¿Qué lugar ocupa la gestión de riesgos entre los CISO y por qué es tan importante?

El creciente panorama de amenazas ha convertido rápidamente la función de CISO en uno de los puestos de nivel C más influyentes. No es de extrañar que las competencias de los CISO sigan ampliándose, yendo mucho más allá de los objetivos originales de ciberseguridad de proteger la infraestructura y los datos.

Los CISO se están implicando mucho más en las organizaciones, más allá de las simples cuestiones de seguridad tecnológica. Esto incluye una mayor atención a la gestión de riesgos, no solo desde el punto de vista de las amenazas, sino también desde una perspectiva operativa y de lógica empresarial.

En este artículo, explicamos qué es la gestión de riesgos en el contexto de la función del CISO, por qué la gestión de riesgos se ha vuelto tan crítica y qué pueden hacer los CISO para mitigar los riesgos de seguridad de la información, operativos y empresariales en su organización.

Introducción a los CISO y la gestión de riesgos

CISO es la abreviatura de Chief Information Security Officer (Director de Seguridad de la Información), pero con funciones como las de Chief Information Officer (CIO) y Chief Security Officer (CSO), ¿qué implica exactamente el papel de CISO? ¿Y a qué nos referimos cuando hablamos de gestión de riesgos? Veámoslo.

¿Para qué sirve un CISO?

Los CISO son responsables de la seguridad de la información y los datos en toda la organización. Si pensamos en los orígenes de esta función, en la práctica significaba que los CISO debían protegerse de las amenazas a la ciberseguridad: intrusiones, ransomware, etcétera.

Normalmente, un CISO dirigiría un equipo de expertos en ciberseguridad que se centran en aspectos prácticos como la defensa del perímetro, la gestión de vulnerabilidades y similares. El CISO sería responsable de planificar la prevención de amenazas y de vigilar el entorno general de ciberseguridad, con el objetivo de proteger la infraestructura y los activos de información frente a amenazas internas y externas.

CISO frente a CIO y CSO

¿Qué lugar ocupa el CISO en comparación con los CIO y los CSO? Si pensamos en las funciones tecnológicas de nivel C, el CIO es el de mayor rango. Los directores de información casi siempre dependen directamente del director general y son responsables de la estrategia general de TI, incluida la inversión en TI, la transformación digital, etc.

A su vez, en las grandes empresas, el CISO dependería del CIO, aunque en organizaciones más pequeñas el CISO también podría depender directamente del CEO.

¿Dónde encaja la OSC? Depende de la organización. Los puestos de CISO y CSO podrían ser en cierto modo intercambiables, pero se podría pensar en un CSO como un miembro del personal de nivel C responsable de la seguridad de la organización en un sentido más tangible o físico, y menos en lo que respecta a la seguridad de la información. Las grandes organizaciones tendrán tanto un CSO como un CISO, en funciones distintas.

El papel del CISO en la práctica

¿Qué hace un CISO a diario? Ya desde el principio, la función de CISO era relativamente compleja, como cabría esperar de una función de nivel C. Las tareas del CISO se pueden dividir en cuatro áreas clave:

• Mapear los sistemas, determinar los elementos críticos. Entender lo que está en riesgo es un primer paso clave para los CISO, no se puede proteger lo que no se conoce. Como parte de este proceso, los CISO determinarán qué infraestructuras, sistemas y datos son los más críticos, y dónde la pérdida de acceso puede provocar mayores daños.
• Proteger contra las amenazas. En esencia, los CISO están ahí para proteger a las organizaciones contra las amenazas, tanto internas como externas. Utilizando una combinación de hardware, software y políticas, los CISO protegen contra estas amenazas, limitando la capacidad de los ciberdelincuentes para entrar y abusar de los sistemas, o de los empleados internos para causar estragos.
• Vigilancia. Protegerse de las amenazas ayuda, pero los CISO también necesitan sistemas de alerta temprana para garantizar que los equipos de seguridad puedan responder rápidamente a cualquier amenaza en evolución. Esto incluye la supervisión continua del sistema con notificación temprana.
• Recuperación y continuidad. La protección ayuda, pero incluso para el más competente de los CISO sigue existiendo el riesgo de que se produzca una violación. La capacidad de respuesta tras una brecha es fundamental para garantizar la continuidad, incluyendo estrategias para recuperar los sistemas críticos lo antes posible.

