Hace poco más de un cuarto de siglo, se designó el primer Director de Seguridad de la Información (CISO) en el sector financiero, y todos vivieron felices para siempre. Fin.
Ojalá esta historia fuera así de sencilla. Sin embargo, el rol del CISO nunca ha sido fácil. A pesar de su longevidad, esta función todavía está en su adolescencia: llena de promesas, en su mayor parte encauzada en la dirección correcta, pero no completamente formada.
Si usted es un CISO, ha trabajado para uno o lo ha observado desde lejos, puede haber sentido la sensación de que las reglas del juego cambian continuamente, experimentando algunas de las preguntas difíciles que aún hoy no tienen respuesta. ¿Dónde debe reportar el CISO para obtener el máximo efecto? ¿Cómo consigue el CISO ese valioso asiento en la mesa ejecutiva, y un espacio de tiempo programado regularmente cada trimestre frente a la junta? ¿Es posible que una competencia técnica más amplia sea más importante que una experiencia técnica profunda para esta función de nivel ejecutivo? Y si usted es el CISO que pensó que había firmado para un papel centrado en las TI y orientado hacia dentro de la empresa, tengo que presentarle a algunos actores que trabajan para estados-nación y ciberdelincuentes.
Pero hay otras funciones menos obvias que el CISO debería considerar para ayudar a la organización a alcanzar sus objetivos, tanto si sus clientes son externos como internos.
Índice de temas
El CISO como facilitador de la marca
Cuantificar el valor de una marca corporativa es difícil. Pero está claro que la marca de su organización es un activo tan importante como los dispositivos y las redes que el CISO se encarga de proteger; de hecho, la marca puede ser el mayor activo de su organización. Un informe reciente de Forbes/MASB afirma que los activos de la marca impulsan aproximadamente el 20% de media del valor de la empresa. ¿No es algo que vale la pena proteger?
Cuantificar el valor de una marca corporativa es difícil
Efectivamente, la creación y el crecimiento de la marca suelen ser responsabilidad del departamento de marketing y del director del mismo. Pero no es raro que el marketing sienta que está superando a las demás áreas empresariales, incluido el CISO, y que estén ansiosos por que todos se “pongan al día” y se unan a ellos. El CISO puede actuar como un contrapeso útil para ayudar a este departamento a alcanzar sus objetivos con seguridad, en los buenos y en los malos tiempos. Por ejemplo, ¿no es importante coordinar de principio a fin la respuesta a una brecha entre estos dos grupos de la manera que mejor preserve el valor de su marca? Las marcas que salen reforzadas de un incidente de seguridad de la información de gran repercusión no llegan ahí por accidente.
Esta es una oportunidad perdida en muchas organizaciones. ¿Cuándo fue la última vez que un CISO y su CMO se sentaron a solas para discutir las iniciativas a largo plazo de cada uno? Y no, la conversación a veces recurrente entre estas dos partes sobre cómo el equipo de marketing está utilizando la TI en la sombra no sirve aquí.
El CISO como defensor del cliente
Si el CISO se considera un recurso orientado únicamente hacia el interior, la empresa puede estar dejando un valor significativo sobre la mesa. ¿Su CISO es considerado y aprovechado como un miembro extendido de sus equipos de cara al cliente? A menudo no hay nada más convincente para un potencial cliente o uno ya establecido que la oportunidad de escuchar a un verdadero profesional en este ámbito sobre sus experiencias en la industria en torno a un desafío común.
Otra forma de acercar al CISO a la órbita del cliente es utilizarle como promotor de la relación general entre la propia empresa y otra organización esencial para el negocio y que no se quiere perder. Esta es una gran manera de cimentar ese vínculo con los clientes verdaderamente clave y estratégicos. También puede descubrir que ese mismo cliente tan importante está dispuesto a compartir detalles con el CISO que nunca haría con el equipo de ventas.
El CISO como visionario del producto
En muchos sentidos, el CISO puede ser un potencial cliente ideal, un socio de investigación y una caja de resonancia para los nuevos productos, servicios o características que una organización planea introducir. Es importante pensar en todos los ángulos con los que un CISO trata cada día: Las conexiones B2B y los datos que fluyen entre terceros; la identificación y la seguridad de los datos y la conectividad B2C; la supervisión de una infraestructura las 24 horas del día para reconocer y remediar los riesgos tácticos, estratégicos y normativos; la firma de la certificación ISO 27001 o la certificación SOC 2 de una organización, y mucho más.
Para obtener puntos extra, un CISO de hoy o uno con aspiraciones para el mañana, no debe conformarse con abordar su trabajo únicamente en busca de la mejor forma de asegurar su organización: debe preguntarse cómo puede hacer que sus propios clientes estén más seguros. A veces, una nueva función o servicio puede surgir desde ese ángulo alternativo, desde una perspectiva que solo el CISO puede ver.
Tanto si es usted el CISO como si es un colega del CISO, piense con originalidad. Los CISOs pueden ser aprovechados absolutamente en estos y otros roles no tradicionales, para el mayor beneficio de una organización