Los CISO soportan una carga de responsabilidad cada vez mayor a medida que los ciberataques alcanzan cifras récord. Solo en España, los ataques aumentaron un 24 por ciento el pasado año, según datos del Instituto Nacional de Ciberseguridad (Incibe). A pesar de este aumento masivo de las amenazas, una encuesta reciente de Commvault descubrió que solo el 13 por ciento de las organizaciones mundiales eran lo suficientemente «cibermaduras» como para mitigar eficazmente un ataque y recuperarse de él. Estas pocas fueron capaces de recuperarse un 41 por ciento más rápido de un incidente en comparación con los encuestados en el extremo inferior de la escala.
Esta diferencia significativa en la velocidad de recuperación se debió a una serie de marcadores clave de resiliencia. Estos determinaron por qué algunas empresas pudieron restaurar los datos rápidamente y reanudar las operaciones normales, y otras no. En particular, se hizo hincapié en disponer de herramientas de seguridad que pudieran alertar con antelación sobre los riesgos, incluidos los internos, con libros de procedimientos, funciones y procesos definidos para responder a los incidentes. También era vital disponer de un sistema de copia de seguridad secundario con un entorno aislado para almacenar una copia inmutable de los datos críticos. Igualmente, era importante probar con frecuencia las prácticas de ciberrecuperación, para que los procesos siguieran siendo adecuados y actualizados.
Un informe de la Comisión Nacional del Mercado de Valores, realizado con empresas del sector bancario y de seguros en relación con los principales aspectos sobre resiliencia operativa que se recogen en el reglamento europeo para este sector (DORA), ha desvelado que, en España, solo un 34 por ciento de las entidades tenía implementadas un plan de pruebas sólidas, con una periodicidad determinada y haciendo un seguimiento de las deficiencias encontradas.
Determinar los niveles de madurez de los CISO en ciberseguridad
Las organizaciones dependen en gran medida de sus CISO para proteger las operaciones de los ciberataques, pero su nivel de autoridad varía considerablemente, lo que repercute en la madurez cibernética general de una organización. En la fase más temprana, la seguridad puede estar en manos de personas que se limitan a dar órdenes, mientras que en el nivel más avanzado, los CISO están en contacto con el consejo de administración para garantizar que la ciberseguridad se incorpore a todos los aspectos de la empresa.
Para comprender dónde encaja una organización en este ciclo de madurez y cómo afecta al riesgo y la resiliencia de la ciberseguridad, las etapas pueden desglosarse normalmente en cinco fases.
1. Ciberseguridad de casilla de verificación
En las organizaciones menos maduras, las personas encargadas de la seguridad rara vez son los responsables políticos, y la mayoría no tienen una función dedicada al CISO. En su lugar, la ciberseguridad suele estar a cargo de una parte del equipo de TI, que informa a un director de TI de nivel medio o posiblemente al CIO. Las responsabilidades suelen combinarse con las rutinas diarias necesarias para mantener la infraestructura técnica en funcionamiento, como configurar servidores, instalar actualizaciones de software y configurar ordenadores portátiles.
Normalmente, estas organizaciones son pequeñas empresas, a menudo privadas, sin obligaciones para con los accionistas y con menos presiones normativas.
Suelen primar otras exigencias de la empresa, como las ventas y las funciones comerciales. En consecuencia, es posible que no se apliquen salvaguardias importantes como la autenticación multifactor, ya que se consideran restrictivas. En algunos casos, la ciberseguridad se percibe como un obstáculo para la productividad y se relega a una actividad de marcar casillas.
2. El momento adecuado para un CISO
A medida que una empresa crece, inevitablemente se amplía su superficie de ataque, convirtiéndose en un objetivo potencialmente lucrativo para los malos actores. Más empleados, clientes y proveedores equivalen a más procesos y aplicaciones que, a su vez, crean más vulnerabilidades que los atacantes pueden explotar.