Aunque muchos de los puntos anteriores se refieren a la gestión de riesgos, no constituyen una estrategia global de gestión de riesgos, así que veamos más de cerca en qué consiste la gestión de riesgos.

Comprender la gestión de riesgos

Todas las organizaciones se enfrentan a acontecimientos adversos. Con evento adverso nos referimos a la posibilidad de que algo salga mal, perjudicando las operaciones o incluso la existencia de la organización. Antiguamente, las empresas se preocupaban por cosas como sequías, tormentas o robos físicos.

Las empresas de hoy en día se enfrentan a un grupo diferente de amenazas relacionadas con las tecnologías de la información: ciberdelincuencia, avería de infraestructuras, pérdida de datos, etc. Cada uno de estos eventos adversos tiene un riesgo de ocurrir. Con el riesgo, hay una probabilidad asociada de que ocurra el suceso, y también un coste asociado.

La gestión de riesgos es el proceso de identificar, evaluar y mitigar estos eventos adversos. A grandes rasgos, el proceso de gestión de riesgos es el siguiente:

• Identificación y análisis de riesgos. Su organización identifica los posibles acontecimientos adversos que pueden afectar negativamente a los activos, procesos y resultados. A continuación, determina los costes potenciales asociados al riesgo: si serían menores y fáciles de absorber, o incluso catastróficos para su organización.
• Mitigación del riesgo. Basándose en el resultado del paso anterior, sabrá si un riesgo es aceptable o si debe establecer controles específicos para mitigarlo y evitar un resultado potencialmente desastroso. La mitigación no se limita a la prevención: también incluye planes de contingencia para garantizar la continuidad de las operaciones en caso de que ocurra lo peor.
• Seguimientodel riesgo. Como último paso, la gestión eficaz del riesgo consiste también en un seguimiento continuo para detectar cambios en el panorama del riesgo. El seguimiento del riesgo también ayuda a su organización a detectar un acontecimiento adverso que no se ha producido, pero que se está gestando.

Esto es sólo una introducción a los pasos típicos que una organización daría en el camino de la gestión de riesgos, y los CISO, por supuesto, tienen prerrogativas específicas cuando se trata de la gestión de riesgos.

La historia de los CISO y la gestión de riesgos

Ahora que tenemos una visión clara del papel de los CISO y de lo que implica la gestión de riesgos, podemos examinar más de cerca por qué la gestión de riesgos se está convirtiendo en una parte clave del papel del CISO.

¿Por qué es tan importante la gestión de riesgos para los CISO?

Ahora que casi todas las organizaciones dependen de soluciones tecnológicas para sus operaciones cotidianas y que la tecnología está cada vez más integrada en los procesos empresariales, la distinción entre tecnología y el resto de la empresa es cada vez más tenue.

Para gestionar eficazmente las amenazas a la dotación tecnológica, los CISO ya no pueden ceñirse únicamente a la tecnología: un CISO debe centrarse en los aspectos empresariales, porque los problemas de seguridad de las tecnologías de la información también son intrínsecamente problemas empresariales. Y viceversa.

Para ello, el CISO debe mirar más allá de las tareas tradicionales de seguridad informática -proteger, responder, etc.- y centrarse en la evaluación de riesgos -encontrar los eventos adversos, tanto impulsados por la empresa como por las TI, que suponen una amenaza para la organización-.

Los procesos empresariales están vinculados a las TI

Como hemos sugerido anteriormente, la gestión de riesgos es cada vez más importante para los CISO debido a cómo los procesos empresariales están directamente relacionados con las TI, lo que a su vez afecta a los riesgos informáticos. En otras palabras, los riesgos de fallo de TI no solo están relacionados con las amenazas: los procesos empresariales internos también pueden crear riesgos.

Cuando los CISO se centran puramente en las amenazas técnicas y externas sin adoptar un enfoque de gestión de riesgos que tenga en cuenta el contexto empresarial más amplio, esto significa que los CISO están limitados en términos de cuánta protección pueden ofrecer realmente a la organización.

