La importancia del CISO y la profesionalización en ciberseguridad

En un mundo donde la tecnología y la información se han vuelto imprescindibles, la ciberseguridad se ha convertido en un tema en el que empresas de todos los tamaños deben poner atención, pero sobre entender que un tema tan vital no debe depender únicamente del área de TI. No contar con políticas de seguridad adecuadas afecta a toda la organización y puede llevarla a la quiebra, por lo que toma mayor preponderancia el papel de los directores de ciberseguridad o CISO (Chief Information Security Officer). Para conocer qué requiere este puesto, y sobre todo su profesionalización, platicamos con la especialista en ciberseguridad, Erika Mata.

Si algo conoce bien Erika Mata es la especialización en ciberseguridad. Ella tiene un doctorado en Ciencias especializado en Seguridad de la información, y actualmente es líder global de Cibersecuridad GRC en Hitachi Vantara, directora de Seguridad de la Información (CISO) de Bank of América México, instructora en diplomados de Seguridad de la Información y Ciberseguridad. Sin embargo, considera que en la academia aún no existe la oferta suficiente para cubrir y motivar al estudiante a estudiar este campo. “Hay especializaciones, cursos, maestrías y cursos en algunas carreras, pero carreras como tales no existen. Entonces sí, efectivamente, hay que motivar a los chavos a que estudien esto y no todo por (cursos en) YouTube”, señala.

Erika Mata

La experiencia de más de 20 años en seguridad de la información en el sector financiero que tiene la especialista le hace considerar que el rol del CISO ha ganado importancia en las empresas. Antes, este rol solía estar bajo la sombra del área de tecnología, pero hoy en día, debido a regulaciones y certificaciones, el CISO debe ser independiente de cualquier conflicto de interés y tener una visión estratégica del negocio, cuidando especialmente los riesgos relacionados con la seguridad.

Erika Mata menciona que el “CISO ya no solo debe estar a nivel de dirección, sino que debe ponerse a un especialista de ciberseguridad en los consejos de administración de las empresas para que así avancen juntos con la estrategia del negocio, más allá de la visión, la red, internet o el GPT”.

Por ello, la participación del CISO debe incorporarse desde un punto de vista más estratégico. “Ahora parece que lo táctico no funciona. Seguimos hablando de entre 85 % y 95 % de incidentes causados por personas y seguimos hablando de fierros. Se quiere comprar soluciones cuando se tiene problemas con la gente, y no estamos enfocándonos tanto el tema de la gente. Entonces, algo no estamos haciendo bien”, afirma.

Para alcanzar el nivel de profesionalización y consciencia necesarios es fundamental la educación, y no es necesario provenir del mundo de la tecnología para especializarse en ciberseguridad pues personas de diversas áreas pueden encontrar oportunidades en esta industria. Sin embargo, se requiere una preparación sólida, que incluya entender aspectos de negocios, finanzas, riesgos y, por supuesto, tener conocimientos de seguridad.

Erika Mata recomienda a los profesionales hacer un autoestudio “para ver si efectivamente hablo ‘riesgos’, hablo ‘finanzas’, hablo ‘negocio’ y hablo idioma de ‘personas’” y, sumado a eso, considerar que si “solo hablo guion y no he ido nunca a un consejo de administración, ni he presentado proyectos, ni llevo portafolios de estrategias, entre otras, no estoy listo y tengo que seguir estudiando y preparándome” para lograr tener experiencia y llegar a entender los lenguajes que manejan las diferentes áreas de un negocio. “Entonces puedes pensar, tal vez, en tener un siguiente nivel y buscar alguna posición más ejecutiva, alguna posición en un consejo. O si eres emprendedor, que es otra skill, poner tu consola”, aconseja.

El perfil de CISO emprendedor puede ayudar a las empresas a través de la modalidad de “CISO as a service”. La especialista menciona que las pymes pueden considerar contratar el servicio de un CISO externo como una opción para cuidar su seguridad de la información, ya que no siempre pueden contar con recursos internos para este rol. “Es una opción para que puedas hacerte de un CISO que ayude a caminar tu empresa, por muy pequeña que sea, en este mundo de riesgos, cuidando del negocio, la información de tus empleados y de los terceros”.

Optar por un servicio de CISO externo, por demanda, es una gran alternativa ante la escasez de recursos humanos especializados y permite ahorrar el alto costo de tener uno de planta.