Llegados a este punto, la ciberseguridad ocupa un lugar más destacado en la agenda de la dirección, y las empresas empiezan a pensar en contratar a un profesional senior de ciberseguridad o CISO. En esta fase inicial, la función suele describirse como un nombramiento técnico, con la expectativa de que el titular pase una parte del tiempo codificando junto con el personal de desarrollo. A menudo hay poco o ningún margen para que el CISO planifique y aplique una estrategia cibernética global.
Además, se empieza a prestar más atención a los requisitos de cumplimiento, con el despliegue de capacidades formales de supervisión y auditoría, utilizando recursos internos o expertos externos.
Este es el momento en que TI y Seguridad deben establecer canales de comunicación eficaces para garantizar que los objetivos de seguridad se acuerdan mutuamente, lo que impide que crezca una brecha entre ambas funciones. Si el CISO y el CIO interactúan y se comunican con regularidad, es un buen augurio para una cooperación productiva entre sus equipos.
3. Más allá de un CISO técnico
En poco tiempo, se hace evidente que el CISO necesita una mayor autonomía para evaluar e implantar controles y procedimientos de seguridad en toda la organización. En esta fase, el poder de decisión puede seguir limitándose a recomendar tecnología para defender, detectar y recuperarse de los ataques. Mientras que los CISO necesitan autoridad para implantar medidas de mayor alcance para proteger áreas como la seguridad en la nube y controlar el acceso a todos los sistemas corporativos con soluciones de gestión de accesos, otros ejecutivos pueden expresar su preocupación por que las iniciativas de seguridad ralenticen el tiempo de comercialización. Aquí es donde los líderes empresariales deben respaldar al CISO y apoyar las nuevas y esenciales iniciativas de ciberseguridad.
Aunque TI y Seguridad son ahora equipos separados, el CIO y el CISO deben seguir trabajando estrechamente para equilibrar los objetivos de TI con los requisitos de seguridad. Esta alineación continua es vital para la seguridad y el buen funcionamiento de la empresa.
4. El CISO con poderes
Cuando las organizaciones se acercan a la plena madurez, el CISO participa en reuniones estratégicas con el consejo de administración, asesorando sobre riesgos de ciberseguridad, resiliencia y capacidades de recuperación. Trabajando con el equipo directivo, el CISO determina proactivamente la tolerancia al riesgo de la organización y proporciona análisis para demostrar los cambios en el perfil de riesgo de la organización. Además, diseña la estrategia y las políticas de seguridad adecuadas para mantenerse dentro de las tolerancias acordadas.
En este nivel avanzado, los CISO también asesoran al consejo sobre las ventajas y preocupaciones que rodean a las tecnologías emergentes, como la inteligencia artificial. La ciberseguridad es ahora un elemento establecido de la planificación estratégica, además de la operativa.
5. Seguridad desde el diseño
Para las organizaciones que alcanzan la fase final, la seguridad está integrada en el tejido de la organización. Siguiendo los principios de seguridad por diseño, los empleados de toda la empresa se adhieren a los procesos y políticas de seguridad. Es el punto en el que la ciberseguridad se incorpora a los cimientos de todo lo que hace una empresa. Se esperan pruebas continuas de los sistemas corporativos, y los equipos tienen mucha práctica en la recuperación de incidentes y datos.
Planificar el ciclo de madurez de ciberseguridad
En materia de ciberseguridad, no hay dos organizaciones iguales. Cada una tiene su propia infraestructura técnica, formas de trabajo y objetivos estratégicos. Las empresas públicas tendrán objetivos diferentes a las privadas. Y las grandes empresas tendrán recursos y obligaciones diferentes a las entidades más pequeñas.
Por tanto, calcular la velocidad de progreso a través del ciclo de madurez de la ciberseguridad no es sencillo. Sin embargo, al comprender las características de cada etapa, los CIO y los líderes empresariales pueden alinearse mejor el desarrollo de candidatos internos o la contratación de un CISO con las habilidades y cualidades adecuadas para sus necesidades específicas. Esto ayudará a construir un nivel de madurez que se ajuste a la tolerancia al riesgo de cada organización, ya que la avalancha de ataques a la ciberseguridad continuará sin cesar en 2025.
