El director de información (CIO) es un ejecutivo corporativo a cargo de la estrategia e implementación de TI en una organización. Por el contrario, el director de seguridad de la información (CISO) es un ejecutivo de alto nivel responsable de desarrollar e implementar el programa de seguridad de la información.
Las filosofías inherentes detrás de estos dos roles son diametralmente opuestas entre sí. Uno es responsable de compartir información en una organización, mientras que el otro controla el acceso a la misma.
El conflicto entre estos dos roles puede verse exacerbado por la estructura interna de la organización, ya que el CISO generalmente informa al CIO y utiliza el mismo presupuesto. “Cuando planifica el año, es importante asegurarse de que la ‘prioridad uno’ para un equipo no sea la ‘prioridad tres’ para el otro, sino que sea la ‘prioridad uno’ para ambos equipos”, dice Mike Anderson, CIO global. y director digital de NetSkope.
Aunque el CISO generalmente informa al CIO, no es raro que ocurra lo contrario, donde el CISO supervisa las operaciones del CIO. Esto se puede encontrar en organizaciones donde la necesidad de control y seguridad de la información es primordial, como la defensa y la infraestructura crítica.
“Estaba hablando con un CISO, y su CIO tomó la organización de la red y dijo: ‘Ahora usted es dueño de la red, porque tenemos que asegurarnos de que tengamos seguridad en la información’”, dice Anderson. “De hecho, ha trasladado el equipo de redes al CISO de su organización”.
Una de las principales fuentes de fricción entre los dos roles tiene que ver con sus necesidades presupuestarias. Como ambos pertenecen a la misma división y uno informa al otro, el presupuesto de uno a menudo incorpora el presupuesto del otro, a pesar de tener necesidades inherentemente diferentes. Por lo tanto, el presupuesto destinado a financiar un recurso puede desviarse para satisfacer las demandas de otro, lo que genera un conflicto.
“Donde se tiende a ver algo de la fricción es cuando no hay una buena alineación en torno a cómo están pagando por el trabajo de transformación de la seguridad que van a hacer como organización”, dice. “Si está tratando de sacarlo del presupuesto de infraestructura, eso naturalmente creará fricción”.
Alineaciones de objetivos
La fricción entre los CISO y los CIO tiende a surgir de la falta de pensamiento conjunto. No tener un enfoque unificado para la gestión organizacional significa que, con demasiada frecuencia, los jefes de departamento perseguirán sus propios objetivos, sin considerar el impacto organizacional más amplio o cómo pueden lograr sus objetivos departamentales con un enfoque más cohesivo.
La alineación de los objetivos en todos los niveles, desde los individuos y los equipos hasta la dirección ejecutiva, con los objetivos generales de nivel superior de la organización puede promover la cohesión interna. Por ejemplo, un objetivo de alto nivel de expandirse a nuevos mercados podría convertirse en un objetivo de permitir el flujo de información global para el CIO, mientras que el CISO se centraría en asegurar los flujos globales de información. Con todos trabajando hacia los mismos objetivos organizacionales generales, se reduce el conflicto y se mejora la eficiencia.
La reducción de los límites departamentales en una organización, así como la promoción de metodologías holísticas y multifacéticas, permitirán un pensamiento conjunto. Alentar a los departamentos a que se comuniquen entre sí y coordinen sus proyectos puede reducir parte de la fricción interdepartamental entre los dos roles.
“Donde he visto que los roles tienen éxito es donde rompen los silos organizativos y organizan un equipo multifuncional”, dice Anderson. “Si tiene un resultado que está tratando de impulsar, ponga [in place] gente dedicada de los equipos de red, seguridad y punto final, para tener un equipo multifuncional trabajando para lograr ese resultado.
“Si es más grande que un solo equipo, divídalo en un equipo de equipos para enfocarse en ese resultado”, dice. “De esa manera, no tienes a alguien que se ve obligado a trabajar en ese proyecto para hacer otra cosa porque es una prioridad más alta”.
Asignaciones presupuestarias definidas
Un programa de presupuesto claramente definido, que dedique fondos para proyectos u objetivos específicos, también permitiría a los CIO y CISO administrar mejor sus recursos. Con un entendimiento explícito de las expectativas presupuestarias del año financiero, permitiría que ambos roles aprecien completamente los recursos que están disponibles para ellos y para qué se espera que se utilicen.
Sin embargo, para que este enfoque sea efectivo, tanto el CIO como el CISO deben participar en las reuniones presupuestarias. La información que ofrece su participación garantizará que el presupuesto asignado para el próximo año fiscal se desarrolle con una comprensión completa de los requisitos financieros.
