En Venezuela existen menos de 15 personas que tienen como apellido Ciso, en Europa en países como España no hay evidencia que haya alguna persona con ese apellido, sin embargo en Bari (Italia) conseguimos en el Siglo XIII a la familia noble CISO y en la actualidad a David Ciso en Eslovenia. En Brasil vive María Ciso, en México encontramos a Ciso Hipólito, en las redes sociales al médico Pedro Hidalgo Ciso, y también en países como Colombia, Nigeria, EEUU o Filipinas. No obstante es poco probable que conozcamos a alguien cuyo apellido sea CISO. Ahora bien, cuando hacemos esta pregunta, no nos referimos al apellido CISO sino al acrónimo en inglés de Chief Information Security Officer o en castellano al responsable de la seguridad de la información.
El CISO nació prácticamente con el Siglo XXI, casualmente está cumpliendo 30 años, y es una de las diez (10) profesiones que se estima más crecerá en el futuro. Se diseñó ante la creciente necesidad de mantener la seguridad de las operaciones, de la información y de los datos gestionados en las infraestructuras tecnológicas internas de las grandes corporaciones. Fue Citigroup (antes (Citicorp) quien primero crea una oficina especializada en ciberseguridad luego de sufrir una serie de ciberataques. Un cuarto de siglo después de que surgiera el primer CISO, muchas organizaciones todavía no tienen creada la función o oficina responsable de la seguridad de la información. Si usted es CEO o miembro de la alta dirección de una organización, y todavía no la tiene, no espere a sufrir un ciberataque para crear la suya.
No hay día, semana, mes en la que no se conozca de algún evento de ciberataque a organizaciones, es la primera pandemia virtual global de la humanidad. Los ciberdelincuentes cada día se preparan activamente con el uso de las nuevas tecnologías, ahora más con el impulso de la Inteligencia Artificial (IA), para hacer más eficientes sus ciberataques. La pregunta es si las organizaciones, en particular, y la sociedad en general, se está preparando a la misma velocidad para mantener a raya esta pandemia. Las cifras son alarmantes: según la encuesta Voice of the CISO 2024, el 70% de los CISO cree que su empresa sufrirá un ciberataque en los próximos 12 meses (frente al 48% en 2022). A pesar de esto, el 87% de los ejecutivos encuestados globalmente admite que su empresa no está adecuadamente protegida ante ciberataques, y solo el 3% de las organizaciones mantiene un plan integral de seguridad cloud implementado y actualizado.
Estamos en el primer cuarto del Siglo XXI sin embargo muchas empresas tienen un comportamiento organizacional similar al del siglo XX. El modus operandi de la alta dirección, juntas directivas o consejos de administración, en la mayoría de los casos no pertenecen al siglo XXI, en muchos aspectos seguimos gerenciando como lo hacíamos en el pasado, antes de la llegada de la denominada 4ta Revolución Industrial, con los paradigmas, costumbres y creencias heredadas de la 1era Revolución Industrial . Los principales activos de las organizaciones actualmente no están registrados en los estados financieros: la reputación, la marca, el conocimiento del personal, la capacidad de innovación y los DATOS. Los informes de WIPO/Brand Finance indican que los activos intangibles corporativos (marca, I+D y datos) alcanzan un valor global de 61,9 billones USD en 2023, constituyendo la mayor parte del valor empresarial. En economías como EE. UU., las 15 empresas más grandes son en promedio un 90% activos intangibles.
Periódicamente la alta dirección se reúne para analizar los indicadores de gestión, principalmente financieros, ganancias y pérdidas, flujo de caja, costos… Esto es necesario pero no suficiente, porque la mayoría de los activos en la era digital no están registrados en los estados financieros.
La alta dirección del siglo XXI no se ha transformado culturalmente a la velocidad requerida para atender los retos de este siglo y sigue operando como cuando los DATOS eran meramente financieros, y no como lo son hoy, un activo intangible importante que debe protegerse. Esta desconexión entre la preocupación y la acción evidencia que muchas cúpulas directivas aún operan “al ritmo del negocio tradicional”, sin incluir la ciberseguridad ni el análisis de datos avanzados en su estrategia diaria.
