El CISO: el nombramiento que toda Pyme debe acometer

Cada cierto tiempo surge un nuevo “palabro” anglosajón que se traslada al lenguaje nacional con inusitada rapidez y que al poco tiempo es casi vox populi entre los empresarios. Uno de esos anglicismos que no tardaremos demasiado en degustar en la piel de toro (de hecho ya está presente y es conocido en muchas compañías) es el de Chief Information Security Officer o CISO. Se trata de la persona cuya misión es velar por la seguridad de la información de la compañía. Es decir, el directivo guardián del activo más importante para cualquier empresa en la actualidad: los datos.

Es cierto que al contrario de lo que se dice en el primer párrafo introductorio, el CISO no es un desconocido en buena parte del mundo empresarial. Es más, la directiva europea publicada a principios de año conocida como NIS ya exige que ese rol exista en algunos sectores. En concreto, en operadores y proveedores de servicios esenciales. Además el reglamento establece la necesidad de adoptar medidas técnicas en el ámbito de la seguridad de los datos en función de los riesgos que atañen a las redes de comunicación. Por si fuera poco, la normativa define con claridad que el CISO es el responsable de elaborar la política de seguridad y de notificar a las autoridades cualquier ataque informático que la empresa reciba.

A la vista está que en algunas de las grandes compañías el CISO no es un desconocido. De hecho es hasta un nombramiento obligatorio. No ocurre así en el resto del tejido empresarial. Ni las pymes ni las grandes empresas familiares (salvo que operen en sectores estratégicos) están obligadas, de momento, a contar con un CISO en su organigrama. Pero eso no quiere decir que no sea conveniente contar con él o, en su defecto, con un servicio que cubra el trabajo de este puesto directivo de reciente creación. Y es que el CISO se ha convertido en un rol clave en la gobernanza de la seguridad de la información, lo que es un activo fundamental para moverse en un entorno empresarial dominado por la transformación digital y, por qué no decirlo, la falta de cultura en ciberseguridad en muchas empresas.

Precisamente esa falta de cultura en ciberseguridad es lo que está motivando que las pymes se hayan convertido en los últimos años en uno de los grandes objetivos de los ciberdelincuentes, hasta el punto de ser ahora el sector económico que más ciberataques recibe.

Por si esto no fuera razón suficiente, el Covid ha acelerado la necesidad de tomar decisiones innovadores lo que, irremediablemente, expone aún más a las empresas a los ataques informáticos. Además, está el auge del teletrabajo, que es otra puerta de entrada para los hackers. 

Pero, cuidado, nombrar a un CISO no basta para tener asegurados los datos más sensibles de la empresa y de los clientes. Muy al contrario, para que este directivo ejerza de manera adecuada sus funciones debe trabajar de manera transversal para que su labor esté en sintonía con los objetivos de la empresa. Con esa idea, el Chief Information Security Officer debe pertenecer a la alta dirección dentro del organigrama de la compañía y solo responder ante el presidente o el consejero delegado (CEO). No obstante, debe regirse por la normativa de seguridad interna y de cumplimiento de riesgos que tenga la empresa. En otras palabras, el CISO tiene que mandar pero también debe ser controlado ante la importancia capital de su trabajo.

Como ha ocurrido con anterioridad en puestos directivos de reciente creación, las dificultades para encontrar candidatos acordes con el cargo es máxima, lo que está llevando a que algunas empresas recurran a la contratación a un tercero del servicio del CISO. Normalmente son firmas especializadas en el sector de la ciberseguridad las que prestan apoyo a las compañías. Lejos de lo que pueda parecer, utilizar el outsourcing es una opción adecuada, ya que lo más importante es que la misión de velar por la seguridad de la información no quede desierta.

Las ya comentadas dificultades que existen en el ámbito de la contratación de este directivo se multiplican aún más en España debido al déficit de profesionales de garantías que existen en el sector de la ciberseguridad, una carencia que en estos momentos se está notando más ante el impulso que está experimentado la seguridad informática por la descontrolada transformación digital que se ha iniciado en muchas compañías para adaptarse a un entorno de recuperación post-Covid.

Con todo, y a pesar de las dificultades para cubrir este importantes puesto laboral, las compañías no deben de cejar en su empeño. Contar con un Chief Information Security Officer es ya primordial para alguna sectores y para la mayoría de las grandes empresas españolas. Pero también debería serlo para el tejido empresarial familiar y para las pymes. Conviene no olvidar que nadie está a salvo del ataque de los amigos de lo ajeno en el mundo informático.