Hace años, los líderes de seguridad en muchas organizaciones fueron promovidos de un gerente de nivel medio a jefe de seguridad de información (CISO). En las primeras interaciones del organigrama, la seguridad era considerada como “sólo un trabajo más” del departamento de TI, por lo que el gerente que poseía la seguridad tomó el título de CISO, pero siguió reportando al CIO.
Como las empresas aprendieron que la seguridad era un gran riesgo general del negocio y no simplemente una función de la tecnología, la cadena de reportes para CISOs comenzó a moverse fuera de la organización del CIO y los CISOs empezaron a reportar al CEO, CFO o COO. Esta evolución aún está en marcha, pero se volverá a cambiar pronto: el CIO reportará al CISO.
Los CISO están poniendo en marcha sus programas de seguridad de la información, transformando la seguridad de un producto de caja que el CIO compró de un proveedor a una operación que combina productos, personas y procesos. Esas operaciones están ganando la disciplina y el rigor de un circuito de retroalimentación doloroso pero eficaz, gracias a las pruebas constantes de los atacantes.
Los CISO están descubriendo los aspectos básicos de TI como la administración de redes, la administración de activos y el parcheo son fundamentales para asegurar las operaciones, pero en muchas organizaciones éstas están mal administradas.
Como WannaCry y Petya han demostrado agudamente, había millones de máquinas tanto sin parches durante semanas y con SMB abiertas al mundo. El parche es difícil y la SMB abierta es tonta, pero los sistemas sin parche con SMB abierta son negligencia grave – y este es sólo un ejemplo reciente y de alto perfil. Es imposible asegurar una red empresarial cuando la organización no puede manejar el bloqueo y el abordaje básicos de TI.
Para asegurar sus redes, las empresas deben comenzar a operar sus programas de TI, aumentando la disciplina tan fuerte como sus equipos de operaciones de seguridad. A medida que la realidad de esta verdad crece, veremos un cambio: el CISO poseerá no sólo las funciones de seguridad, sino toda la infraestructura básica – redes, dispositivos y sistemas operativos.
El CIO será el propietario de los procesos de negocio: el valor fundamental de TI que hace el negocio más eficiente. El CISO es el propietario de la infraestructura básica que hace que la red funcione, el CIO posee las aplicaciones que se ejecutan en esa infraestructura y los procesos de negocio que soportan.