¿Quién es el CISO y qué es CISO-as-a-Service?

En los últimos años nos hemos habituado a encontrarnos (y también a utilizar) un montón de siglas procedentes del inglés para referirnos a los puestos ejecutivos de cualquier empresa o compañía; que si CEO, que si CFO, que si CHO… En ciberseguridad no íbamos a ser menos, y nosotros tenemos al CISO.

Si ya estás intentando desentrañar el significado de la sigla, en efecto, puedes fijarte en las otras; así que estamos hablando de un director (chief officer), pero en este caso de cuestiones relacionadas con la seguridad de la información (information security). Resumiendo, el CISO sería el director de seguridad de la información, con la confidencialidad, integridad y disponibilidad de dicha información como principales tareas.

En la gran mayoría de las organizaciones empresariales (estamos pensando en las pymes, pero también en el caso de los trabajadores autónomos) esta figura no existe; y, probablemente, ni falta que hace. No porque las cuestiones relacionadas con la seguridad de la información no sean relevantes, que desde luego lo son, sino por la posibilidad de externalizar las tareas del CISO.

CISO-as-a-Service: un servicio de seguridad de la información externalizado

Eso es lo que ha dado en llamarse CISO-as-a-Service (CaaS) o, de una manera más técnica, proveedores de servicios gestionados de seguridad (o MSSP, del inglés Managed Security Service Providers): la contratación de un proveedor externo especializado en seguridad informática y gestión segura de información. Un experto en ciberseguridad, que se encarga de ello sea en forma de subcontrata o de seguridad gestionada.

Esta es una necesidad cada vez más acuciante, conforme los ataques informáticos aumentan en cantidad y calidad, y a medida que todos vamos cobramos consciencia de lo delicado que pueden ser los datos (personales, financieros, confidenciales, de terceros, etc.) con los que tratamos a diario. Y nos vamos dando cuenta de que nuestros “conocimientos de informática a nivel de usuario” no van a solucionarnos la papeleta. No cabe cerrar los ojos a esta realidad.

Por otra parte, debemos tener en cuenta que el mero cumplimiento con la normativa respecto a ciberseguridad y tratamiento de datos crece de forma constante y es cada día más exigente. Por ello, el CISO-as-a-Service va mucho más allá del mero soporte técnico de los sistemas y de la actualización constante frente a amenazas nuevas. También son esenciales la concienciación, la formación y el asesoramiento de las personas que trabajan en la empresa.

De manera que contar con un CISO externo o con CISO-as-a-Service es una de las necesidades más perentorias, y por ello más demandadas, de las empresas de cualquier tala y sector económico, pero es una solución especialmente eficaz, por su relación entre coste y rendimiento, para las organizaciones más modestas.