+ INFORMACIÓN

¡Comparte en redes sociales!

El papel del CISO en la transformación digital

1. CISO, INNOVACIÓN Y TRANSFORMACIÓN DIGITAL 

La innovación, según la RAE, es la “acción y efecto de innovar” (es decir, introducir novedades). También se define como la “creación o modificación de un producto, y su introducción en un mercado”. La innovación usando tecnologías digitales disruptivas podemos entenderla como una aproximación al concepto actual de transformación digital. 

El Papel Del Ciso En La Transformación Digital

Actualmente las organizaciones se encuentran inmersas en procesos de transformación digital, donde adoptan tecnologías disruptivas para conseguir ventajas competitivas para las mismas, realizando cambios profundos en el negocio y la cultura de la organización

En el mundo interconectado en el que vivimos queda en el pasado hablar de informatizar los negocios, puesto que difícilmente encontraremos un negocio que actualmente no tenga una parte automatizada o digitalizada. Esto no lo podemos considerar transformación digital si no ha supuesto un cambio profundo en la manera de trabajar ni un rediseño de sus procesos utilizando tecnologías tales como

  • Cloud Computing 
  • Big Data 
  • Inteligencia Artificial (IA) 
  • Internet de las Cosas (IoT) 

Otras tecnologías disruptivas que pueden estar presentes en los procesos de transformación digital son: Web 3.0, Blockchain, DevOps, 5G, Computación Cuántica, Metaverso, etc. 

Ciso Transformación Digital (6)

La transformación digital requiere de un rediseño de los productos, estrategias y procesos principales de las organizaciones mediante el aprovechamiento de la tecnología digital, para lo cual se requiere un cambio cultural liderado normalmente por el Director Ejecutivo o CEO (Chief Executive Officer), de la organización. La transformación digital no es un proyecto, es un proceso, por lo que no acaba nunca y debería estar guiado por la mejora continua. 

La transformación digital implica repensar completamente una organización, puesto que es un proceso que consiste en reorientar una organización hacia la aplicación y uso de tecnologías digitales emergentes en los procesos clave de la organización. 

Dicho esto, no todas las organizaciones están preparadas para un cambio radical como este, pues requiere de un proceso de cambio cultural, cambio organizacional y finalmente aplicación de la tecnología en toda la organización. 

Son ejemplos de estrategias públicas de digitalización

Ciso En La Transformación Digital

El objetivo final de la transformación digital en las organizaciones es sobrevivir en un entorno impredecible y cada vez más competitivo y veloz. Pero, ¿Cuál es el papel de la ciberseguridad dentro de los procesos de transformación digital? 

2. LA CIBERSEGURIDAD EN LOS PROCESOS DE TRANSFORMACIÓN DIGITAL

2.1 GOBERNANZA EN CIBERSEGURIDAD 

La transformación digital está afectando a todas las entidades, tanto públicas como privadas, y a todos los procesos críticos de los negocios que quieren ser competitivos por lo que roles como el Responsable de los Sistemas de Información o CIO (Chief Information Officer), junto con los responsables de las diferentes áreas de negocio son fundamentales para que los procesos de transformación digital sean un éxito. 

Pero, ¿qué pasa con el Responsable de la Seguridad de la Información o CISO (Chief Information Security Officer)?. ¿Cuál es el papel que juega en la transformación digital? 

Un ejemplo de transformación digital podría ser la implantación de las ciudades inteligentes (Smart Cities) donde la digitalización y sensorización de las ciudades, junto tecnologías como la IA o el Cloud Computing son usados como base para la gobernanza de la ciudad generando una mayor calidad de vida al ciudadano que la habita.  

¿Qué pasaría si los semáforos fueran fácilmente controlables por personas no autorizadas? ¿y si los sistemas energéticos sufrieran un ciberataque y dejaran una gran ciudad sin suministro eléctrico? ¿y si los sistemas de control industrial de la empresa de aguas fueran manipulados o el transporte público paralizado? 

Ciso Transformación Digital (5)

Un mundo donde “casi todo es digital” requiere de una gobernanza de ciberseguridad adecuada y de una gestión de la seguridad de la información basada en riesgos TIC. 

