Las empresas gestionan cada día una serie de ejercicios de equilibrismo—entre innovación y fiabilidad, por ejemplo, inversión o beneficio, velocidad o seguridad. Cada líder contribuye a cómo se sopesan y toman las decisiones, y tradicionalmente se ha esperado que los CISO operen en un extremo de esa escala, como el principal protector del negocio.
Sin embargo, durante la última década, los directores de seguridad de la información (CISO) han ido adaptando gradualmente sus funciones a medida que las empresas se digitalizaban y se orientaban cada vez más por los datos. Los CISO ya no se limitan a las funciones de apoyo de back office, sino que han dado un paso adelante para ocupar su lugar en debates sobre el negocio más amplios y en la toma de decisiones.
Los CISO ya no se limitan a las funciones de apoyo de back office, sino que han dado un paso adelante para ocupar su lugar en debates sobre el negocio más amplios y en la toma de decisiones
Los nuevos datos de Netskope arrojan luz sobre este cambio. Nuestro informe Bringing Balance (aportando equilibrio) muestra que el CISO moderno ha dejado de estar bajo el control de los amplios equipos directivos y está listo para ayudar a contribuir a los objetivos del negocio, permitiendo el crecimiento y la innovación.
El 59% de los CISO se ven ahora como facilitadores del negocio, y el 67% afirma que quiere desempeñar un papel aún más activo en el futuro.
Sin embargo, la investigación también reveló que dos de cada tres CISO (65%) creen que otros miembros de la alta dirección todavía no ven que el papel del CISO haga posible la innovación, y el 92% dijo que el conflicto de apetitos de riesgo es un problema para su alta dirección.
Entonces, ¿cómo pueden los CISO cambiar las actitudes de la alta dirección y ayudar a la organización en general a verlos como verdaderos facilitadores del negocio?
Índice de temas
Vincular la ciberseguridad a los objetivos del negocio
Los datos son la savia de la empresa moderna, lo que significa que la función del CISO es esencial para garantizar el funcionamiento de la empresa. Pero, ¿cómo mostrar valor cuando no se está directamente vinculado a la generación de ingresos? La respuesta resulta obvia cuando se da la vuelta a la pregunta: ¿cómo se pueden generar ingresos constantes si la empresa se ve obstaculizada por riesgos incontrolados?
¿Cómo se pueden generar ingresos constantes si la empresa se ve obstaculizada por riesgos incontrolados?
Los CISO deben establecer relaciones con todos los departamentos de la organización para entender las prioridades de cada uno y determinar cómo pueden ayudar las políticas de seguridad a cumplirlas. Se trata de gestionar el riesgo, por supuesto, pero también de capacitar. Al crear vínculos entre islas, los CISO pueden pasar de un papel totalmente defensivo de protector a uno más progresista, proactivo y permisivo. La investigación reveló que los CISO quieren ser capaces de decir más sí (el 66% expresó este deseo), y la mejor manera de hacerlo es pensar en términos de “Sí, ¿cómo lo conseguimos?“.
Generar confianza en la estrategia, no en la táctica
Cuando hablan con la alta dirección o la junta directiva sobre los objetivos del negocio, los CISO suelen tener conversaciones más tácticas que estratégicas. La confianza cero es la última tendencia que ha ganado adeptos entre las partes interesadas de alto nivel no técnicas, ya que el 58% de los CISO informan de que sus equipos ejecutivos y juntas directivas preguntan sobre la confianza cero cuando buscan comprometerse con la postura de ciberseguridad de la organización.
Este es un gran punto de partida: la mayoría de los CISO (55%) creen que un enfoque de confianza cero les permitirá equilibrar mejor las prioridades en conflicto, y que permitirá a su organización alcanzar objetivos clave como avanzar más rápido (59%) y fomentar la innovación (58%).
Sin embargo, debemos abordar la conversación con cautela. Para aprovechar las ventajas de la confianza cero y elevar su posición entre sus homólogos de la alta dirección, los CISO tendrán que asegurarse de no verse arrastrados a conversaciones puramente sobre tecnología y sus prácticas. La atención debe centrarse en la habilitación del negocio y el riesgo del negocio, más que en herramientas específicas. Por lo tanto, tenga cuidado con el colega no técnico que muestra demasiado interés en la confianza cero – puede estar encasillando su contribución y atrapándole en conversaciones que no le permiten participar de forma más estratégica.
Tenga cuidado con el colega no técnico que muestra demasiado interés en la confianza cero
La paradoja de la confianza cero
Existe una contradicción inherente en el núcleo tanto de la función del CISO como del modelo de confianza cero: dado que a menudo se trata de imponer más controles, puede parecer contraintuitivo afirmar que la confianza cero puede aumentar la flexibilidad y la velocidad de una organización. Pero en realidad, un CISO moderno y eficaz permite a sus homólogos dentro de la dirección del negocio ser más audaces, asumir riesgos e innovar, con la seguridad de saber que su activo más valioso – los datos – está debidamente protegido.
El papel del CISO ha cambiado de forma fundamental, pero que el proceso de cambiar las percepciones a nivel directivo es todavía un trabajo en curso
Nuestra investigación deja claro que el papel del CISO ha cambiado de forma fundamental, pero que el proceso de cambiar las percepciones a nivel directivo es todavía un trabajo en curso. Los CISO que sean capaces de definir y comunicar la forma en que ayudan a sus homólogos de la alta dirección a obtener nuevos ingresos, impulsar la eficiencia y cumplir los requisitos normativos serán los que reciban el reconocimiento como colaboradores valiosos al más alto nivel.
