Ahora que las amenazas no distinguen tamaños ni tipos de empresas la posición del Chief Information Security Officer (CISO) se vuelve cada vez más necesaria. Pero la mayoría no cuenta con los recursos para tener un experto en seguridad de este tipo en la organización. Una novedosa alternativa es contratarlos bajo demanda para establecer las estrategias de defensa necesarias, ¿pero es suficiente?
La problemática de seguridad no afecta exclusivamente a grandes compañías de infraestructura crítica o a las que manejan información de un evento masivo como los Juegos Olímpicos de Tokio, también las Pymes están en riesgo. El peligro es tan real que incluso el Gobierno estadounidense ya está promoviendo iniciativas para que las empresas mejoren su ciberdefensa.
Por mencionar solo un rubro de las amenazas posibles, este año ha crecido mucho el número de ataques de ransomware de alto perfil. De acuerdo con el Informe de amenazas cibernéticas de SonicWall, durante el primer semestre de 2021 se han registrado 304.7 millones de casos, cifra que supera el total de lo reportado en todo 2020 (304.6 millones): un incremento de 151% hasta la fecha.
En ese entorno amenazante, se vuelve una necesidad contar con alguien responsable de la seguridad de la información, un CISO. Esta persona tiene a su cargo el desarrollo de planes y programas de ciberseguridad, así como el despliegue de la estrategia para lograrlos. No obstante, en muchas compañías aún no es una figura presente en el organigrama, ya sea por cuestiones administrativas o financieras.
Paliar esa deficiencia va más allá de adoptar un modelo de Seguridad-as-a-Service (SecaaS). Hoy ya es posible contratar especialistas que ofrecen sus servicios bajo demanda, de forma flexible y adaptable, en un esquema de costos que resulta efectivo para ambas partes.
Demanda del mercado
Víctor Rodríguez, ingeniero en Informática con maestría en Tecnologías de Ciberseguridad, tiene 16 años trabajando en áreas IT y 10 en el rubro de seguridad. Lleva ya un año desempeñando la función de CISOaaS en dos compañías mexicanas.
“Lo ideal sería que las empresas pudiesen contar con la posición del CISO como parte de su estructura interna, con un área completa dedicada a la protección de su información. Sin embargo, no todas pueden permitírselo o aún están en vías de hacerlo. Mientras esto sucede, están expuestas por no proteger su información de forma adecuada, para ellas existe la opción de contratar un CISOaaS”, señala Rodríguez en entrevista.
La oportunidad surgió a solicitud de los clientes. Rodríguez refiere que en determinado momento se le pidió a una empresa que ofrece varios servicios IT que brindara una persona para seguridad informática. “Buscaban a alguien que coordinara y atendiera temas normativos y que creara un sistema de ciberseguridad. En ese momento me contrataron. Fue la demanda del mercado la que abrió esta opción”.
Actividades prioritarias de un CISOaaS
Lo primero que hace Rodríguez al llegar a una compañía como CISOaaS es hacer un diagnóstico para conocer el nivel de madurez de la empresa en temas de ciberseguridad “y a partir de ahí empezar a poner los bloques para construir el nuevo castillo”. Si no hay una estructura de seguridad creada como tal, reúne elementos para construir la estrategia de seguridad, revisa o crea programas de seguridad, efectúa ejercicios de análisis de riesgos y brechas, para determinar los controles necesarios para su atención. Otras acciones son identificar vulnerabilidades, definir los indicadores que permitan medir el progreso y resultado de los esfuerzos realizados para proteger la información y administrar el riesgo, además de promover una cultura de ciberseguridad en la organización, a través de un programa de capacitación y concientización.
En su desempeño profesional, Rodríguez considera importante contar con certificaciones, mantenerse actualizado acerca de vulneraciones, formar parte de asociaciones como la ISC2, donde se ha formado un equipo de CISO que comparten algunas de las noticias más relevantes para saber qué está ocurriendo en el medio.
Otro aspecto que destaca es la comunicación con el nivel directivo de las áreas de negocio. “Explicar qué ocurre cuando se presentan ataques a otras compañías permite ir creando esta cultura hacia arriba, darle la importancia que tiene el tema a nivel mundial y también hablar de cómo está la organización y qué tan preparada se encuentra para afrontar una situación similar”.
Rodríguez considera un gran reto formar equipos para apoyarse como CISOaaS. “Hay que buscar ayudas, tanto internas —casi siempre del área de soporte, red y procesamiento—, o a través de los propios proveedores. Se hace la labor de un integrador de esfuerzos, un proveedor brinda el servicio ‘A’, otro el ‘B’ y hay que sumarlos para lograr el objetivo común en el esquema de seguridad. Al mismo tiempo debe informar a la junta directiva sobre la contribución de las acciones de ciberseguridad hacia los objetivos de negocio”.
Opiniones encontradas
José Luis Cisneros, autor del libro Ciberseguridad para Directores Generales, Empresarios y Altos Ejecutivos: Cómo minimizar los riesgos cibernéticos en tu organización, considera que cuando una compañía no tienen un CISO, la responsabilidad cae totalmente en el área IT. “El CIO pone una persona experta en seguridad o se apoya en organizaciones que le brindan algunos servicios de seguridad. En este punto se llega a una disyuntiva: Conseguir una empresa que brinde servicios de ciberseguridad o buscar proveedores de seguridad que cubran diferentes áreas (firewall, acompañamiento de políticas y procesos), mismas que después habrá que orquestar”.
Cisneros considera que el CISOaaS es más bien un tema de acompañamiento, en muchas ocasiones esporádico. Desde su perspectiva, el talón de Aquiles de esta posición es que no domina la operación de la organización como alguien que está adentro, por lo que sus consejos carecerán del feeling que da vivir en ella día a día. Le parece que en el caso de empresas neófitas puede servir este conocimiento tercerizado, pero no para una compañía madura.
Por el contrario, Carlos Chalico, gerente Senior de Ciberseguridad en EY Canadá, opina que el CISOaaS “es una super oportunidad, especialmente para organizaciones como las Pyme, que no tienen los recursos para pagar de tiempo completo a una persona que se encargue de la seguridad de la información”.
Tener acceso a esto bajo demanda es algo que definitivamente puede cambiar de manera significativa la manera en las compañías están protegiendo sus datos. Chalico reconoce que si la organización no tiene una limitante en recursos financieros y puede tener su propio CISO, la historia es diferente: “En ese caso habría que analizar la conveniencia de tener la posición dentro de la empresa o no. Sucede lo mismo con el tema de privacidad, muchas organizaciones —grandes y pequeñas— no tienen los recursos, la experiencia ni el tiempo para lidiar con temas de privacidad”.
Para el especialista mexicano, el CISOaaS es una alternativa positiva para organizaciones que no pueden tener a alguien de ese calibre dentro de su organización. Puede ser una decisión estratégica no tener ese cargo en el organigrama. No obstante, la necesidad de contar con un plan de acción para proteger los datos de las compañías vuelve atractiva la adopción de este esquema tercerizado.
