Llegamos a ustedes gracias a:



Reportajes y análisis

6 signos de que la relación CIO-CISO está rota -y cómo arreglarla

[28/06/2019] Mark Thomas tuvo problemas cuando era un CIO con un CISO que le informaba, ya que ambos tropezaron con lo que podrían haber sido consideradas como prioridades conflictivas.

Los dos elaboraron un plan para superar la discordia, señala Thomas. Desarrollaron un conjunto de normas comunes para ayudarles a comunicarse y a alcanzar objetivos comunes. Thomas lo consideraba una versión ejecutiva de middleware.

"Nos dio una terminología y objetivos comunes. Alinearon nuestros objetivos", comenta Thomas. "Ese fue un buen punto de partida para romper nuestros silos".

Thomas, ahora presidente de Escoute Consulting, que se centra en el gobierno de las TI de la empresa, señala que fue importante salir de la crisis de comunicación entre él y la CISO, porque considera que la relación es una asociación crucial para el éxito de la empresa.

Sin embargo, él y otros dicen que es común, y en muchos sentidos esperado, que los CIOs y los CISOs se toquen la cabeza. Tienen diferentes objetivos que se enfrentan entre sí: Los CIOs se esfuerzan por ofrecer servicios consistentes y confiables lo más rápido posible, mientras que los CISOs buscan ofrecer esos servicios de manera segura.

"Pero tienen que trabajar en armonía, construir la estructura de equipo adecuada y promover la cultura adecuada. Y tienen que trabajar juntos por el bien común de la organización", anota George Moraetes, consultor de seguridad y CISO interino de su firma Securityminders LLC.

Cuando no lo hacen, la organización corre el riesgo de obtener servicios tecnológicos más lentos y menos seguros, y una transformación digital limitada en general.

Señales de problemas

Hay muchos signos reveladores de problemas en la relación CIO-CISO, según ejecutivos experimentados, investigadores y consultores de gestión. Entre ellas se incluyen

1. Falta de respeto. Los ejecutivos (y, como resultado, sus gerentes y personal) hacen caso omiso de los consejos de los demás, hacen caso omiso de las solicitudes de cooperación, desestiman las opiniones de los demás, emiten órdenes de obediencia en lugar de llamamientos a la colaboración, y se niegan a compartir información.

2. No hay una delimitación clara de las responsabilidades. Especialmente en áreas donde la tecnología y la seguridad se superponen, la falta de claridad en torno a las funciones y responsabilidades puede llevar a batallas por el territorio, o a que ninguna de las partes se apropie de los proyectos.

3. Alta rotación. Una alta tasa de rotación, particularmente en cualquiera de los puestos ejecutivos, pero también en puestos de personal dentro de ambos departamentos, podría indicar un ambiente de trabajo tóxico que puede (pero no exclusivamente) provenir de problemas en la cúspide.

4. Una mentalidad de nosotros contra la de ellos. Este enfoque de confrontación fomenta una relación de trabajo obstructiva, en lugar de una de colaboración.

5.Falta de hacer el trabajo. Los plazos incumplidos, los proyectos incompletos o las solicitudes de aportaciones ignoradas en las que los equipos de TI y de seguridad necesitan coordinar, todo pueden dar lugar a que el trabajo no se lleve a cabo.

6. Frecuencia o aumento del tiempo de inactividad. En particular, el tiempo de inactividad imprevisto debido a las necesidades de seguridad podría indicar que la comunicación y la coordinación entre los dos equipos son incoherentes o inexistentes.

Falta de relación con los compañeros

Varios factores pueden llevar a una relación problemática CIO-CISO que se manifiesta en malos comportamientos como los que se acaban de enumerar. Las personas que desempeñan esos papeles pueden ser particularmente egocéntricas. Puede que no se gusten y no puedan superar los malos sentimientos. O no saben -y no les importa- las presiones a las que se enfrenta el otro.

Pero a menudo una relación problemática entre CIO-CISO se deriva de un desequilibrio en las posiciones, según múltiples expertos.

Dicen que el CIO y el CISO deben estar en pie de igualdad dentro de una organización, con cada uno involucrado en la planificación estratégica.

Ese es el caso en muchas organizaciones, pero no en todas. La Encuesta sobre el estado mundial de la seguridad de la información de PwC del 2018 reveló que el 40% de los principales ejecutivos de seguridad de la información informaban al CEO, el 27% informaban directamente a la junta directiva, y el 24% informaban al CIO.

De manera similar, la Encuesta Mundial sobre Seguridad de la Información 2018-2019 encontró que el 40% de las organizaciones cargan a sus CIOs (no a los CISOs) con la responsabilidad final de la seguridad de la información.

