La figura del director de ciberseguridad se agiganta en las empresas
El déficit generalizado de talento en la materia se hace aún más evidente en el caso del CISO, un rol cada vez más estratégico en las compañías
La digitalización de las compañías, acelerada a raíz de la crisis del coronavirus, ha hecho saltar las alarmas entre las empresas por el aumento significativo de los ataques cibernéticos y las consecuencias cada vez mayores que tienen sobre su trabajo. Ya no solo afecta a las grandes empresas del sector financiero, sino que ya cualquier empresa puede verse envuelta en un ataque cibernético, que puede causar estragos tan importantes como detener la producción o la actividad, lo que podría suponer para la empresa grandes pérdidas.
Noticias relacionadas
- Casi 900 millones en un año: así es Nefilim, el grupo cibercriminal que más dinero gana con el 'ransomware'
- La curiosa historia del primer virus 'ransomware': oculto en un disquete con información sobre el VIH
- ¿Cómo minimizar el impacto económico en las organizaciones que sufren ciberataques organizados?
Los hackers tienen ahora más superficie de ataque y sobre áreas más delicadas. Demasiadas puertas abiertas que hay que vigilar con atención. Y para cumplir ese cometido está la figura del director de seguridad de la información, el CISO, por sus siglas en inglés –Chief Information Security Officer–. Es una figura que, según el director de Ciberseguridad de Capgemini, Andrés de Benito, es cada vez más importante y relevante en las empresas españolas pero que, por las características tan especiales y los conocimientos tan específicos que deben atesorar, no siempre es sencillo de encontrar.
Faltan profesionales
Este experto lo achaca a dos razones. En primer lugar, porque no hay suficiente volumen de profesionales en el mercado, un problema enorme teniendo en cuenta que ha venido una necesidad de golpe y, por lo tanto, todas las compañías se han puesto a buscar a estos profesionales al mismo tiempo. La otra razón es por el propio perfil del trabajador. Debe ser una persona que dé confianza en la organización «para que se entienda que el trabajo que realiza tiene sentido y, además, debe tener visión suficiente como para ver hacia dónde avanza y las tendencias nuevas que genera la ciberseguridad». Los ciberdelincuentes van evolucionando sus formas de atacar a una empresa, por lo que el CISO debe intentar ir por delante para cubrir a su organización. Por ello, el gerente de Ciberseguridad del Instituto Nacional de Ciberseguridad de España (Incibe), Félix Barrio, considera imprescindible impulsar la oferta formativa de esta profesión puesto que la demanda de estos perfiles es mayor que la oferta: «Tenemos una carencia de profesionales en el sector de la ciberseguridad muy importante».
En ese mismo déficit incide el socio de Risk Advisory especializado en Ciberseguridad de Deloitte, Eduardo Ferrero, que ve que si ya se ha identificado la escasez de profesionales como uno de los principales problemas, «disponer de profesionales capacitados para poder actuar como CISO es un reto aún mayor».
El sueldo de un CISO con menos de dos años de experiencia está entre los 60.000 y 72.000 euros anuales
Precisamente por la importancia y lo crítico que puede ser un ataque cibernético para una compañía, De Benito considera que si una empresa cuenta con un nivel de madurez elevado, el CISO tiene que sentarse en el ‘board’ de la empresa «sin ninguna duda». «Si se tiene una incidencia en determinados sistemas tecnológicos, se puede noquear absolutamente el funcionamiento de toda la organización, por lo que es importante que el CISO sea capaz de dar este mensaje a las capas más altas de la organización, para que se le haga caso». Asimismo, de Benito ve que sentar al CISO en los altos puestos de la empresa es «un gesto y un signo muy relevante» que demuestra tanto a los ejecutivos y accionistas como a todo su entorno «cómo de en serio se toma la compañía la protección frente a los ciberriesgos».
No obstante, la actual directora de Seguridad de la Información de Unicaja Banco, Eva Cristina Cañete, cree que lo recomendable, sea cual sea la posición que ocupe, « es que tenga la capacidad de actuar con total independencia de Tecnología y del Negocio, así como que existan los canales de reporte necesarios según la estructura de la compañía en la que desempeñe su función».
A pesar de la creciente importancia del CISO en las organizaciones, menos de un 20% reportan directamente al CEO de su compañía
Aun así, Cañete ve que es una figura «indispensable» para las empresas, y más en la actualidad, ya que los clientes demandan cada vez más servicios al mundo digital. «Las empresas están obligadas a proporcionárselos de cara a una mejor adaptación a las circunstancias actuales, y ahí es donde el CISO debe jugar su papel, generando la confianza necesaria para que los clientes consuman estos servicios con la mayor garantía posible», argumenta.
Agujero en las pymes
Pero donde se está comprobando que falta esta figura es, sobre todo, en las pequeñas y medianas empresas. Según datos de Incibe, el 75% de los más de 133.000 incidentes de ciberseguridad que gestionaron en 2020 fueron a pymes, lo que puede suponer un problema puesto que todos los sectores son «interdependientes» y un ataque a un pequeño proveedor puede acabar afectando a la gran empresa con la que trabaja. «Se ha demostrado que los criminales se aprovechan de los pequeños proveedores para conseguir llegar a la gran organización y paralizar grandes industrias» por lo que, según Barrio, es «indispensable» que todos los sectores tengan una ciberseguridad bien gestionada a través de una persona que sea capaz de «gestionar el riesgo tecnológico e identificar aquellos peligros que puedan poner en riesgo la continuidad del negocio». Por tanto, Ferrero lo tiene claro: «Podemos discutir dónde ubicar esta figura dentro de la empresa, pero no sobre su conveniencia y necesidad en las empresas».
