La pregunta de quién es el jefe del CISO es antigua y todavía no hay una respuesta única. Lo informé hace un año. Algunos dicen que el jefe de seguridad de TI no debería informar al supervisor de iniciativas de TI, el CIO, porque la ciberseguridad podría entrar en conflicto con la innovación tecnológica. Otros dicen que el CISO debería informar directamente a un ejecutivo del lado empresarial para «traducir el riesgo de seguridad de la información en riesgo empresarial», dijo Johna Till Johnson, fundadora de Nemertes Research.
Por eso, cuando hablé recientemente con Scott Weller, cofundador de la startup de nube de Boston SessionM, sobre un nuevo rol de seguridad de TI que está diseñando allí, pensé que era una buena ocasión para reabrir el debate. Es bueno preguntar. Él es el CTO, así como el CISO interino, en la empresa que tiene casi seis años.
“Su CISO debe reportar directamente al CEO”, dijo Weller. «El CISO tiene que ser muy transparente en la construcción de un aparato que pueda informar problemas y desafíos y exponerse a ciertos problemas de seguridad».
Saludo al nuevo jefe
SessionM vende una plataforma en la nube que ayuda a las empresas a personalizar los mensajes de marketing. La compañía está escribiendo la descripción del trabajo para un puesto de CISO al que llama director de seguridad en la nube. Weller describió el rol como una persona de seguridad de TI familiarizada con «el viejo mundo» de los servidores físicos que también conoce la computación en la nube por dentro y por fuera y puede identificar problemas de seguridad específicos de la nube. Sin embargo, a diferencia de un CISO típico, el ejecutivo no intentará proteger solo el entorno informático inmediato de las amenazas, sino que también ayudará a los clientes del proveedor a protegerse contra ellas.
Es un nuevo rol de seguridad de TI, pero probablemente encajará en la estructura de informes del CISO que SessionM ya tiene implementada: el jefe es el director ejecutivo, y el CTO y el CISO están vinculados, por supuesto, porque Weller ocupa ambos cargos. Cuando el nuevo empleado esté en su lugar, Weller estará vinculado al puesto a través de una línea de puntos. Eso significa que «sus hojas de ruta están alineadas», y ambos serán responsables por el director ejecutivo de gestionar los problemas de seguridad a medida que surjan.
“En última instancia, es el papel del CTO y de la organización que ejecuta la implementación de la tecnología tomar realmente lo que recomienda el director de seguridad y esa estrategia y construir ese aparato en la organización”, dijo Weller.
‘Potencial de ignorancia’
Ha estado en organizaciones en las que la seguridad de TI era competencia de los ejecutivos de ingeniería o tecnología y, en ocasiones, se tomaron decisiones menos que ideales con respecto a la seguridad.
“Existe la posibilidad de que surja la ignorancia en torno a ‘¿Cuáles son nuestras amenazas? ¿Cuáles son nuestras principales prioridades? ¿Cómo los abordamos? ‘”
Es importante, dijo Weller, para un CISO, y el nuevo rol de seguridad de TI, mantener al CEO e incluso a la junta directiva informados sobre cuáles son los riesgos y qué incidentes de seguridad ocurren cuando ocurren. Deben conocer los intentos de infracciones, por ejemplo, o los ataques de ransomware, y cómo defenderse de futuras ofensivas. De esa manera, «el equipo en conjunto puede tomar una decisión colectiva sobre cómo responder a ese tipo de cosas».
El puesto de director de seguridad en la nube comenzó en proveedores de la nube como Amazon y Microsoft. Obtenga más información al respecto en este informe de SearchCIO.