Históricamente, el director de seguridad de la información (CISO) ha sido el guardián de los datos, redes y sistemas. Sin embargo, el entorno empresarial actual exige una transformación radical de este rol. Doug Kersten, CISO de Appfire, lo experimenta en primera persona: su responsabilidad se ha expandido para incluir el impacto financiero de las decisiones de seguridad en los productos y servicios, afectando directamente la rentabilidad. Este cambio no es aislado; cada vez más líderes de seguridad deben dominar el riesgo empresarial para asesorar a la alta dirección sobre cómo las ciberamenazas impactan en ingresos, operaciones, confianza del cliente y objetivos estratégicos.

Como señala Dale Hoak, CISO de RegScale, “la distinción entre riesgo de negocio y de seguridad es cada vez más difusa”. Los CISO deben actuar como líderes de riesgo a nivel corporativo, capaces de traducir la exposición técnica en términos de negocio. A continuación, seis estrategias de expertos para lograrlo, complementadas con nuestro análisis previo sobre la redefinición del rol del CISO.

1. Colaborar con los responsables del riesgo empresarial

Roland Palmer, CISO de JumpCloud, aún no domina completamente el riesgo empresarial, pero colabora estrechamente con los responsables de legal, finanzas, marketing y el COO. “Formamos un gran equipo para entender el riesgo y el apetito de riesgo de la organización”, afirma. Kersten va más allá: diseñó un programa que asigna riesgos de seguridad a responsables de negocio, permitiendo que ambas partes compartan riesgos inherentes y empresariales, identificando incluso peligros previamente desconocidos.

2. Alinear la ciberseguridad con los objetivos de negocio

Kersten integra los objetivos y resultados clave (OKR) corporativos en su estrategia de seguridad. “Desarrollo planes para abordar esos OKR de negocio. Sobre eso se superponen los riesgos de seguridad, pero el enfoque ha cambiado nuestra forma de entender el riesgo”. Por ejemplo, ahora analiza cómo las acciones de seguridad afectan la satisfacción y retención del talento, un riesgo empresarial identificado por RR.HH. Richard Watson, de EY, recomienda “mapear los controles de ciberseguridad con activos críticos y procesos de negocio, vinculándolos con su impacto financiero potencial”. Esto permite priorizar inversiones en términos de negocio.

3. Apostar por el networking y las relaciones

Gary Hayslip, coautor de The CISO Desk Reference Guide, recomienda “giras de escucha” para entender las preocupaciones reales de los líderes de negocio. “Lo hago en cada puesto porque es importante entender sus objetivos, tecnologías y proyectos”. Hoak coincide: “El riesgo empresarial no puede gestionarse de forma aislada. Los CISO deben interactuar regularmente con el CFO, COO, asesor jurídico y chief risk officer”. Estas conversaciones aportan visibilidad sobre riesgos emergentes y permiten que la seguridad forme parte de la planificación estratégica.

4. Realizar ejercicios de simulación centrados en el riesgo empresarial

Según Hayslip, la mayoría de los ejercicios de simulación se quedan en lo técnico. Él propone escenarios que obliguen a los directivos a tomar decisiones reales: pagar o no un rescate, qué comunicar en caso de brecha, cómo gestionar clientes o activar planes de contingencia. “Estos escenarios ponen a prueba la respuesta de la organización y revelan cómo los ejecutivos toman decisiones bajo presión”.

5. Formarse en riesgo empresarial

Sean Murphy, CISO de BECU, obtuvo la certificación Directorship Certification de la National Association of Corporate Directors, que le ayuda a entender qué preocupa al consejo y cómo ven el riesgo. “Me proporciona una visión ejecutiva del negocio, más allá del enfoque técnico”. Hayslip recomienda analizar el informe anual, presentaciones a inversores y transcripciones de resultados para comprender cómo la empresa genera ingresos y cuáles son sus riesgos clave. “No se puede priorizar la protección del negocio si no se sabe qué partes son críticas”, añade Murphy.

6. Integrar la seguridad en la gestión de riesgos empresariales

Scott Melchior, de ISACA, afirma: “El ciberriesgo es hoy un peligro existencial para el negocio, no solo un riesgo tecnológico”. Hoak subraya la necesidad de integrar el riesgo cibernético con los riesgos financieros, operativos, legales y estratégicos en un marco común. Hayslip ya lo ha aplicado integrando el registro de riesgos de seguridad en la plataforma ERM de la organización. “El objetivo es que el riesgo cibernético se sitúe al mismo nivel que otros riesgos empresariales, cuantificándolo en términos financieros y de probabilidad”.

Estas seis estrategias muestran que el CISO moderno debe ser un arquitecto del riesgo empresarial, capaz de tender puentes entre la seguridad y el negocio. Para profundizar en cómo la exposición en tiempo real está redefiniendo la ciberseguridad empresarial, te invitamos a leer nuestro artículo sobre gestión de exposición en vivo. Además, la integración de IA y ciberseguridad será clave en 2026, como exploramos en IA, calidad y ciberseguridad: el trinomio que redefinirá el desarrollo de software.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.