Sonia Segade, directora general de Innovación, Sostenibilidad y Transformación Digital de Renfe, Ricard Guasch, CIO de Zurich Insurance Company, Enric Llaudet, director de Seguridad de la Información en el ámbito internacional de Teladoc Health, y Carlos Manchado, CISO global de Acciona, protagonizaron el debate con el que se clausuró el evento CIO ForwardTech & ThreatScape Spain, organizado por las cabeceras COMPUTERWORLD/CSO y CIO en Madrid el pasado 16 de abril.
El panel, moderado por Fernando Muñoz, director del CIO Executive de Foundry España, abordó un tema ya clásico en el imaginario del liderazgo en TI y seguridad de la información, pero no por ello menos relevante y de actualidad: ¿cómo deben colaborar los CIO y los CISO para coliderar la transformación empresarial, aunando la visión estratégica del primero con la defensa activa que articula el segundo?
Durante el debate, quedó patente que, en la economía digital actual, determinada por la frenética adopción de los últimos sabores de la inteligencia artificial y un contexto geopolítico complejísimo, en el que impera el concepto de soberanía tecnológica y de datos, la relación entre el máximo responsable de los sistemas de información de las organizaciones y el líder en ciberseguridad de las mismas tiene que ser, inevitablemente, mucho más estrecha y coordinada, que permita la compartición de modelos de gobernanza; una cultura de colaboración transversal que aúne la gestión del riesgo, el negocio y la tecnología y derribe las tradicionales fronteras entre innovación y seguridad.
Así lo es en el caso de Acciona, contó su CISO, Carlos Manchado. “La alianza estratégica entre el CISO y el CIO es necesaria y necesitamos seguir avanzando en ella”, aseveró, recordando que el rol del primero (el suyo propio) es el de un directivo capaz de “balancear los riesgos y mitigar los posibles ataques, teniendo siempre en cuenta que lo principal es el negocio”.
Carlos Manchado (Acciona).
Garpress | Foundry
Según Llaudet, de Teladoc Health, el rol del CISO ha cambiado en los últimos años porque también lo ha hecho la propia relevancia de la seguridad de la información en las empresas y para sus cúpulas directivas. “Ahora es muy distinto el escenario y la seguridad de la información está para conseguir los resultados de negocio”, afirmó, subrayando la evolución del CISO de “un prescriptor a un decisor”, en cuya labor ya no cabe ser un freno para los proyectos de innovación.
En esta misma línea también ahondó Guasch, de Zurich Insurance Company. “El rol del CISO se ha transformado mucho más que el del CIO en los últimos años. Ha pasado de ser un prescriptor a un ejecutor de servicios de seguridad de la información”. Eso sí, en este viaje de “empoderamiento”, se han difuminado las fronteras que tenía con el CIO. “Hay que mejorar esto y definir bien los roles y las responsabilidades de cada uno. Determinar dónde empieza y dónde acaba cada uno de estos roles”. En todo caso, afirmó, “la relación entre ambos, en muchos casos ‘de auditor a auditado’ debe ser ahora de plena colaboración, porque el objetivo del área de TI y de seguridad de la información, al final, es el mismo: que el negocio funcione”.
Ricard Guasch (Zurich Insurance Company).
Garpress | Foundry
Una relación a veces complicada
¿Existen fricciones entre el CISO y el CIO? Según Segade, de Renfe, el modelo a seguir debe ser el de “negociación constante”. No obstante, apuntó que, dado que, en el caso de la entidad ferroviaria, “el CISO es quien establece las políticas de seguridad y el CISO las operaciones de seguridad”, la última responsabilidad y, por ende, la toma de decisiones recae en el CIO. “El responsable del riesgo digital es el responsable del sistema, y este último es el CIO”, apuntó, añadiendo que, en el caso de su organización, normalmente el análisis de riesgos lo establece el CIO con el área de negocio. “El CISO evalúa e informa”, agregó.
“La realidad —apostilló Guasch sobre este asunto— es que si tenemos un problema de seguridad, este no es solo del CISO o del CIO: lo es de toda la compañía, del negocio”. “Desde luego, si cae un servicio dos horas todo el mundo mirará a TI, pero si cae una semana todos mirarán al área de negocio”.
La directiva ahondó también en la importancia de analizar bien los riesgos de seguridad de un proyecto, pero también cuál es el impacto que puede tener en el negocio y en la estrategia de transformación digital no llevarlo a cabo. “Debemos buscar el equilibrio entre la seguridad llevada al extremo y la seguridad que podemos prestar en los sistemas de información gracias al uso de las tecnologías”, argumentó.
Sonia Segade (Renfe).
Garpress | Foundry
Lo que está claro, según la directiva, es que el CISO debe estar involucrado en todos los proyectos de TI de la compañía desde el principio. “Desde luego, en Renfe no podemos poner nada en producción sin un análisis de riesgos y una firma de la documentación”, sentenció.
Ocurre igual en las demás organizaciones. “Tenemos un proceso de gobernanza que obliga a que cada proyecto nuevo pase por las manos del CISO, para evaluar la gestión del riesgo. Eso sí, es cierto que la gran queja de nuestros equipos de negocio es que este proceso genera menos velocidad y puede ser un freno a la innovación”, según Llaudet, de Teladoc Health, que agregó9: “Estoy de acuerdo en que el CISO debe estar en todos los proyectos, pero si esto supone que seamos un cuello de botella para la innovación, entonces tenemos un problema”.
Enric Llaudet (Teladoc Health).
Garpress | Foundry
¿El coliderazgo es necesario?
Para Sonia Segade, la relación entre el CISO y el CIO debe ser, sin duda, de “coliderazgo”. “Esa es la clave —añadió Guasch— porque la seguridad de la información es una cosa de todos. Las áreas de TI y seguridad tenemos que trabajar en modo ‘joint venture’ para convencer al resto de la organización de que ser seguros no es una opción, sino una obligación”. “Más que coliderar —apuntó Llaudet— lo que hay que hacer es simplemente cooperar; en nuestro caso, esto ahora lo estamos haciendo mucho, sobre todo con los proyectos de IA”.
Manchado cerró el debate con su propia visión de la relación entre el CIO y el CISO: “Lo que hay que tener es empatía, un elemento clave en el liderazgo. Lo mejor es intentar ponerte en los zapatos del otro y entender cuáles son los objetivos y qué se persigue”. Añadió que aunque en su día a día hace concesiones, “bastantes”, también tiene “líneas rojas” en pro de la seguridad.
Read More from This Article: La relación entre el CIO y el CISO, a examen: ¿por fin se ha roto la frontera entre innovación y seguridad?
Source: News