO debe llegar a los comités directivos con la postura de seguridad, KPIs e información que apoye la toma de decisiones y, adicionalmente, la mejora continua de la operación y una gestión adecuada basada en datos.
-
- La disculpa de la ausencia de recursos: La función de ciberseguridad está desbalanceada. No solo en el día a día encontramos que nuestra función es evaluada, no por todos los incidentes que no impactaron a la organización, sino por los pocos que realmente no se pudieron gestionar. También encontramos que los recursos destinados a ciberseguridad son mucho menores en comparación con el presupuesto destinado al área de tecnología. Eso no puede ser una disculpa. Nuestro rol debe buscar alternativas y constantemente mejorar nuestra ejecución, analizando estrategias costo-beneficiosas en cuanto gestión, control y operación de la ciberseguridad. Cada vez más las estrategias de automatización y orquestación toman fuerza en este aspecto de evolución de nuestro rol.
El riesgo de la pérdida de posicionamiento del CISO en las organizaciones es muy alto. Tenemos que desarrollar habilidades y capacidades para que esa visión de futuro no se vuelva una realidad. Como me enseñó el gran líder Julio Leonzo Alvaréz (QEPD), "¡Es mejor empezar 10 años antes!".
Nuestras iniciativas
En Grupo A3Sec estamos trabajando en una iniciativa orientada a generar conocimiento y desarrollar contenido para CISOS. Vamos a lanzar muy pronto un blog llamado “El diario del CISO” para compartir todas estas ideas y seguir apoyando la relevancia de esta posición en las organizaciones.
Adicionalmente, hemos creado un espacio de discusión con líderes de la industria para intercambiar puntos de vista, resolver dudas, exponer opiniones, etc., en torno a la función del CISO. ¡Conéctate muy pronto a nuestro primer #CafeconCISOs!