Con demasiada frecuencia, los presupuestos se asignan sin una comprensión completa de las necesidades financieras de los departamentos. Por ejemplo, se podrían asignar recursos para nuevos sistemas y software sin apreciar la necesidad de reservar un presupuesto para mantenimiento y licencias.
Desde el principio, el papel del CISO debe estar claramente definido y comunicado en la organización. Es necesario que haya una comprensión de toda la organización de las responsabilidades del CISO, así como la naturaleza de su estructura de informes.
Un CISO solo debe ser responsable del gobierno y la auditoría, o de la implementación y las operaciones. Nunca deberían ser responsables de ambos; si ese fuera el caso, el CISO sería responsable de auditarse a sí mismo, lo que podría generar un sesgo subconsciente y una supervisión inadecuada de la seguridad de la información. El CISO debe proporcionar supervisión y auditoría de las operaciones de seguridad, que son realizadas por un equipo que le informa, o él y su equipo deben implementar y operar la seguridad de la información, con la supervisión proporcionada por un rol superior, como el CIO.
“En general, el CISO tiende a ser más una función de gobierno y política; de lo contrario, tienes la analogía de un zorro cuidando el gallinero. Si su trabajo es el gobierno y la política y también es la persona responsable de controlar esos botones, entonces, ¿quién lo está auditando? dice Anderson. “Hemos visto lo que sucede cuando tienes que autoinformarte, ya que tiendes a ocultar algunas de las cosas que te quedan mal”.
Seguridad por diseño
Con demasiada frecuencia, la seguridad se considera independiente de la organización en general; algo que se ve como una necesidad comercial en lugar de una parte central del desarrollo de productos. Incorporar la seguridad por diseño en un producto o servicio hace que el CISO sea un rol vital en una organización, al mismo tiempo que es una característica dedicada que las organizaciones pueden ofrecer.
“Si las personas se alinean bien, pueden hacer algo”, dice Anderson. “Tuvimos una organización que implementó nuestra tecnología, porque estaban alineados, en 90 días para 125 000 personas en todo el mundo. Al mismo tiempo, he visto organizaciones de 5000 personas en las que no se alinean bien, y han pasado 18 meses y aún no están completamente implementadas, porque no pueden apartarse de su propio camino”.
Uno de esos métodos para alinear las consideraciones de seguridad podría ser incorporarlas en la estrategia comercial general de las organizaciones. En lugar de considerar la seguridad de la información simplemente como un requisito legislativo, las políticas pueden integrarse en los cimientos de una organización, de modo que las consideraciones de seguridad tengan el mismo peso que otras necesidades comerciales.
“Si no hablan de seguridad por diseño o cómo van a instrumentar las cosas, lo que sucede es que la seguridad se convierte al final en un obstáculo que evita que las cosas se publiquen”, dice. “Se convierte en un bloqueador versus un compañero”.
El impacto financiero de invertir en nuevas tecnologías también puede mitigarse alineándolas con la capacitación de los empleados y utilizando parte del presupuesto de desarrollo profesional. Esto aliviará parte de la presión presupuestaria entre los roles de CIO y CISO, reduciendo así el conflicto.
“La forma en que tradicionalmente establecíamos redes, con arquitecturas de centro y radios, mucho de eso puede desaparecer a favor de más nube, por lo que presenta oportunidades”, dice Anderson. “Puede resolver algunos de los problemas de presupuesto y, al mismo tiempo, puede mejorar su talento”.
Conclusión
Es muy posible, a medida que la necesidad de seguridad de la información se vuelve cada vez más frecuente, que los roles de CIO y CISO se conviertan en un solo rol. “Veo cierta homogeneización, tal como vimos el surgimiento del director digital”, dice Anderson.
“El rol del CIO es para la infraestructura, pero también es responsable del CRM, las aplicaciones y el comercio electrónico dentro de mi organización. Veo una tendencia, en la que podemos ver una evolución de los roles, y tal vez sea la combinación de que el CISO continúa siendo más de gobierno y política, y mis líderes de infraestructura comienzan a asumir más responsabilidad sobre la seguridad para eliminar algunas de las luchas internas que ocurren en organizaciones.”
Hasta entonces, para mitigar el conflicto potencial entre el CISO y el CIO, es necesario romper los silos departamentales para fomentar el pensamiento colaborativo y adoptar un enfoque unificado para lograr objetivos comunes.
“Muchos de los CISO que lo han hecho bien se refieren a su líder de infraestructura como la persona con la que están más conectados”, concluye. “Sin ellos trabajando en concierto, no pueden lograr los resultados que quieren lograr”.
