La ciberseguridad se está convirtiendo en uno de los principales quebraderos de cabeza para las organizaciones. El último balance de ciberseguridad del Incibe refleja que en 2024 se gestionaron 97.348 incidentes de ciberseguridad, de los que el 32,4% afectaron a empresas: 31.540 casos, un 43,2% más que en 2023. No resulta de extrañar que, al calor de estos datos, el puesto de CISO tome una nueva perspectiva. Más aún en el actual contexto de novedades normativas, que tratan de evolucionar hacia una visión proactiva, con foco en la resiliencia. “Los años en los que los CISO derrochaban esfuerzos en concienciar en materia de ciberseguridad a la alta dirección ya han pasado a la historia”, asumen desde Deloitte. Pero con esto nace un nuevo desafío: entender cómo este cambio de perspectiva reconfigura el puesto y su posición en la organización.
Un cargo en evolución
En el reciente informe The CISO Report 2025 de Splunk, compañía de Cisco, se detecta precisamente un cambio en las relaciones de la junta directiva: un 82% de participantes dicen despachar directamente con su CEO, frente al 47% que así lo hacían en 2023. Entre las personas encuestadas, un 83% de CISO dicen participar de forma periódica en las reuniones de la alta dirección empresarial. El director de Ciberseguridad de Cisco España, Ángel Ortiz, sintetiza esta evolución. “Hasta hace relativamente poco, los CISO se centraban principalmente en la seguridad del entorno de TI y la gestión de riesgos cibernéticos. Hoy, como consecuencia de la hiperconectividad, su papel se extiende a otros campos clave en la estrategia empresarial -como la gobernanza, la privacidad y el cumplimiento- y por tanto debe colaborar y coordinarse con otros directivos y responsables de área para que la seguridad se integre a lo largo de toda la organización”.
Este vínculo no siempre se establece por igual con el resto de cargos. Según el informe de Splunk, hay dos relaciones que destacan por encima del resto: la que se establece entre la persona responsable de ciberseguridad y el departamento de ingeniería y, por encima de esta, la que le une a la parte de TI. Aunque, por supuesto, cuando se baja al detalle esto puede cambiar. “La relación entre el CISO y el CIO depende de cada organización, especialmente en función de su tamaño y nivel de internacionalización”, desarrolla Ortiz: hay ejemplos de cómo seguridad reporta a sistemas informáticos, otros en los que son cargos independientes bajo contacto directo con el CEO y, también, empresas en las que CIO y CISO son dos cargos dependientes de una misma persona.
Este último es el caso de Francisco Javier Rivas, CIO, CTO y CISO de Uniteco, quien considera que, en los últimos tiempos, el rol de CISO “se está convirtiendo, si no lo ha hecho ya, en un rol muy específico y diferenciado del CIO”, reflexiona. “La complejidad tecnológica ha hecho que los atacantes también evolucionen a la par en complejidad y especialización, requiriendo del CISO tener unas aptitudes específicas y ser un puesto muy dinámico”. Esto implica, señala, una evolución continua del entorno de seguridad, así como una alerta constante ante posibles ataques a la infraestructura y el análisis de otros ataques producidos en su entorno. Rivas defiende una necesaria formación específica para cada rol. “Tanto a nivel de complejidad como de velocidad de la evolución de la tecnología, cada vez está exigiendo más la especialización”, y recuerda: “Es lógico que, si se quiere o se debe implantar el Esquema Nacional de Seguridad, en este se exija tener separados los roles de CIO y CISO”.
Francisco Javier Rivas.
“La complejidad tecnológica ha hecho que los atacantes también evolucionen a la par en complejidad y especialización, requiriendo del CISO tener unas aptitudes específicas y ser un puesto muy dinámico”
Francisco Javier Rivas, CIO, CTO y CISO de Uniteco
Ortiz coincide con esta apreciación. “Dada su creciente importancia, en Cisco vemos cómo la tendencia actual apunta hacia una mayor independencia del CISO con respecto al CIO”. Esto no implica una separación total, sino que, aclara, “es imprescindible que ambos roles coordinen sus funciones trabajando estrechamente para alinear la estrategia de seguridad con los objetivos tecnológicos y empresariales de la organización”.
Puntos comunes de trabajo
Pese a que CIO y CISO tengan competencias distintas, sí se puede hablar de ciertas áreas de encuentro, en las que las funciones de estos roles se superpongan. Ortiz lo resume de forma sintética: “El CIO es responsable de la infraestructura tecnológica, la implementación de sistemas y la gestión de TI en general. Por su parte, el CISO se centra en la seguridad de la información, la gestión de riesgos y la protección frente a las ciberamenazas cibernéticas. No obstante, ambos deben colaborar en la implementación de políticas de seguridad, la protección de dispositivos y usuarios, la respuesta frente a incidentes y la educación de los empleados sobre las mejores prácticas de seguridad”.
Desde su experiencia, profundiza Rivas: “Más que solaparse, van a tener muchos puntos de encuentro, y alguno de desencuentro, donde se debe de imponer el bien común de la empresa. El CIO debe de entender que todo debe de nacer desde un punto de vista de la seguridad y el cumplimiento normativo, el CISO debe de entender que la empresa debe de desarrollar su actividad y conseguir que la actividad de esta sea segura y acorde al cumplimiento normativo”. Va un paso más allá al ponderar que, a nivel organizacional, tanto los roles de CIO y CISO como otros que puedan definirse dentro de la estructura empresarial, como el de Chief Data Officer, “deben de participar en el origen de las iniciativas de una empresa que incluyan componentes tecnológicos. No hacerlo puede provocar graves problemas a posteriori de no poder llevar a cabo lo previsto”.
La reconfiguración de estos roles puede conllevar cierta reorganización a nivel de empresa, no únicamente para las partes de TI y ciberseguridad. Lo explica el portavoz de Cisco cuando avanza que, más allá de la relación entre las personas líderes de estas áreas, “los CISO y los comités ejecutivos tienen más oportunidades de lograr una mayor alineación para impulsar la resiliencia digital. Para los CISO, eso significa comprender el negocio más allá de sus entornos de TI y encontrar nuevas formas de transmitir el retorno de la inversión de las iniciativas de seguridad. Para los miembros del comité ejecutivo, implica comprometerse con una cultura de seguridad y consultar al CISO como principal parte interesada en las decisiones que afectan al riesgo y la gobernanza empresarial”. En esta misma línea, Ortiz destaca una de las áreas comunes entre todas las partes que puede ser susceptible de mejora: la coordinación a la hora de innovar con tecnologías emergentes. Cita datos del informe de Splunk, según el cual un 52% de CISO la consideran una prioridad, frente al 33% de los miembros de la junta directiva.
Ángel Ortiz.
“Los CISO y los comités ejecutivos tienen más oportunidades de lograr una mayor alineación para impulsar la resiliencia digital. Para los CISO, eso significa comprender el negocio más allá de sus entornos de TI. Para los miembros del comité ejecutivo, implica comprometerse con una cultura de seguridad”
Ángel Ortiz, director de ciberseguridad de Cisco España
“Al final de todo —concluye Rivas—, la tecnología es una palanca para el objetivo de crear valor de una empresa”. De este modo, valora, tanto CIO como CISO deben de “crear valor desde sus roles” para que la compañía “pueda cumplir sus objetivos”.
Read More from This Article: La convivencia entre CIO y CISO, dos cargos al alza
Source: News