La posición de Director de Seguridad de la Información, o CISO por sus siglas en inglés, surgió durante la década de 1990 cuando comenzaron a ocurrir los primeros ataques cibernéticos a gran escala. Desde entonces, se convirtió en un rol casi omnipresente en cualquier organización grande que se tome en serio la ciberseguridad. Según la firma Cybersecurity Ventures, de hecho, el 100% de las empresas de Fortune 500 emplearon un CISO o una función equivalente en 2023, en comparación con el 70% en 2018. Estima que hay al menos 32.000 CISOs trabajando a nivel mundial y más de 7.500 en Estados Unidos. Este número está aumentando todo el tiempo, en todo el mundo.
Acá un breve repaso por las responsabilidades que implica el rol y cómo convertirse en un CISO.
¿Qué es un CISO?
Un Director de Seguridad de la Información suele ser un ejecutivo de alto nivel que supervisa -justamente- la seguridad de la información de una organización, desarrollando e implementando políticas para mantener seguros los datos críticos.
Si bien es una función necesaria para cualquier empresa, los CISO tienden a encontrarse solo en organizaciones más grandes, y es más probable que las pequeñas y medianas empresas combinen esta función con responsabilidades de seguridad más generales. Según Cybersecurity Ventures, si bien todas las empresas más grandes de Estados Unidos emplean un CISO, prácticamente ninguna pequeña empresa lo hace. Como era de esperar, el rol tiene más importancia en organizaciones que manejan grandes cantidades de información confidencial, ya sea propiedad intelectual o datos de clientes. Por lo tanto, es una función particularmente importante para instituciones financieras, organismos gubernamentales y similares.
¿Qué hace un CISO?
Las responsabilidades de un CISO incluyen el desarrollo e implementación de políticas de seguridad de la información, desde la gestión de riesgos y el desarrollo de políticas hasta el cumplimiento y la planificación de respuesta a incidentes.
En términos del día a día, esto significa establecer contacto con otros ejecutivos de la alta dirección, como el director ejecutivo o el director financiero, junto con otros profesionales de seguridad de alto nivel y equipos técnicos, sobre cómo prepararse, evaluar y gestionar amenazas cibernéticas nuevas y potenciales. A más largo plazo, crearán una estrategia de ciberseguridad alineada con los objetivos de la organización, mantendrán el cumplimiento normativo, llevarán a cabo una evaluación y gestión de riesgos continua y supervisarán los programas de capacitación del personal.
También se comunicarán con proveedores y socios de la cadena de suministro sobre cuestiones de seguridad para crear y, cuando sea necesario, implementar el plan de respuesta a incidentes de la organización, incluido el trabajo con expertos externos y autoridades legales.
CISO vs. CIO: ¿Cuál es la diferencia?
El CIO tiene una gama más amplia de responsabilidades que el CISO, y el CIO asume la responsabilidad de toda la IT de una organización, en lugar de solo los problemas de seguridad.
El CIO tiene la mayor antigüedad de los dos, desarrolla e implementa toda la estrategia de IT, supervisa al personal del área y gestiona los presupuestos. Esto significa asumir la responsabilidad de todo el software, hardware e infraestructura, incluidas las actualizaciones de software y hardware y la optimización de la red, así como de la gestión general de los datos. Así, el CIO es un puesto de mayor responsabilidad, con más enfoque en el negocio en su conjunto. Los dos trabajarán juntos en estrecha colaboración; A menudo, el CISO informará al CIO, aunque es más común informar directamente al director ejecutivo o al director de operaciones.
CISO vs. CSO: ¿Cuál es la diferencia?
Hoy en día, los títulos de Director de Seguridad de la Información y Director de Seguridad a menudo se usan indistintamente, y el rol de CISO se centra en la ciberseguridad.
Sin embargo, la descripción del trabajo original del CSO, y la que aún persiste en muchas organizaciones, cubre la seguridad de los activos físicos y digitales. Esto podría abarcar el control del acceso a los sitios corporativos, la vigilancia y el enlace con las autoridades y socios comerciales externos. También implicará la gestión del personal de seguridad. En algunos casos, el trabajo de CSO también cubre la seguridad física de los empleados, por ejemplo en el caso de fábricas o bancos, cubriendo procedimientos de seguridad y planes de respuesta a emergencias.
¿Cuáles son las habilidades necesarias de un CISO?
Los CISO necesitarán una amplia gama de habilidades y calificaciones. Al tratarse de un rol directivo, las habilidades interpersonales como el liderazgo, la comunicación y el pensamiento estratégico son imprescindibles.