Una verdadera gestión de riesgos que pueda compensar en profundidad los riesgos requiere un conocimiento muy intrínseco de las operaciones empresariales y de las dependencias inherentes. En otras palabras, el CISO debe entender una organización, cómo se toman las decisiones y qué decisiones se toman para diseñar un plan de seguridad. Un enfoque de gestión de riesgos es fundamental para ese proceso.

Las amenazas pueden esconderse

Adoptar un enfoque basado en el riesgo y centrado en el negocio también es importante porque las amenazas operativas y de seguridad pueden esconderse, a veces a plena vista. Los CISO de hoy saben que los riesgos de seguridad no son solo de naturaleza ciberamenazante: la tarea del CISO es ir más allá de los objetivos obvios, por ejemplo, los centros de datos, el IoT y la computación periférica.

En cambio, los riesgos de seguridad pueden esconderse dentro de los procesos empresariales. Al adoptar un enfoque de gestión de riesgos, los CISO están mejor equipados para encontrar los riesgos que son menos obvios - y los riesgos que se encuentran dentro de los procesos de negocio más complicados.

Los CISO también deben considerar el riesgo como un riesgo de cometer un error. En otras palabras, ¿qué ocurre cuando el personal comete errores en sus tareas cotidianas y qué ocurre si algo inesperado sale mal en el suministro de tecnología?

El régimen regulador

Por último, merece la pena analizar el riesgo de cumplimiento. Desde el punto de vista de la tecnología de la información, el cumplimiento tiene hoy en día un peso enorme. Normas como ISO 27001, HIPAA y NIST 800-53 pueden dar lugar a fuertes multas cuando las empresas no cumplen las normas mínimas de conformidad. La pérdida de conformidad también puede conllevar la pérdida de clientes o dificultades para conseguir nuevos negocios.

Los CISO deben tener en cuenta el cumplimiento en su enfoque de la gestión de riesgos. En otras palabras, ¿cuál es el riesgo de incumplir las normas de cumplimiento? Y, ¿cuáles son las consecuencias de no cumplir las normas mínimas de gestión de riesgos contenidas en estas normas de cumplimiento?

Cómo pueden reducir el riesgo los CISO

El proceso de gestión de riesgos del CISO se solapa con las tareas tradicionales del CISO descritas anteriormente, pero al adoptar una perspectiva de gestión de riesgos, el CISO puede incorporar protección para una gama mucho más amplia de eventos adversos.

A la hora de analizar las amenazas a la seguridad de la información, los responsables de la seguridad de la información deben ir más allá de la protección y las soluciones; en su lugar, un enfoque de gestión de riesgos exige que los responsables de la seguridad de la información evalúen qué es lo que más riesgo entraña y qué es lo más costoso de solucionar. Esto es especialmente importante dada la creciente presión sobre los equipos de seguridad de la información: con recursos limitados, los equipos de seguridad no pueden mitigar todas las amenazas.

Sin embargo, el papel del CISO también debe tener en cuenta la organización en general y los procesos empresariales subyacentes. Algunas de las amenazas más peligrosas pueden radicar en que estos procesos vayan mal, y algunas amenazas aparentemente menos graves pueden tener un impacto significativo en los procesos. Corresponde al CISO identificar dónde residen estos riesgos reales y significativos.

El riesgo de vendedores y proveedores también importa

Las organizaciones dependen cada vez más de proveedores externos para la recopilación, transferencia y almacenamiento de datos. El mero hecho de utilizar un proveedor en la nube, como hacen casi todas las organizaciones hoy en día, expone a la empresa a riesgos.

Mientras que los CISO harán todo lo posible para proteger la infraestructura tecnológica bajo su gestión contra las amenazas, los CISO deben ser igualmente vigilantes cuando se trata de proveedores. También en este caso, los CISO deben adoptar un enfoque de gestión de riesgos: los proveedores requieren supervisión, y los CISO deben evaluar los controles de seguridad de los proveedores para garantizar que la infraestructura y los datos de su organización no estén en peligro.

Vincular la gestión de riesgos informáticos a la gestión de riesgos empresariales

A estas alturas debería estar claro que la gestión de la seguridad y los riesgos de un CISO no existe en una burbuja tecnológica aislada del resto de la empresa. La gestión de riesgos ya estará integrada en muchas funciones empresariales: las grandes organizaciones dedicarán importantes recursos a la gestión de riesgos en toda la organización.

