El papel del CISO es fundamental, sobre todo en la aplicación y el seguimiento de las mejores prácticas de ciberseguridad dentro de la empresa. Desde el balance de la seguridad de la SI hasta el análisis de los ataques anteriores, pasando por la cartografía de los activos críticos y la continuidad de las acciones pasadas vinculadas a los análisis de riesgos, los 100 primeros días en el puesto de un CISO son cruciales para la organización. En este artículo, encontrará los resultados de un estudio realizado en colaboración entre Tenacy y CESIN, en el que 131 CISO comparten los retos y éxitos que han encontrado durante este periodo. Misiones prioritarias a realizar, problemas de comunicación del CISO en la empresa, entre visiones divergentes y misiones múltiples, inmersión en los 100 primeros días de toma de posesión del cargo de CISO.

 

Los CISO siguen siendo un recurso escaso para las empresas

Según nuestro estudio, la antigüedad media de un CISO en una empresa es de 3,7 años. Además, el 32% de los encuestados afirma haber cambiado de trabajo en los últimos 12 meses. Aunque estas estadísticas plantean interrogantes, pueden explicarse por dos factores. El primero se debe a un mercado laboral con escasez de expertos en seguridad informática, que está viendo cómo se disparan los niveles salariales, lo que aumenta mecánicamente la rotación de personal. Una encuesta de OpinionWay realizada para CESIN en 2021 reveló que el salario medio de un CISO era de 89.200 euros, más del doble del salario medio[1] en Francia.

El segundo factor es el agotamiento de algunos de estos profesionales, que se enfrentan a un recrudecimiento de ciberataques cada vez más sofisticados. Con las vulnerabilidades Log4Shell/Log4j (CVE-2021-44228), Microsoft Exchange Privilege Escalation (CVE-2022-41080) y VMWare File deletion (CVE-2023-20854), los últimos años han sido otro periodo de mucho trabajo para los profesionales de ciberseguridad. En 2022, en un informe titulado "The State of the ciberseguridad", el editor Splunk anunció que el 73% de las dimisiones entre los profesionales de TI de todo el Atlántico se debían al agotamiento. Un fenómeno que no parece que vaya a remitir de aquí a 2023.

 

Las cualidades requeridas de un CISO difieren según el tamaño de la empresa

Según nuestro estudio, las empresas con menos de 5.000 empleados esperan que los CISO tengan una cultura de ciberseguridad que les permita comprender los riesgos específicos de la empresa y asesorar a los equipos sobre las acciones y mejores prácticas a adoptar.

Para los CISO de las grandes organizaciones, el primer requisito es adquirir un profundo conocimiento de la actividad de la empresa. Muchos sectores están sujetos a restricciones de cumplimiento, como el sector bancario con DORA, el sector industrial con la LPM (ley de programación militar) y NIS2, o el sector sanitario con NIS2 y el decreto HDS (alojamiento de datos sanitarios). En algunos casos, estas organizaciones tienen sistemas de producción obsoletos que requieren una planificación con meses de antelación antes de poder realizar cualquier actualización. Sin un conocimiento profundo de la situación existente y de las limitaciones que impone, el CISO no podrá implantar una política de seguridad y una hoja de ruta cibernética aplicables a la empresa.

El estudio también identificó una cualidad esencial que se espera de un CISO, sea cual sea el tamaño de la organización. Un CISO debe ser capaz de establecer una vigilancia normativa adecuada y tenerla en cuenta a diario.

 

La prioridad es la estructuración, el resto tendrá que esperar.

Durante estos primeros 100 días, los CISO centran su atención en las acciones de estructuración de la SI. Para el 55% de los encuestados, el mapeo de los procesos empresariales vitales es una prioridad.

Para el 41% de los encuestados, también es esencial familiarizarse con la cartografía de los SI. Esta acción va acompañada de un inventario de la seguridad del sistema de información ya implantado. Este inventario tiene en cuenta diferentes temas, como la identificación de los procesos y competencias internas, las soluciones de seguridad utilizadas por la empresa, la gobernanza existente, la seguridad operativa y la gestión de la conformidad.

 

La comunicación es uno de los principales retos de los 100 primeros días

Para el 55% de los encuestados, es esencial darse a conocer como CISO a todos los equipos, socios y subcontratistas. Darse a conocer a la alta dirección de la empresa es esencial para el 65% de los encuestados. Al asesorar a la dirección de la empresa sobre la aplicación de la Política de Seguridad de la SI (ISSP) y definir la hoja de ruta cibernética, el CISO aporta una cultura y una toma de conciencia de la ciberamenaza.

Esta etapa de comunicación también permite al CISO reunirse con los proveedores de servicios y subcontratistas presentes en el entorno de la empresa. Lejos de ser una evaluación en profundidad, esta reunión proporciona al menos un nivel inicial de conocimiento y concienciación sobre el funcionamiento de la empresa y su nivel de exposición. Sin embargo, esta tarea no es prioritaria para los responsables de la toma de decisiones en los primeros 100 días, ya que sólo el 23% de los encuestados declaran que esta acción es importante y sólo el 10% esencial. Roma no se construyó en 100 días, así que los CISO también deben establecer prioridades.

 

Las auditorías y los incidentes de seguridad no pueden analizarse en los primeros 100 días

Desgraciadamente para los CISO, el periodo de 100 días es demasiado corto para permitirles tener en cuenta todas las cuestiones. Para nuestro panel, es el análisis de eventos pasados lo que se considera menos prioritario. Para el 50% de los encuestados, el análisis de auditorías pasadas parece ser una acción a tratar durante este periodo, el 16% lo define como indispensable, mientras que para los demás tendrá que esperar. El análisis de los incidentes de seguridad también se aborda más adelante, ya que sólo el 6% de los encuestados lo declaran indispensable y el 35% importante.

 

En conclusión

Durante este primer periodo de 100 días, el CISO tiene que hacer frente a una serie de cuestiones (familiarizarse con las herramientas y las elecciones realizadas por la dirección en el pasado, establecer su identidad al tiempo que se comunica con las partes interesadas de la empresa, aplicar y supervisar las acciones de gobernanza y conformidad, etc.), cada una de las cuales le exige imponer su propia visión e impronta al tiempo que la adapta a su nueva empresa. Los requisitos de cumplimiento relacionados con la actividad, el tamaño de la empresa, las expectativas de las organizaciones y las misiones asociadas divergen para los CISO. Para conocer en detalle el funcionamiento de estos 100 primeros días, rellene el formulario de al lado.


[1] Fuente: https://business-cool.com/decryptage/salaire/salaire-moyen-median-france/

¿Le interesa este tema? nuestro seminario web
ASUMIR CON ÉXITO UN NUEVO PUESTO: LAS PALABRAS DE UN RSSI


Organizado en colaboración con CESIN, este seminario web da la palabra a los CISO que han cambiado recientemente de puesto de trabajo. Nuestros invitados echarán la vista atrás a este periodo crucial. Hablarán de los retos a los que han tenido que enfrentarse y compartirán lo que han hecho y lo que no han hecho.