Las consecuencias de esta falta de adaptación pueden ser graves, como lo demuestran casos emblemáticos: la agencia de salud pública HSE de Irlanda (2021) sufrió un ataque de ransomware de gran escala que provocó una interrupción grave y duradera de los servicios sanitarios, cancelándose la mayoría de las citas médicas, el costo se estima en aproximadamente $110 millones, sin contar los perjuicios sufridos por los pacientes; Target (2013) una de las mayores cadenas minoristas de EEUU sufrió un hackeo que comprometió los datos personales y financieros de aproximadamente 70 millones de clientes, incluyendo tarjetas de crédito, que llevó a la renuncia del CEO; y Equifax (2017), por no parchear vulnerabilidades, permitió que cibercriminales robaran datos de unos 145 millones de clientes, principalmente de EEUU pero también en Canadá y Reino Unido .
La ciberseguridad en las organizaciones es responsabilidad de todos pero fundamentalmente de la alta dirección quien es la encargada de aprobar el presupuesto para tal fin, crear la cultura de prevención, tener el talento digital y lo máxime, la estrategia. La ciberseguridad no es un tema exclusivo de tecnología es estratégico, y lo estratégico al igual que la cultura la alta dirección no debería delegarlo. Estamos cada día más expuestos en la era digital, los datos representan un activo y cuidarlos es tarea de todos. Los ciberataques pueden dañar la reputación y credibilidad de las organizaciones.
Según el informe y encuesta global de Munich Re (2024), el 47% de las empresas ha sufrido brechas de datos y el 30% ransomware. Sin embargo, solo el 49% de los directivos está priorizando modernizar su tecnología de seguridad este año. Otros retos señalados son la falta de formación (46% de encuestados) y personal especializado (31%). Además, el 52% de los líderes cree que la IA contribuirá a incidentes cibernéticos de alto impacto próximamente, lo que hace aún más urgente la preparación.
Al igual que es inconcebible una organización sin responsables de las funciones financieras, o de mercadeo, jurídicas, entre otras, también debería serlo el que no haya un director responsable de la seguridad de la Información. Las responsabilidades del CISO deben incluir; desarrollo e implementación de políticas de seguridad, evaluación y gestión de riesgos, cumplimiento normativo y la respuesta a incidentes. El CISO debe reportar directamente al CEO o a , garantizando así que la seguridad de la información sea considerada un asunto estratégico y no meramente técnico. En muchas jurisdicciones no contar con un CISO ya no es opcional sino una exigencia regulatoria.
La importancia de las funciones del CISO radica en que actúa como guardián de uno de los activos más valiosos de la organización moderna: la información y los Datos. El riesgo de no contar con un CISO es múltiple: desde pérdidas financieras directas por fraudes o interrupciones operativas, hasta daños reputacionales irreparables, responsabilidades legales por incumplimiento regulatorio y desventajas competitivas significativas. El caso de la HSE irlandesa es ilustrativo: la ausencia de un CISO agravó las debilidades internas y facilitó el ataque, un informe oficial detectó ausencia total de CISO.
En la medida en que las organizaciones toman conciencia y se preparan ganan en certidumbre, se reduce el riesgo de ciberataque. Gestionar desde la certidumbre implica, parafraseando a los futuristas, encontrar en un océano de incertidumbres, los archipiélagos de certezas. Se trata de identificar las certezas que nos da la ciberseguridad, gestionarla adecuadamente y tomar decisiones oportunas que nos permitan construir un futuro posible más seguro. Cuando las empresas se preparan adecuadamente, como es el caso de prevenir los ciberataques mediante la incorporación del CISO y el desarrollo de estrategias de ciberseguridad efectivas, el grado de certidumbre crece, permitiendo a la organización enfocarse en la innovación y el crecimiento, en lugar de la recuperación de crisis evitables.
Existen casos de éxito que demuestran cómo la transformación cultural centrada en la información mejora la resiliencia: Domino’s Pizza se reinventó como “empresa de comercio electrónico que vende pizza” e integró IA en sus operaciones; Capital One transitó hacia un modelo de “empresa tecnológica de banca”, migrando todos sus sistemas a la nube y reestructurando su equipo directivo con ejecutivos especializados en innovación; y Walmart ha invertido enormemente en TI para digitalizar toda su cadena de suministro. Estos casos demuestran que cuando la alta dirección impulsa un cambio cultural y tecnológico (incluyendo al CISO en la discusión estratégica), la empresa gana agilidad y fortaleza ante crisis.
El autor es doctorando en Gerencia, UCV. Expresidente de PwC Venezuela, Consultor Gerencial y Presidente Ejecutivo de la Asociación Bancaria de Venezuela y Vicepresidente de la Sociedad Anticancerosa de Venezuela.
