Ser un CISO significa apoyar a la empresa.

Por qué el trabajo del CISO es apoyar a la empresa

¿Conoces la historia de los tres canteros a los que preguntaron por su trabajo? Todos hacían el mismo trabajo, pero cada uno dio una respuesta diferente. Uno dice que está cortando una piedra, el otro que está construyendo un muro, mientras que el tercero está entusiasmado con la idea de construir una catedral. Esta alegoría por sí sola ilustra la latitud que se permite a los CISO en el diseño de su misión, y la importancia de que se planteen una pregunta esencial...

En 2010, Simon Sinek, conferenciante británico y autor de numerosos libros sobre gestión y motivación, ofreció una charla TED que rápidamente se convirtió en una de las más vistas del mundo. En ella, desarrolló la teoría del "POR QUÉ", ampliamente conocida en el mundo del marketing y el desarrollo personal.

¿Su idea? Partir del principio de que no debemos pensar en términos de lo que hacemos (el "QUÉ"), sino en términos de "por qué" lo hacemos. Hay dos razones para ello:

• Saber por qué hacemos lo que hacemos nos ayuda a dar sentido a nuestras acciones y, por tanto, a tener una fuente de motivación personal;
• también es una poderosa palanca para comunicarte y "ponerte de acuerdo" con tu audiencia, porque (como dice Simon Sinek) "la gente no compra lo que haces, compra por qué lo haces".

ciberseguridadPor lo tanto, los CISO tienen un trabajo que hacer paracualificar su profesión. ¿Hacemos seguridad para :

• identificar las amenazas,
• aplicar herramientas,
• ¿o sólo para proteger a la empresa?

La respuesta es ¡no! Veamos las cosas desde el punto de vista de un constructor de catedrales, y consideremos que el CISO no es "el que limita los daños". Es más bien el que apoya a la empresa, tanto protegiéndola como ayudándola a desarrollarse en un marco seguro.

¿Qué significa apoyar al negocio en el día a día de un CISO? Hay muchas formas en las que este papel puede y debe tomar forma.

• "Pensar el negocio

Es imposible pretender apoyar a una empresa sin conocerla y comprenderla a la perfección. Por tanto, los CISO deben familiarizarse con el tema buscando respuestas a una serie de preguntas desde el momento en que ocupan sus puestos.

Por ejemplo: ¿cuál es el modelo de negocio? ¿Dónde genera márgenes la empresa? ¿Dónde pierde margen? ¿Cuáles son los mayores riesgos para la empresa?

• "Hablando de negocios 

ciberseguridadEl CISO es a menudo la única persona de la organización que comprende los retos y tiene una visión clara de las acciones que hay que emprender para proteger la empresa y la competitividad frente a las amenazas. Por lo tanto, deben hacerse entender para que los responsables de la toma de decisiones les sigan. Sea cual sea su sector de actividad, los CISO tienen todo el interés en adoptar un "lenguaje empresarial". En otras palabras, dejar de hablar de "ciberamenazas" y empezar a hablar de "riesgos para la empresa".

• Cubrir adecuadamente los riesgos

Admitámoslo: no, no todo lo que hace una organización debe protegerse al máximo. El enfoque del CISO debe tener en cuenta no sólo el riesgo, sino también las limitaciones específicas de la empresa (tanto materiales como financieras). Ni demasiado, ni demasiado poco... ese es el equilibrio adecuado para permitir que la empresa se desarrolle en un entorno seguro, con restricciones limitadas a lo estrictamente necesario.

• Difundir la cultura de la seguridad en toda la empresa

Es ilusorio pensar que la seguridad de una empresa puede descansar únicamente sobre los hombros del CISO. TI en la sombra, negligencias cotidianas, contraseñas demasiado simples... todos los empleados pueden comportarse de manera que debiliten a la empresa, ¡y todos tienen un papel que desempeñar! Por lo tanto, apoyar a la empresa significa ser capaz de implicar a todas las partes interesadas en este enfoque, a través de iniciativas de concienciación pertinentes y atractivas.

¿Cómo puede un CISO apoyar a la empresa en el día a día?

Pocos CISO han recibido formación en gestión empresarial como parte de su curso. ¿Significa esto que muchos de ellos son incapaces de asesorar a sus directivos porque carecen de las habilidades necesarias? Afortunadamente no, porque el trabajo de CISO, más que nunca, se basa mucho más en las habilidades interpersonales que en los conocimientos técnicos.

El trabajo de CISO es complejo e interfuncional. Qué esperan de él los directivos?

Un estudio publicado en mayo de 2020 por Devoteam, y realizado entre unos 600 directivos de empresas europeas y de Oriente Medio con más de 500 empleados, aporta algunas respuestas. Por ejemplo, los directivos encuestados consideran que un CISO debe cooperar con las líneas de negocio para garantizar que sus actividades se inscriben en un marco de riesgos aceptado (47% de las respuestas), pero también reducir la probabilidad de amenazas para la empresa y sus activos (45% de las respuestas).

Así que no se espera que los CISO sean únicamente expertos técnicos.

• Curiosidad 

Hacer preguntas, reunirse con departamentos y equipos, informarse sobre conceptos específicos de la empresa... es interesándose por su entorno y escuchando activamente como los CISO pueden adaptar realmente su enfoque y sus propuestas a la empresa.

• Comunicación y marketing

Si hay algo en lo que los CISO se beneficiarían de la formación es en su capacidad para "vender" sus ideas y soluciones. ciberseguridad Mientras que los altos ejecutivos están cada vez más preocupados por , lo que necesitan por encima de todo essentirse implicados y ser capaces de entender el mensaje del CISO fácil y rápidamente. Éste ya no debe ser técnico, sino impactante, reciclando las técnicas de marketing más básicas: hable el mismo idioma que su interlocutor, apoye en lugar de imponer y no dude en añadir algo de storytelling a sus presentaciones.

• Diplomacia y búsqueda de consenso 

Los responsables de las empresas quieren actuar con rapidez(time-to-market), aunque ello implique sacrificar la seguridad. Ante esta situación, el papel del CISO ya no puede consistir en oponerse sistemáticamente y debe evolucionar hacia un mayor compromiso, adoptando un método de pequeños pasos y arbitrando en función del riesgo.

¿Conoce el método del tablero de ajedrez? Utilizado para optimizar la eficacia comercial en ventas complejas, puede ser utilizado por cualquier CISO que quiera "tejer su red" y pensar a lo grande.

He aquí tres pasos en los que los CISO pueden trabajar en cuanto se incorporan a una empresa.

• Etapa 1: Trazar un mapa del entorno, realizando una encuesta real. ¿Cómo funciona la organización? ¿Quién hace qué? ciberseguridad Este conocimiento detallado de la empresa y su funcionamiento interno nos permite identificar las palancas y los obstáculos que hay que tener en cuenta en nuestras acciones a .

• Segundo paso: Crear vínculos aprovechando cualquier oportunidad, desde visitas periódicas a la oficina hasta conversaciones informales en la máquina de café. Todas estas interacciones son una forma excelente de identificar a los que serán los "campeones" de la seguridad de la empresa, para que el CISO pueda tener "relevos" en todos los niveles de la organización.

• Paso 3: mantener su marca personal. Mantener el contacto con los early adopters y darles las gracias, mostrar empatía hacia los empleados más reacios al cambio y apoyarles, saber ser discreto al tiempo que se asegura de que la gente encuentra su trabajo notable... a diario, el CISO tiene toda una comunidad a la que unir. Por lo tanto, la calidad de las relaciones que establezca y la imagen que proyecte son esenciales.