Los CISO deben trabajar en estrecha colaboración con otras divisiones de negocio para integrar la gestión de riesgos, introduciendo el conocimiento de los riesgos tecnológicos en el panorama más amplio de la gestión de riesgos, al tiempo que se basan en la evaluación general de riesgos de la organización para determinar cómo afecta al riesgo informático.

El CISO debe empujar a la organización hacia las mejores prácticas de reducción de riesgos, en concreto en la infraestructura de TI, por ejemplo mediante la implantación de mecanismos estrictos de despliegue de parches de seguridad, preferiblemente automatizados, opciones adecuadas de soporte de proveedores para los sistemas adquiridos que garanticen que los sistemas están siempre cubiertos con nuevas versiones de firmware, controladores y asistencia técnica, auditorías de seguridad fiables y periódicas realizadas bien por equipos internos si disponen de los conocimientos necesarios, bien por contratistas externos acreditados que ofrezcan una visión clara del panorama de seguridad actual, entre otras muchas cosas. Algunas empresas no dispondrán de los recursos necesarios para alcanzar adecuadamente todos estos objetivos, pero existen servicios que los proporcionan -como TuxCare- para ayudar al CISO a desempeñar su función con mayor eficacia.

Cualquier riesgo informático conocido y permitido, como un sistema sin parches o un servidor con un cortafuegos mal configurado, es directamente traducible en riesgo empresarial -riesgo de violación de datos, riesgo de incumplimiento, riesgo para la reputación, riesgo financiero, riesgo de robo de propiedad intelectual o riesgo operativo- y todos ellos, o de hecho cualquiera, causarán un gran daño a la empresa.

Comunicarse con fluidez

Una parte fundamental del proceso de gestión de riesgos es la comunicación y la consulta. Podría decirse que los detalles importantes sobre los riesgos sólo saldrán a la luz cuando se entablen debates más amplios. En otras palabras, para evaluar realmente los riesgos hay que obtener múltiples perspectivas.

Para los CISO, esto significa comunicación a lo largo de la cadena de mando: colaborar estrechamente con el personal sobre el terreno para pescar riesgos ocultos. También implica una comunicación clara con la alta dirección: asegurarse de que los riesgos informáticos se dan a conocer y se comprenden plenamente.

Gestionar el conflicto de intereses

La gestión de riesgos también puede dar lugar a un conflicto de intereses. Por ejemplo, los CIO compran y gestionan activos tecnológicos, lo que puede suponer un conflicto entre los costes y la sustitución de activos antiguos, por ejemplo, frente a la puesta en marcha de activos nuevos, seguros y libres de riesgos.

Por lo tanto, la segregación de funciones es clave, y los CISO deben mantenerse firmes en sus obligaciones como gestores de riesgos para garantizar que la tecnología que se despliega apoya la gestión de riesgos dentro de su organización. Del mismo modo, cuando se trata de procesos empresariales, la eficiencia puede chocar con la aversión al riesgo. También en este caso, los CISO deben garantizar que la seguridad informática nunca se vea comprometida por la eficiencia empresarial.

Conclusión

El papel de CISO no es un papel estrecho. Sí, los CISO deben ocuparse de la ciberseguridad: proteger la infraestructura, las aplicaciones y los datos frente a amenazas internas y externas. Pero hacerlo de forma eficaz implica un enfoque de gestión de riesgos.

Los CISO necesitan una visión amplia y profunda de los riesgos en toda la empresa. Esta visión holística permite a los CISO gestionar eficazmente los riesgos de seguridad de la información en toda la empresa.

Los CISO deben gestionar no sólo los riesgos informáticos, sino comprender e influir en los riesgos de toda la empresa, incluidos los riesgos impuestos por las decisiones tomadas por los ejecutivos de alto nivel.

Por último, los CISO deben aceptar que no todos los riesgos pueden eliminarse o evitarse por completo. La mitigación es importante siempre que sea posible, pero en una gran organización, es necesario aceptar cierto nivel de riesgo y comunicarlo a los compañeros para que la organización pueda acomodarlo.