Como resultado de la digitalización y automatización de los procesos en las organizaciones actuales, y el surgimiento de amenazas a la seguridad de la información impredecibles y más sofisticadas, incluyendo la paralela adopción y consolidación de marcos normativos más robustos (por ejemplo, el Reglamento General de Protección de Datos Personales[1]), las organizaciones han prestado más atención al control y protección de sus activos de información, confiriendo mayor importancia y visibilidad a perfiles especializados, como es el caso del Chief Information Security Officer (en adelante, CISO), comúnmente traducido como Director de Seguridad de la Información.

Al respecto, un CISO puede describirse como “un ejecutivo de alto nivel que tiene la responsabilidad de establecer y mantener el programa de seguridad en la organización”. Esta figura se ha consolidado en los últimos años como una posición estratégica al ser responsable principalmente de preparar, mantener y comunicar las políticas y procedimientos de seguridad de la información dentro de una organización.

En el entorno digital en evolución, la protección de datos personales, datos financieros o de otro tipo, se considera un intangible crítico activo. Las preocupaciones sobre la confidencialidad, la integridad, la disponibilidad y la exactitud de esta información, continúan recibiendo una gran atención por parte de los profesionales de gobierno corporativo. En algunos casos, el CISO funciona como un punto de contacto para el riesgo tecnológico (Lanz, 2017).

De manera enunciativa pero no limitativa, un CISO desempeña comúnmente las siguientes funciones (Chopra & Chaudhary, 2020):

• Dirigir la iniciativa de seguridad de la información en la organización.

• Elaborar lineamientos de seguridad para la gestión de la seguridad de la información.

• Mantener el Sistema de Gestión de Seguridad de la Información.

• Establecer el proceso de evaluación de riesgos de seguridad.

• Revisar los informes y el estado de la evaluación de riesgos.

• Mantener la declaración de aplicabilidad.

• Supervisar el cumplimiento permanente de los estándares de seguridad en la organización.

• Elaborar planes y procedimientos relacionados con la gestión y la información.

• Asegurarse de que los miembros del equipo estén adecuadamente capacitados en el dominio de los requisitos de seguridad de la información, por ejemplo, bajo la norma ISO/IEC 27001.

• Analizar los informes elaborados por los distintos departamentos de soporte y tomar medidas correctivas cuando sea necesario.

• Planificar y realizar auditorías internas de seguridad de la información y revisiones de gestión.

• Asegurar que se tomen acciones correctivas contra los problemas planteados durante las auditorías internas o externas.

• Informar sobre el desempeño del Sistema de Gestión de Seguridad de la Información a la alta dirección.

Es importante mencionar que anteriormente, el establecimiento de los roles de un CISO tenía un enfoque predominantemente técnico, en lugar de tener una orientación de competencias o habilidades blandas. Sin embargo, actualmente diversos expertos consideran que la figura del CISO se encuentra en un proceso de evolución o transformación en búsqueda de un equilibrio, en donde el CISO ya no desempeña únicamente funciones estrictamente técnicas relacionadas con el software o el hardware (hard skills), sino también “ejecutivas”, que implican un gran compromiso y el desafío de concientizar y fomentar la cultura de la seguridad de la información en la organización, requiriendo de nuevas habilidades (soft skills) para desempeñar de manera exitosa su posición (Smit, et al.,2021) . Lo anterior, teniendo en cuenta que existe una sólida evidencia respecto a que las personas (factor humano) son el “eslabón más débil” de la cadena de la seguridad de la información, situación que vuelve determinante aspectos como la comunicación, el trabajo en equipo y la ética en el trabajo, entre otros.  

De esta manera, existen investigaciones que se enfocan en identificar las cualidades o habilidades que un CISO debe reunir, entre las cuales se encuentran habilidades blandas y capacidades del pensamiento.  Al respecto, Robles (Robles, 2012) destaca como parte de las soft skills más importantes que un CISO debe poseer (algunas de las cuales actualmente son altamente valoradas por las empresas en búsqueda de estos perfiles), las siguientes:

• Excelente comunicación.
• Integridad.
• Cortesía.
• Responsabilidad.
• Habilidades interpersonales.
• Profesionalismo.
• Actitud positiva.
• Trabajo en equipo.
• Flexibilidad.
• Ética en el trabajo.

Asimismo, pueden referirse algunas capacidades o habilidades en la “dimensión del pensamiento” (Maynard, 2018), tales como:

• Elaborar conceptos.
• Pensar creativamente.
• Pensar imaginativamente.
• Pensar abstractamente y lateralmente (transversalmente).
• Pensar y vislumbrar nuevas soluciones sin tener o conocer todos los hechos.

Por otra parte, en el aspecto técnico, algunas de las certificaciones más requeridas por las organizaciones para desempeñar el puesto de CISO son las siguientes:

• Certified Information Systems Security Professional (CISSP).
• Certified Information Systems Auditor (CISA).
• Certified Information Security Manager (CISM).
• ISO27001/2 o equivalente.

En conclusión, la figura del CISO resulta fundamental en un panorama tecnológico cambiante, caracterizado por una mayor exposición a los riesgos para la infraestructura de las organizaciones que se traduce en la interrupción o destrucción de las redes y sistemas de Tecnologías de la Información, la pérdida de ingresos y ventajas competitivas, la divulgación de información confidencial, el daño a la reputación y otros costos derivados del incumplimiento de los acuerdos de confidencialidad.

Referencias

Chopra, A & Chaudhary M (2020). Implementing an Information Security Management System (Security Management Based on ISO 27001 Guidelines), 52-53.

Lanz, J. (2017). The Chief Information Security Officer: The New CFO of Information Security. CPA Journal, 87(6), 52–57.

Maynard, S. B., Onibere, M., & Ahmad, A. (2018). Defining the Strategic Role of the Chief Information Security Officer. Pacific Asia Journal of the Association for Information Systems, 10(3), 61–85. 

Robles, M. M. (2012). Executive perceptions of the top 10 soft skills needed in today’s workplace. Business Communication Quarterly, 453-465.

Smit, R., van Yperen Hagedoorn, J. M. J., Versteeg, P., & Ravesteijn, P. (2021). The Soft Skills Business Demands of the Chief Information Security Officer. Journal of International Technology & Information Management, 30(4), 41–61.

---

[1] REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Disponible en el vínculo electrónico: https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32016R0679&from=EN