Por tanto todo modelo de gobernanza de seguridad de la información debería identificar claramente los siguientes bloques de responsabilidad: 

  • Gobierno: representado por el Comité de Seguridad de la Información que se establezca, el CEO y por los responsables de las áreas de negocio (responsables de información y servicios). 
  • Supervisión: representado por el CISO de la organización (responsable de la seguridad) y, si procede, el DPD (Delegado de Protección de Datos) como asesor en materia de protección de datos. 
  • Operación: representado por el CIO de la organización (responsable de los sistemas). 
Ciso En La Transformación Digital 2
Fuente: Guía CCN-STIC-801 (Responsabilidades y funciones)

Ya sea en sistemas tradicionales o dentro de los procesos de transformación digital se debe mantener una clara separación de funciones, en especial la “seguridad como elemento diferencial” frente a la operación de los sistemas, por lo que el modelo de gobernanza que se elija es clave para el éxito de la implantación del proceso de transformación digital. 

2.2 RETOS DE LA CIBERSEGURIDAD EN LA TRANSOFORMACIÓN DIGITAL

Debido a la complejidad en la que se encuentran los procesos de transformación digital podemos identificar los siguientes retos a abordar en materia de ciberseguridad

  • Incremento en la superficie de ataque: el perímetro ya no está definido y se mezclan infraestructuras propias con servicios externos interconectados. A mayor superficie de exposición, mayores son los riesgos TIC y las posibles vulnerabilidades a explotar. Además, tecnologías diferentes generan vulnerabilidades y riesgos diferentes. 
  • Ciberamenazas más sofisticadas: los ciberdelincuentes se adaptan a la tecnología generando amenazas más sofisticadas, más frecuentes y con mayor impacto (CaaS – Crime as a Service, APTs – Amenazas Persistentes Avanzadas, etc). 
  • Convergencia de IT y OT: debido al desarrollo de la industria 4.0 y el IoT industrial la seguridad de la información debe ser integral (seguridad física y digital). 
  • Mayor interrelación y dependencia con terceros: por lo que el control de la ciberseguridad en la cadena de suministro es esencial. Se desea responsabilidad compartida frente a delegada. Se necesita acordar una gestión de incidentes externo, así como equilibrar los niveles de madurez de ciberseguridad entre entidades (contratante y contratada). 
  • Fatiga ante alertas: cada vez tenemos más alertas de diferentes fuentes, con gran dificultad para interpretarlas, medirlas, correlacionarlas y descartar falsos positivos. Se necesita priorizar y obtener información de calidad para tomar decisiones acertadas. 
  • Complejidad regulatoria: la gestión de la seguridad de la información dispone de una amplia regulación sectorial que requiere de amplios conocimientos técnicos, jurídicos y de gestión para la correcta protección de la información y los servicios digitales (GDPR, ENS, NIS, NIS2, DORA, PCI-DSS, etc.) 
  • Recursos limitados: escasos especialistas en ciberseguridad, presupuesto escaso, poco tiempo para tantos frentes abiertos y necesidad de contratar servicios de seguridad gestionada 24×7. 
Ciso Transformación Digital (1)

La ciberseguridad debe ser parte transversal en los procesos de transformación digital y requiere: 

  • Ciberseguridad desde el diseño (Security by design): ciberseguridad como ventaja competitiva involucrada en la toma de decisiones estratégicas de transformación digital desde el inicio. 
  • Automatización y ciberinteligencia: usando la máxima automatización posible así como soluciones de IA para detectar patrones de ataque y correlacionar alertas y comportamientos. 
  • Prevención, detección y respuesta a ciberincidentes: para una correcta gestión de ciberincidentes y un SOC adecuado, con equipos especializados y con servicios 24×7. 
  • Repositorio de activos centralizado y normalizado, así como una base de datos de vulnerabilidades: para poder aplicar automatización y ciberinteligencia a la gestión de vulnerabilidades y gestión de ciberincidentes. 
  • Integración de seguridad física y digital: es conveniente una interacción entre sistemas físicos y ciber-espacio como parte de la integración IoT y OT. 
  • Seguridad gestionada y como servicio: la seguridad como un proceso de mejora continua dentro de un sistema de gestión de seguridad de la información (SGSI) que ayude a la toma de decisiones y justifique las inversiones en ciberseguridad. 
Ciso Transformación Digital (3)

La ciberseguridad debe formar parte de la estrategia de transformación digital de las organizaciones puesto que la dependencia digital es total y sin ciberseguridad las empresas están expuestas tanto a ciberataques como a grandes sanciones por incumplimiento normativo que pueden acabar con el negocio (posibles daños reputacionales, extorsión por robo de datos, indisponibilidad de los servicios, etc). 

