Del CIO al CISO: el rol

estratégico de la
ciberseguridad para el
negocio
El reciente ataque cibernético a uno de
los principales bancos de Chile dejó en
evidencia la vulnerabilidad de grandes
empresas del sistema chileno en cuanto
a la ciberseguridad. De manera
autocrítica, es necesario seguir
desarrollando estrategias que permitan
hacer frente a esta problemática.

No solo la banca es una de las industrias

afectadas. Tras analizar el último Informe
Anual de Seguridad de Symantec (ISTR),
se revela que en un 91,6% de los casos la
industria financiera y de seguros local ha
sufrido algún incidente cibernético,
seguida por las organizaciones
gubernamentales con el 8,11%. ¿Cuáles
son las vulneraciones más frecuentes en
la red? Chile se posiciona en categorías
como Ataques a la red (24°),
Ransomware (24°) y Bots (31°) a nivel
mundial.

Además de estos ataques, hay uno que

ha tomado relevancia y es el
"Criptojacking", que durante el año
pasado incrementó en un 8.500%, como
consecuencia del valor astronómico que
ha ido adquiriendo las criptomonedas.

El problema no se debe netamente a la

falta de inversión, porque durante el 2017
las firmas chilenas gastaron US$ 195,7
millones en ciberseguridad, cifra que
significó un alza de 4,1% respecto al
2016.

Sin embargo, hace falta aumentar el

presupuesto destinado a la
ciberseguridad. Un claro ejemplo de ello
es que Chile invirtió un 0,07% del PIB
nacional, muy por debajo del promedio
de la mayoría de los países que gastan
un 0,12% de su PIB.

De acuerdo a IDC y Netscout Arbor, en

2017 se registraron pérdidas cercanas a
los US$90 mil millones a nivel mundial
por ciberataques de distintos tipos, por lo
que hoy es imperioso para las empresas
la alternativa del Chief Information
Security Office, que trabaje de la mano
con el Gerente de Información y
Tecnología para enfrentar esta
problemática. La amenaza es real,
Gartner prevé que el 60% de las
empresas en América Latina sufrirán
grandes fallas de seguridad, por lo que
este tema debe verse como un problema
crítico del negocio por los altos
ejecutivos uy directorios.

En esta era digital, los ciberataques han

significado cuantiosas pérdidas
económicas, tanto para el sector público
como para el privado, por eso es
necesario tomar medidas para evitar que
las empresas se vean afectadas no solo
desde el punto de vista financiero, sino
desde la perspectiva reputacional.

En este sentido, el CISO debe tener rol

estratégico, capaz de gestionar los
riesgos y educar a las mesas directivas,
con el fin de que la protección ante los
ciberataques sean parte efectiva de la
estrategia del negocio.

CISO

El CISO (Chief Information Security

Officer) es el director de seguridad de la
información. Básicamente es un rol
desempeñado a nivel ejecutivo y su
función principal es la de alinear la
seguridad de la información con los
objetivos de negocio. De esta forma se
garantiza en todo momento que la
información de la empresa está protegida
adecuadamente.
Como decíamos, cada día van saliendo
nuevos roles. Por tanto, muchas de las
responsabilidades de un puesto se han
ido modificando a lo largo de los años.
Sin embargo, para el rol de CISO
podemos decir que en general, sus
responsabilidades incluyen:

Generar e implantar políticas de

seguridad de la información.
Garantizar la seguridad y privacidad
de los datos.
Supervisar la administración del
control de acceso a la información.
Supervisar el cumplimiento
normativo de la seguridad de la
información.
Responsable del equipo de
respuesta ante incidentes de
seguridad de la información de la
organización.
Supervisar la arquitectura de
seguridad de la información de la
empresa.

CSO

El CSO (Chief Security Officer) es el

responsable de la seguridad de la
organización. Al CSO a veces se le
denomina responsable de seguridad
corporativa. Podemos pensar que el
CISO y el CSO son el mismo rol y que
desempeñan las mismas funciones. En
organizaciones pequeñas es frecuente
que coincidan ambas responsabilidades
en una misma persona. Pero realmente
no es así. El rol del CISO suele estar más
centrado en aspectos de seguridad de la
información, mientras que al CSO se le
requiere:

Tener una visión de negocio que

comprenda los riesgos que afronta la
organización y cómo tratarlos.
Entender la misión y los objetivos de
la empresa y asegurarse de que
todas las actividades son
planificadas y ejecutadas para
satisfacer dichos objetivos.
Comprender las necesidades
normativas, la gestión de la
reputación de la organización y las
expectativas de los usuarios.
Establecer los planes de continuidad
de negocio y recuperación de
desastres en el ámbito de las
tecnologías de la información.
Estar al tanto de los cambios
normativos, debiendo informarse de
las consecuencias para las
actividades de la organización y
proponiendo las medidas oportunas
para adecuarse al nuevo marco
normativo.

Cuando existen CSO y CISO, el CISO

reporta al CSO y el CSO a la dirección.

CEO

El CEO (Chief Executive Officer). Es sin

lugar a dudas la sigla más conocida. Es el
director ejecutivo, el gerente, el cargo
más alto dentro del organigrama de la
organización. Es el responsable final de
las acciones que se lleven a cabo dentro
de la empresa, de su desempeño y su
eficiencia.
Su función principal es la de supervisar y
velar porque la estrategia definida en la
empresa cumpla con la consecución de
los objetivos de la organización, además
de sembrar los principios y pilares
básicos a seguir dentro de la empresa.
El CEO tiene una importante relación con
el CIO, debido a que las estrategias de
las empresas están estrechamente
ligadas al ámbito de las tecnologías de la
información.

CIO

El CIO (Chief Information Officer), es el

gerente de sistemas o director de
tecnologías de la información. Reporta
directamente al CEO, y se encarga
básicamente de que las estrategias de la
organización estén alineadas con la
tecnología de la información para lograr
los objetivos planificados.
Además, se encarga de mejorar los
procesos de tecnologías de la
información de la organización, gestionar
el riesgo y la continuidad de negocio,
controlar el coste en infraestructura de
tecnologías de la información, alinear el
gobierno de tecnologías de la
información a los requerimientos
tecnológicos, y establecer mejoras e
innovaciones de soluciones y productos.

CTO

El rol del CTO (Chief Technology Officer)

en un rol similar al CIO pero más
«técnico». En este sentido, se han
identificado nada menos que seis roles
distintos que pueden desempeñar los
CTO. Se entremezclan con las funciones
de los CIO. Sin embargo podemos decir
que es un director técnico, siendo su
responsabilidad la gestión del día a día
de las tecnologías de la información.
De forma resumida, el organigrama
completo de los principales roles en
ciberseguridad es:

Estos son los roles más conocidos y más

utilizados en una organización. Seguro
que irán saliendo nuevos cargos, y con
ellos nuevos roles y siglas que los
identifique. De hecho y según una
importante consultora internacional, todo
apunta a que este año aflorarán los roles
de Chief Data Officer y Chief Digital
Officer (ambas compartirán las mismas
siglas, CDO) que coexistirán con las más
tradicionales de CIO y CTO, al menos en
el corto plazo, por lo que se necesitará
una estrecha revisión de las
responsabilidades y funciones entre los
viejos y los nuevos roles.

Fuente: CiberTime | INCIBE