stock.adobe.com

La importancia del CISO y la profesionalización en ciberseguridad

El CISO debe tener una visión estratégica del negocio y formar parte de los consejos de administración y, en una modalidad externa “como servicio”, puede ayudar a las pymes a cuidar de su ciberseguridad.

En un mundo donde la tecnología y la información se han vuelto imprescindibles, la ciberseguridad se ha convertido en un tema en el que empresas de todos los tamaños deben poner atención, pero sobre entender que un tema tan vital no debe depender únicamente del área de TI. No contar con políticas de seguridad adecuadas afecta a toda la organización y puede llevarla a la quiebra, por lo que toma mayor preponderancia el papel de los directores de ciberseguridad o CISO (Chief Information Security Officer). Para conocer qué requiere este puesto, y sobre todo su profesionalización, platicamos con la especialista en ciberseguridad, Erika Mata.

Si algo conoce bien Erika Mata es la especialización en ciberseguridad. Ella tiene un doctorado en Ciencias especializado en Seguridad de la información, y actualmente es líder global de Cibersecuridad GRC en Hitachi Vantara, directora de Seguridad de la Información (CISO) de Bank of América México, instructora en diplomados de Seguridad de la Información y Ciberseguridad. Sin embargo, considera que en la academia aún no existe la oferta suficiente para cubrir y motivar al estudiante a estudiar este campo. “Hay especializaciones, cursos, maestrías y cursos en algunas carreras, pero carreras como tales no existen. Entonces sí, efectivamente, hay que motivar a los chavos a que estudien esto y no todo por (cursos en) YouTube”, señala.

Erika Mata

La experiencia de más de 20 años en seguridad de la información en el sector financiero que tiene la especialista le hace considerar que el rol del CISO ha ganado importancia en las empresas. Antes, este rol solía estar bajo la sombra del área de tecnología, pero hoy en día, debido a regulaciones y certificaciones, el CISO debe ser independiente de cualquier conflicto de interés y tener una visión estratégica del negocio, cuidando especialmente los riesgos relacionados con la seguridad.

Erika Mata menciona que el “CISO ya no solo debe estar a nivel de dirección, sino que debe ponerse a un especialista de ciberseguridad en los consejos de administración de las empresas para que así avancen juntos con la estrategia del negocio, más allá de la visión, la red, internet o el GPT”.

Por ello, la participación del CISO debe incorporarse desde un punto de vista más estratégico. “Ahora parece que lo táctico no funciona. Seguimos hablando de entre 85 % y 95 % de incidentes causados por personas y seguimos hablando de fierros. Se quiere comprar soluciones cuando se tiene problemas con la gente, y no estamos enfocándonos tanto el tema de la gente. Entonces, algo no estamos haciendo bien”, afirma.

Para alcanzar el nivel de profesionalización y consciencia necesarios es fundamental la educación, y no es necesario provenir del mundo de la tecnología para especializarse en ciberseguridad pues personas de diversas áreas pueden encontrar oportunidades en esta industria. Sin embargo, se requiere una preparación sólida, que incluya entender aspectos de negocios, finanzas, riesgos y, por supuesto, tener conocimientos de seguridad.

Erika Mata recomienda a los profesionales hacer un autoestudio “para ver si efectivamente hablo ‘riesgos’, hablo ‘finanzas’, hablo ‘negocio’ y hablo idioma de ‘personas’” y, sumado a eso, considerar que si “solo hablo guion y no he ido nunca a un consejo de administración, ni he presentado proyectos, ni llevo portafolios de estrategias, entre otras, no estoy listo y tengo que seguir estudiando y preparándome” para lograr tener experiencia y llegar a entender los lenguajes que manejan las diferentes áreas de un negocio. “Entonces puedes pensar, tal vez, en tener un siguiente nivel y buscar alguna posición más ejecutiva, alguna posición en un consejo. O si eres emprendedor, que es otra skill, poner tu consola”, aconseja.

El perfil de CISO emprendedor puede ayudar a las empresas a través de la modalidad de “CISO as a service”. La especialista menciona que las pymes pueden considerar contratar el servicio de un CISO externo como una opción para cuidar su seguridad de la información, ya que no siempre pueden contar con recursos internos para este rol. “Es una opción para que puedas hacerte de un CISO que ayude a caminar tu empresa, por muy pequeña que sea, en este mundo de riesgos, cuidando del negocio, la información de tus empleados y de los terceros”.

Optar por un servicio de CISO externo, por demanda, es una gran alternativa ante la escasez de recursos humanos especializados y permite ahorrar el alto costo de tener uno de planta.

El papel de la academia y las empresas

Para cerrar la brecha de especialistas en ciberseguridad, Erika Mata sugiere que tanto la academia como las empresas deberían trabajar más de cerca. Las universidades pueden ofrecer carreras especializadas en Ciberseguridad y promover programas que motiven a los jóvenes a explorar este campo. También es fundamental que las empresas establezcan planes de estudio actualizados que se adapten a las demandas cambiantes del mercado.

La experta resalta la importancia de integrar temas de ciberseguridad desde etapas tempranas de la educación, no solo en carreras STEM, sino en otras áreas también. Asimismo, menciona que ya se están realizando esfuerzos conjuntos entre asociaciones de profesionales y universidades para incentivar el interés en la ciberseguridad.

La ciberseguridad es un campo en constante evolución, por lo que es de vital importancia seguir preparándose y actualizándose constantemente. Los profesionales pueden buscar certificaciones, pero lo más relevante es tener experiencia práctica y habilidades multidisciplinarias para enfrentar los retos de seguridad en un mundo digital cada vez más complejo”, señala.

Respecto a los salarios de los CISO, Erika Mata menciona que los rangos pueden variar según la experiencia y la responsabilidad. El sueldo de un CISO puede oscilar entre 50 mil y 300 mil pesos al mes, dependiendo de la empresa y del perfil del profesional.

En conclusión, el rol del CISO y la ciberseguridad en general son aspectos fundamentales en el entorno empresarial actual. La profesionalización en esta área es crucial para garantizar la protección de la información y la continuidad del negocio en un mundo cada vez más conectado y vulnerable a los ataques cibernéticos.

Próximamente, Erika Mata estará presente en InfoSecurity 2023, que se realizará los días 4 y 5 de octubre en Centro Citibanamex de la Ciudad de México. El evento abordará diversas temáticas relacionadas con la seguridad, incluyendo tecnologías emergentes, tendencias, regulaciones y educación.

Investigue más sobre Gestión de la seguridad