En el último año, hemos sido testigos de una oleada de ciberataques dirigidos a instituciones, organismos y empresas en España, como el caso de la filtración de datos al Hospital Clínic de Barcelona, el ataque de phishing que paralizó el SEPE o el dirigido a la teleoperadora DIGI, en el que los ciberdelincuentes consiguieron acceder a información sensible de los usuarios. Así lo avalan también los datos que arroja el Instituto Nacional de Ciberseguridad (INCIBE) en su informe sobre el estado de la ciberseguridad en las empresas españolas, señalando que el 94% de las empresas españolas sufrieron algún tipo de incidente relacionado con la ciberseguridad en 2022. Estos ataques no discriminaron entre empresas de diferentes tamaños ni sectores, causando pérdidas económicas millonarias y robos de información, con la consecuente pérdida reputacional que eso conlleva. Ante esta realidad, la importancia de salvaguardar la información se ha convertido en una prioridad ineludible para las empresas. Es aquí donde entra en juego la figura del Chief Information Security Officer (CISO), un profesional especializado en ciberseguridad cuyo papel principal es proteger los sistemas y la información confidencial de las organizaciones. En un escenario donde los ciberataques siguen en aumento, la necesidad de contar con un CISO altamente competente se vuelve cada vez más crítica.
Falta de reconocimiento
A comienzos de los años 90, se establecieron los cimientos para lo que ahora conocemos como la era digital, donde las grandes empresas comenzaron a adoptar servicios digitales en su actividad diaria, pero al mismo tiempo los cibercriminales estaban actualizándose en sus técnicas. Fue en ese momento, específicamente en 1994, cuando el banco estadounidense Citibank sufrió lo que se considera uno de los primeros y más significativos ciberataques en la historia. Este incidente reveló la vulnerabilidad de los sistemas informáticos y marcó un punto de inflexión en la conciencia de las organizaciones sobre la necesidad de contar con expertos en seguridad de la información, naciendo así el rol del CISO.
Durante los primeros años de la era digital, la figura del CISO no recibió el reconocimiento adecuado que merecía. En ese momento, la ciberseguridad no era considerada una prioridad en muchas organizaciones y los presupuestos asignados a esta área eran considerablemente limitados. Sin embargo, a medida que los ciberataques se volvieron más sofisticados y sus consecuencias aumentaron en gravedad, las empresas comenzaron a darse cuenta de la importancia crítica de contar con profesionales altamente especializados en ciberseguridad. Fue en ese punto donde la figura del CISO empezó a obtener un reconocimiento y una relevancia cada vez mayor en el entorno empresarial. A medida que los ciberataques evolucionaban y sus impactos en el ámbito económico y reputacional se hacían más evidentes, las organizaciones comenzaron a comprender que la protección de entorno digital y la seguridad de su información eran fundamentales para la supervivencia de la empresa. Los incidentes con un alto impacto, como pueden ser violaciones de datos masivas y ataques dirigidos a empresas líderes en diferentes sectores, demostraron claramente las devastadoras consecuencias que podían tener los ciberataques, tanto a nivel económico como a nivel reputacional. Ante esta realidad, las organizaciones comenzaron a invertir más en ciberseguridad y a valorar la necesidad de contar con expertos en la materia.
El CISO hoy en día
En la actualidad, la dependencia de las organizaciones de los datos y los sistemas de tecnología de la información es mayor que nunca. Esto ha llevado a un crecimiento significativo del papel del CISO en la lucha contra la creciente amenaza del cibercrimen. El CISO no solo se encarga de establecer políticas y procedimientos de seguridad, sino que también tiene la responsabilidad de garantizar la disponibilidad, confidencialidad e integridad de la información de la empresa. Además, debe fomentar una mentalidad orientada a la gestión de riesgos y mantenerse actualizado con las últimas tendencias y técnicas de ciberseguridad para hacer frente a los desafíos en constante evolución.
Dentro de la empresa, el CISO desempeña un papel crucial, cuyo éxito se basa en su capacidad para comunicarse y colaborar estrechamente con los líderes empresariales y la junta directiva. Esta figura debe asegurarse de que la seguridad cibernética se considere en la toma de decisiones estratégicas y promover una cultura de conciencia y responsabilidad en todos los niveles de la organización. Asimismo, el CISO debe integrarse en todos los niveles de la empresa, desde la alta dirección hasta los empleados de base, para garantizar que todos comprendan la importancia de la ciberseguridad y asuman su responsabilidad en la protección de los activos de la empresa.
La evolución de los ciberataques y la importancia de salvaguardar la información han convertido al CISO en una figura fundamental en las empresas modernas, ya que su enfoque se está volviendo más estratégico, trabajando en estrecha colaboración con la alta dirección para alinear la ciberseguridad con los objetivos de la empresa. Además, se espera que tengan un profundo conocimiento de las regulaciones y normativas relacionadas con la privacidad y la seguridad, así como la identificación y evaluación de los riesgos de seguridad y desarrollo de estrategias y protocolos orientadas a preservar la información y seguridad de la empresa de mitigación. En un mundo cada vez más interconectado y dependiente de la tecnología, es crucial promover la ciberseguridad en toda la organización. El papel del CISO va más allá de implementar medidas de seguridad; debe convertirse en un líder estratégico capaz de gestionar los riesgos y proteger los activos digitales de la empresa. La inversión en profesionales especializados en ciberseguridad y la adopción de una cultura de seguridad son fundamentales para garantizar la supervivencia y el éxito de las empresas en la era digital.
José Antonio Pinilla, CEO & Chairman Asseco Spain Group
