“Hace pocos años, al CIO no le importaba la seguridad ni tenía tiempo para el CISO. Pero poco a poco, hemos llegado a un punto en el que la seguridad está viviendo una época de renacimiento”, explicaba el analista principal de Forrester Khalid Kark, durante su presentación en la V Jornada Internacional del ISMS Forum celebrada hoy, 28 de mayo de 2009, en Madrid bajo el título “La organización de seguridad: el laberinto del CISO”. En el pasado, “la organización no esperaba demasiado de nosotros. Ahora hace falta más control sobre los datos y eso tiene que ver con la eficiencia de la compañía”, apuntaba.

En opinión de este analista, la principal tarea del CISO es gestionar el riesgo de la información; una labor que le proporciona “un gran impacto” y que hará que en el futuro “sea difícil no ser facilitador del negocio”.

Este cambio en el rol del CISO no sólo se ha visto reflejado en la disponibilidad de una mayor partida presupuestaria para seguridad –si bien reconoce que el recorte está también afectando a esta parcela de las TI-, sino también en su posición dentro del organigrama corporativo. En este sentido, Khalid Kark destacó la diferencia entre corporaciones europeas y americanas, con balance positivo para las europeas: el 41% de los CISO dependen de la directiva o el CEO y un 17% del comité ejecutivo, porcentajes al menos dos puntos por encima de sus homólogos americanos. “Esto indica la visibilidad del CISO dentro de las organizaciones europeas”.

No obstante, dónde debe posicionarse el CISO, “depende de la cultura y el tamaño de la organización”, siendo la primera el factor de mayor influencia. “No hay que buscar una fórmula mágica, depende del caso”.

Respecto a las tareas que implican este cargo, el analista de Forrester señala que sus responsabilidades también han ido evolucionando en los últimos años. “Hemos pasado de hablar de firewalls, IPS, filtrado… a cómo centrarnos más en el negocio, en la privacidad, en proteger la propiedad intelectual. Se habla más de asuntos de negocio y no tanto de tecnología”. Este salto ha hecho también que los CISO sean cada vez más “consultores”, si bien deban tener capacidad para trasladar su amplio espectro de conocimiento en seguridad a otros estratos de la organización, con un lenguaje sencillo: “Los CEO se ponen nerviosos porque se piensan que les van a dar mucha información técnica que no van a entender”, añade el experto.

Aprender a delegar

Para Khalid Kark, no cabe duda de que la mayor implicación de la seguridad de la información en la marcha del negocio ha aumentado significativamente sus responsabilidades, que pueden estructurarse en estratégicas y operativas. A la primera categoría pertenecerían labores como políticas, métricas o formación, mientras que el segundo campo estaría centrado en tareas cotidianas como gestión de amenazas o seguridad de las aplicaciones. “Hay que ser disciplinado para encontrar el balance entre estas dos áreas y si no se es capaz, delegar las áreas más maduras”. En definitiva, la sugerencia es que “cuanto más deleguemos responsabilidades operativas en otros, más tiempo tendremos para dedicarnos a tareas más estratégicas”.