Han pasado tres décadas desde que Steve Katz fuera designado como el primer Chief Information Security Officer (CISO) en Citicorp, marcando así un hito en la historia de la ciberseguridad corporativa, y dando inicio a una evolución continua en el papel y la percepción del CISO dentro de las organizaciones.
Había estado trabajando en el mundo del cómputo desde la década de 1970, cuando comenzó a volverse un experto en diversas áreas tecnológicas y desarrolló la capacidad de explicar a los directores qué era la informática y cómo podría ayudar a las empresas.
Katz trabajaba para Morgan Garanty, que más tarde se convertiría en JP Morgan Chase. “En ese entonces corría el rumor de que Citicorp había sido hackeado. Un reclutador me llamó para preguntarme si me interesaría un puesto en seguridad de la información”, dijo en 2020 a Cybercrime Magazine. “La posición se llamaría Chief Information Security Officer, era la primera vez que se usaba ese título”.
El intento de unos jóvenes hackers rusos de robar $10 millones de dólares de Citibank, de los cuáles sólo pudieron extraer $4 millones, fue un punto de inflexión, ya que muchas organizaciones comenzaron a reconocer la necesidad de contar con un líder dedicado a la protección de la información y la mitigación de riesgos cibernéticos.
Un rol en evolución
En su génesis, el CISO era predominantemente un experto técnico, centrado en mitigar riesgos y amenazas en el ámbito de la tecnología de la información. Sin embargo, con el transcurso del tiempo, este rol ha experimentado una transformación significativa, abarcando áreas más amplias y estratégicas dentro de las empresas.
El contexto en el que surgió el primer CISO difiere enormemente del panorama actual de ciberseguridad. Hace 30 años, el paisaje digital era radicalmente diferente: Netscape reinaba como el navegador dominante, Mark Zuckerberg estaba en la escuela secundaria y los teléfonos inteligentes aún no habían hecho su debut. La seguridad en línea estaba en sus etapas iniciales, con el cifrado del canal de comunicación apenas comenzando a desarrollarse.
Al día de hoy, el CISO no solamente es capaz de dominar habilidades tecnológicas, sino también ha adquirido importantes soft skills, que lo han posicionado como uno de los principales líderes dentro de las organizaciones, considerándolo en ocasiones como un estratega del negocio.
Resulta interesante cómo ha cambiado el papel del CISO en distintas etapas significativas:
- 2000-2004. Durante este período, el enfoque del CISO se amplió para incluir el cumplimiento normativo, particularmente en sectores altamente regulados como servicios financieros y salud. La prevención de multas se convirtió en un objetivo importante para muchas organizaciones.
- 2004-2008. El CISO comenzó a adoptar una perspectiva más amplia del riesgo, centrándose en las amenazas externas y su impacto potencial en las operaciones comerciales.
- 2008-2016. Se produjo una transición hacia la ciberseguridad integral, con el CISO reconociendo las amenazas emergentes relacionadas con la movilidad, la nube y el entorno social en línea.
- 2022-2024. La protección de la privacidad y el cumplimiento normativo se convirtieron en prioridades clave para el CISO, en respuesta a marcos regulatorios más estrictos en Estados Unidos y Europa.
En cada una de estas etapas, CISO ha mostrado gran resiliencia para abordar los desafíos emergentes en el panorama de la ciberseguridad, y colaborar de forma estrecha con diversas áreas de la organización.
Camino por recorrer
A pesar de su creciente importancia, los CISO enfrentan desafíos significativos en el desempeño de sus funciones. La falta de apoyo y reconocimiento dentro de las estructuras organizativas es una preocupación clave. Según un estudio de Gartner, muchos CISO no participan activamente en las decisiones estratégicas de la empresa y luchan por comunicar eficazmente el riesgo cibernético a los líderes empresariales, además de padecer estrés y angustia y sentirse saturados.
Gartner reporta que, de acuerdo con un sondeo entre CISO de Estados Unidos y Canadá, el 75% está abierto a cambiar de trabajo, por arriba del 60% del año pasado. Esto habla de que estos profesionales no están satisfechos con el trabajo que desempeñan y están dispuestos a migrar a otras empresas con mejores condiciones.
Cabe destacar el hecho de que solamente el 20% de esos profesionales forman parte de las filas del C-Level, mientras que el 80% restante reporta a las áreas de tecnología. Apenas el 50% de ellos participan en las juntas directivas trimestralmente, y varios ni siquiera participan en los grandes comités de riesgo, por lo que no los consideran para las decisiones estratégicas en ciberseguridad.
Para abordar estos desafíos y maximizar el valor del CISO dentro de las organizaciones, se requieren cambios fundamentales en la forma en que se percibe y se integra este rol. Es necesario replantear el papel del CISO como un líder de gestión de riesgos compartidos, en lugar de verlo como el único responsable de la seguridad de la información.
Además, el CISO debe seguir evolucionando para integrar habilidades tecnológicas y comerciales, y convertirse en un participante activo en la toma de decisiones estratégicas. La colaboración interdepartamental y la comunicación efectiva son fundamentales para su éxito en el entorno empresarial actual.
Un profesional enfocado en riesgo
Evidentemente, el papel del CISO ha experimentado una evolución significativa en las últimas tres décadas, desde sus raíces técnicas hasta convertirse en un líder estratégico en el ámbito de la ciberseguridad empresarial.
Asimismo, para que se aproveche su máximo potencial, requiere mayor apoyo y reconocimiento dentro de las organizaciones, así como ser altamente resiliente para adaptarse a un entorno digital en constante cambio.
En 2021, dos años antes de su muerte, Steve Katz aseguró en una entrevista a Security+Week, que el rol de CISO tiene que ver con el riesgo empresarial. “Creo que el título actual sería Chief Information Risk Officer (CIRO) y no Chief Information Security Officer. La ciberseguridad es una herramienta para gestionar el riesgo del negocio. No es un fin en sí mismo”.