2.2 EL PAPEL DEL CISO EN LA TRANFORMACIÓN DIGITAL

En las organizaciones con cierto nivel de madurez en ciberseguridad el papel del CISO (responsable de seguridad) debe estar totalmente diferenciado del papel del CIO (responsable de los sistemas). Son roles complementarios pero cada uno tiene funciones bien diferenciadas. 

Existen marcos legales que exigen dicha separación de funciones. Por ejemplo, el Esquema Nacional de Seguridad (Real Decreto 311/2022) dice explícitamente que “la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación de los sistemas de información concernidos”. Por tanto el CISO debe estar separado de la operación de los sistemas y debería actuar de traductor entre la importancia de los procesos de negocio y los sistemas digitales que los soportan.  

Los responsables de los procesos de negocio trasladarán al CISO la importancia de sus procesos (información y servicios) y el CISO traducirá la dicha criticidad en medidas de seguridad (técnicas y organizativas) que tendrá que implantar la organización para que sus sistemas de información se encuentren en niveles de seguridad (o de riesgo) asumibles por la organización. 

Ciso Transformación Digital (2)

Es por esto que las funciones más relevantes del CISO son: 

  • Definir y alinear la estrategia de ciberseguridad con los objetivos de la empresa. 
  • Analizar y gestionar los riesgos TIC de la organización. 
  • Definir la normativa de seguridad. 
  • Prevenir, detectar, analizar vulnerabilidades y gestionar ciberincidentes. 
  • Formar y concienciar a la organización en materia de seguridad de la información. 
  • Informar y reportar a la dirección sobre los indicadores y estado de la seguridad. 

Para poder aportar valor a los procesos de transformación digital el CISO tendrá que incrementar y fortalecer algunas de sus capacidades

  • De relación: debe tener habilidades de liderazgo, comunicación, gestión de equipos y entendimiento del negocio. 
  • De gestión: debe utilizar indicadores y fomentar un sistema de gestión de seguridad de la información para la toma de decisiones de ciberseguridad. 
  • Técnicas: debe anticiparse a la formación en las tecnologías disruptoras seleccionadas dentro de la transformación digital de la organización (Cloud, IA, IoT, 5G, etc). 
Ciso Transformación Digital (4)

En resumen, el rol del CISO en la transformación digital (TD) debe cubrir los siguientes aspectos: 

  • Seguridad como ventaja estratégica: debe participar en los procesos de decisión y preparar a la organización para alcanzar los objetivos de transformación digital, alineando la ciberseguridad con los objetivos del negocio. 
  • Involucrado desde las fases más tempranas de la transformación digital, debe pasar de ser espectador a elemento proactivo en todas las fases del proceso de TD:  
    • Antes de iniciar el proceso: con participación activa en la definición. 
    • Durante el proceso: aportando valor diferencial en todos los planos. 
    • Una vez implantado el proceso: mediante gobierno, riesgo y cumplimiento (GRC). 
  • Orientado al riesgo: mediante la toma de decisiones basada en el apetito al riesgo de la organización (formalizado y aceptado por la dirección). 
  • Con habilidades “duras” (hard skills): mediante la actualización tecnológica continua (Cloud security, DevSecOps, API Security Frameworks, Zero Trust, IA, RPA, etc.) 
  • Con habilidades “blandas” (soft skills): siendo un habilitador de cambio comprometido con la estrategia de la dirección. Buen comunicador y traductor entre el negocio y los sistemas digitales generando valor y entendimiento en todos los niveles de la organización. 

No debemos olvidar que dentro de los procesos de transformación digital el CISO debe tener un papel proactivo no debiendo ser visto como elemento de fricción/ralentización de la transformación digital de la organización. 

Para aprender todo lo que necesitas, ten en cuenta nuestro Máster Profesional en Dirección de Ciberseguridad, Hacking Ético y Seguridad Ofensiva

Suscríbete a nuestra newsletter para estar al día de todas las novedades

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.
Master Ciberseguridad Máster Profesional

Deja un comentario

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.