El rol del Chief Information Security Officer (CISO) está experimentando una transformación profunda. Ya no basta con proteger sistemas, redes y datos; ahora se espera que los líderes de seguridad comprendan y gestionen el impacto de las ciberamenazas en los ingresos, las operaciones y la estrategia corporativa. Doug Kersten, veterano responsable de seguridad de Appfire, lo experimenta en primera persona: su cargo se ha expandido para incluir la evaluación del riesgo empresarial, analizando cómo las herramientas de seguridad integradas en productos y servicios afectan los costes y la rentabilidad. "Los CISO deben aportar información y soluciones sobre el impacto del coste de la seguridad, porque estos costes, a menudo ocultos, tienen un efecto negativo en la rentabilidad", afirma Kersten. Y añade: "Suelen ser pasados por alto por los equipos financieros al analizar el coste real de los bienes vendidos".

Esta tendencia no es aislada. Dale Hoak, CISO de RegScale, señala que "la distinción entre riesgo de negocio y el de seguridad es cada vez más difusa". Los CISO deben actuar como líderes de riesgo a nivel corporativo, asesorando a la dirección sobre cómo las decisiones de seguridad afectan a los objetivos de negocio. A continuación, seis estrategias compartidas por expertos para dominar esta nueva dimensión.

1. Colaborar con los responsables del riesgo empresarial

Roland Palmer, CISO de JumpCloud, aún no domina completamente el riesgo empresarial, por lo que colabora con áreas como legal, finanzas y marketing, además del COO. "Formamos un gran equipo para entender el riesgo y el apetito de riesgo de la organización", comenta. Kersten aplica un enfoque similar: diseñó un programa que asigna riesgos de seguridad a responsables de negocio. "Seguridad les ayuda a entender los riesgos inherentes al área, pero ellos también nos trasladan los riesgos empresariales asociados", explica. Esta colaboración ha permitido identificar riesgos previamente desconocidos.

2. Alinear la ciberseguridad con los objetivos de negocio

Kersten incorpora los objetivos y resultados clave (OKR) corporativos en su estrategia de seguridad. "Desarrollo planes para abordar esos objetivos y resultados clave de negocio. Sigo teniendo un nivel paralelo de riesgo de seguridad, gestionado por el equipo de seguridad, que no desaparece. Pero sobre eso se superponen los OKR de negocio que debo ejecutar", detalla. Por ejemplo, ahora analiza cómo las acciones de seguridad afectan a la satisfacción de los empleados y la retención del talento. Richard Watson, de EY, recomienda "mapear los controles de ciberseguridad con los activos críticos y los procesos de negocio, y vincularlos con su impacto financiero potencial". Esto permite traducir la exposición técnica a términos de negocio y priorizar inversiones.

3. Apostar por el networking y las relaciones

Gary Hayslip, coautor de The CISO Desk Reference Guide, destaca el valor de las conversaciones regulares con responsables de negocio y las "giras de escucha". "Lo hago en cada puesto porque es importante entender sus objetivos, las tecnologías que utilizan, los proyectos en marcha, los problemas con el programa de seguridad y, en última instancia, lo que realmente les preocupa". Hoak coincide: "El riesgo empresarial no puede gestionarse de forma aislada. Los CISO deben interactuar regularmente con el CFO, el COO, el asesor jurídico, el chief risk officer, los responsables de producto y los ejecutivos de negocio". Estas conversaciones aportan visibilidad sobre riesgos emergentes y permiten que la seguridad forme parte de la planificación estratégica.

4. Realizar ejercicios de simulación centrados en el riesgo empresarial

Según Hayslip, la mayoría de los ejercicios de simulación se quedan en el plano técnico. Él propone escenarios que obliguen a los directivos a tomar decisiones reales: pagar o no un rescate, qué y cuándo comunicar en caso de brecha, cómo gestionar a los clientes o quién debe activar mecanismos legales. "Estos escenarios permiten poner a prueba la respuesta de la organización y entender cómo toman decisiones los ejecutivos bajo presión", afirma. Este tipo de simulaciones son una oportunidad estructurada para profundizar en el riesgo empresarial.

5. Formarse en riesgo empresarial

Sean Murphy, CISO de BECU, obtuvo la certificación Directorship Certification de la National Association of Corporate Directors, que le "ayuda a entender qué preocupa al consejo y su forma de ver el riesgo, lo que puedo trasladar a mi equipo". Hayslip recomienda "analizar el informe anual, las presentaciones a inversores y las transcripciones de resultados para entender cómo la empresa genera ingresos y cuáles son sus riesgos clave". Murphy reconoce que "puede ser tedioso, pero no se puede priorizar la protección del negocio si no se sabe qué partes son críticas".

6. Integrar la seguridad en la gestión de riesgos empresariales

Scott Melchior, de ISACA, explica que "el ciberriesgo es hoy un peligro existencial para el negocio, no sólo un riesgo tecnológico. La infraestructura digital es infraestructura de negocio". Hoak subraya la necesidad de integrar el riesgo cibernético con los riesgos financieros, operativos, legales y estratégicos, creando un marco común. Hayslip ya lo ha aplicado integrando el registro de riesgos de seguridad en la plataforma ERM de la organización. "El objetivo es que el riesgo cibernético se sitúe al mismo nivel que otros riesgos empresariales", afirma, y para ello es clave cuantificarlo en términos financieros y de probabilidad.

Esta transformación del rol del CISO es un reflejo de cómo la ciberseguridad se ha convertido en un pilar estratégico. Para las empresas, contar con un CISO que domine el riesgo empresarial no es un lujo, sino una necesidad. Como señalamos en nuestro análisis sobre Accenture Edge, la democratización de la IA también exige nuevos enfoques de seguridad. Y en el trinomio IA, calidad y ciberseguridad, el riesgo empresarial es el hilo conductor. Herramientas como Nx Polygraph y la innovación pragmática de Tokiota muestran cómo la tecnología y la seguridad deben converger. Incluso en entornos virtualizados, como detalla nuestra guía de seguridad para Proxmox, la gestión del riesgo es fundamental.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.