El trabajo también requiere un alto nivel de conocimientos técnicos. En términos de formación académica, un CISO generalmente tendrá, como mínimo, una licenciatura o maestría en una materia como informática, tecnología de la información, ingeniería o ciberseguridad. Sin embargo, además de esto, normalmente tendrán otras certificaciones, como la Certificación de Profesional Certificado en Seguridad de Sistemas de Información, Gerente de Seguridad de la Información Certificado o Certificación de Analista de Ciberseguridad. Los CISO también deberán estar al tanto de los nuevos desarrollos técnicos, como la IA, a medida que surjan. La mayoría de los CISO también tendrán varios años de experiencia en una función de ciberseguridad más junior.
¿Por qué es importante tener un CISO?
Todas las empresas, desde las más grandes hasta las más pequeñas, necesitan que alguien supervise la seguridad de sus datos. Sin embargo, el tamaño de la organización generalmente determinará cuánto personal puede dedicarse a funciones de seguridad y, por lo tanto, si pueden o no permitirse el lujo de mantenerla como una función especializada.
Por lo tanto, en las organizaciones más pequeñas, el papel del CISO a menudo se incluye en el del CIO. En otros casos, una empresa puede contratar un CISO virtual, o vCISO, un asesor externo o una empresa de consultoría que trabaja para la empresa sólo a tiempo parcial. La ventaja de esto es que es probable que un vCISO tenga un mayor nivel de experiencia del que una empresa podría permitirse. Algunos tipos de organizaciones necesitarán más que otros un CISO dedicado: aquellas que utilizan grandes cantidades de datos, por ejemplo, o aquellas en las que las consecuencias legales y de reputación de una infracción serían particularmente graves.
¿Cuál es el salario promedio de un CISO?
El salario promedio de un CISO en Estados Unidos según la plataforma de contratación Glassdoor es de US$ 313.036 al año, más una bonificación promedio de US$ 110.366.
Este promedio oculta una gama muy amplia, según cifras publicadas en octubre de 2023 por IANS Research y Artico Search. Más de la mitad de los 600 CISO con sede en Estados Unidos encuestados dijeron que ganaban menos de US$ 400.000 en salarios, bonificaciones y acciones, y tres de cada diez ganaban menos de US$ 300.000. En el otro extremo de la escala, sin embargo, uno de cada cinco ganaba más de US$ 700.000. Sólo el 28% quedó en el medio. En general, según la encuesta, los salarios aumentaron un 11% año tras año. Las empresas Fortune 500, particularmente en industrias como finanzas, salud y defensa, tienden a ofrecer los salarios más altos.
¿Cómo puedes convertirte en un CISO?
Se requiere un nivel bastante alto de educación formal para el rol de CISO (al menos un nivel de licenciatura) junto con otras acreditaciones especializadas en ciberseguridad.
Sin embargo, eso es solo el comienzo: el papel de CISO está muy lejos de ser un trabajo de nivel básico. La mayoría de las personas que asumen el puesto tendrán entre cinco y diez años de experiencia en otros roles de IT, ya sea analista de seguridad, ingeniero de seguridad, administrador de red o arquitecto de red. También se requerirá un cierto nivel de experiencia en gestión. Esto podría significar asumir un puesto como gerente de ciberseguridad, director de seguridad o administrador de seguridad o incluso, en una organización lo suficientemente grande como para tener uno, CISO adjunto. Los aspirantes a CISO deben aspirar a obtener la mayor gama de experiencia posible, desde gobernanza y cumplimiento hasta gestión de incidentes. Los puestos de CISO, por supuesto, serán más fáciles de conseguir en organizaciones más pequeñas.
¿Cuál es el futuro de las funciones de CISO?
El papel del CISO ganó importancia constantemente a lo largo de las décadas, a medida que proliferaron las amenazas a la ciberseguridad. Al mismo tiempo, la regulación sobre la privacidad y la seguridad de los datos se volvió cada vez más restrictiva.
Ahora es más probable que los CISO interactúen directamente con el CEO y estén asumiendo un alcance más amplio y una mayor responsabilidad, con un mayor enfoque estratégico. Según una encuesta de Gartner, casi nueve de cada diez juntas directivas consideran la ciberseguridad un riesgo empresarial, en lugar de un riesgo tecnológico. Mientras tanto, las nuevas tecnologías, como la nube, IA y la IoT plantean constantemente nuevos peligros y, por lo tanto, requieren nuevas estrategias para afrontarlos. Mientras tanto, el cambio al trabajo remoto trajo sus propios problemas. Y a medida que la superficie de ataque se expande, también lo hacen las consecuencias de una falla de seguridad, particularmente dada la creciente prevalencia de los ataques de ransomware.