Arreglos de relación

Una relación problemática CIO-CISO puede ser reparada si está dispuesto a hacer el trabajo. Los expertos con los que hablamos ofrecen los siguientes pasos que los ejecutivos pueden tomar para ayudar a superar el des alineamiento, los conflictos profesionales e incluso la animosidad.

1. Haga que los CISOs y CIOs sean pares. Haga que los CISOs se presenten al CEO y/o a la junta directiva para que los requisitos de seguridad se entiendan claramente y reciban la misma consideración en la planificación estratégica. "Si quiere que la seguridad sea importante para su organización, va a tener que darle al CISO un puesto en la mesa, y ellos van a reportar al CEO, CFO o al consejo general. Deben sentarse a la mesa, al lado y no detrás del CIO", señala Alexis Culp, director de ingeniería de Apollo Information Systems, y miembro activo de Women in CyberSecurity (WiCyS).

2. Establecer presupuestos de seguridad y niveles de personal independientes del presupuesto del CIO y de los planes de TI. Esto ayuda aún más a crear igualdad entre los departamentos de TI y seguridad, y también tiene más sentido, anota Tony Scott, CEO de la firma de consultoría estratégica TonyScottGroup, ex CIO del Gobierno de Estados Unidos, y Presidente de la Junta de Embajadores de SPJ. "Las mejores organizaciones adoptan un enfoque de la ciberseguridad basado en el riesgo, y toman decisiones activas sobre los riesgos que aceptarán y contra los que pondrán recursos. Esto repercute en el presupuesto y el número de empleados, y en la mayoría de las organizaciones que tienen poca o ninguna relación con el gasto de TI. Así que siempre he estado a favor de considerar estos dos puntos por separado", añade.

3. Establecer una clara comprensión de las responsabilidades. Especialmente en áreas donde la TI y la seguridad se superponen y requieren colaboración, es fundamental que las funciones y responsabilidades de CIO y CISO sean claras. "El objetivo es tener una relación de trabajo sin fisuras, en la que los roles y los procesos correspondientes estén bien definidos y comprendidos", afirma Frank Kim, fundador de ThinkSec, una empresa de consultoría de seguridad y asesoramiento CISO, e instructor senior del SANS Institute.

4. Involucrar al CIO y al CISO en el proceso de planificación estratégica de la organización. Esto da a ambos equipos un único objetivo común hacia el cual pueden trabajar, asegurando la alineación. "La TI y la seguridad deben tener una visión compartida de la tecnología que se adapte a los diferentes impulsores del negocio", anota Kim, señalando que este enfoque ayuda a garantizar que no se minimice el objetivo de ninguno de los dos equipos.

5. Requerir que los CISOs y CIOs dominen las habilidades ejecutivas. No es suficiente que estos líderes tengan experiencia en el campo; también deben ser ejecutivos fuertes y capacitados en pensamiento estratégico, negociación, comunicación y construcción de relaciones. "Y es necesario conocer a la otra persona a nivel personal si se va a trabajar día tras día juntos", señala Robert LaMagna-Reiter, CISO de FNTS, una compañía global de estrategia de TI y servicios gestionados.

6. Entender el trabajo del otro y sus objetivos. "Tanto el CIO como el CISO tienen que conocer el mundo del otro, de lo contrario hay politiquería y animosidad. Tienen que ser maestros y mentores unos de otros", señala Moraetes. Cuando uno tiene una apreciación más informada de lo que el otro debe lograr para tener éxito, ambos están en mejores condiciones de identificar prioridades comunes y acordar compromisos. Por ejemplo, Moraetes anota que el CIO de uno de sus clientes corporativos recurrió a arquitectos de seguridad para trabajar en una iniciativa de gestión de identidades y accesos que estaba sobrecargando las TI, una asociación que ayudó a convertir el proyecto en una victoria para ambos departamentos, y para la empresa en su conjunto.

7. Emplee entrenamiento ejecutivo. Scott indica que los servicios de coaching y las revisiones de 360 grados pueden ser particularmente efectivos en la construcción de relaciones fuertes. "A veces un facilitador externo tiene que venir y ayudar a los dos a ser mejores colaboradores. En la mayoría de los casos ayudan a señalar dónde hay problemas, pero también ayudan a fomentar un entorno más colaborativo desde el principio", agrega.

8. Dar un paso al costado. Los expertos dicen que hay momentos en los que la relación CIO-CISO es irreparable, y es mejor alejarse que dejar que la situación ponga en peligro el éxito de la organización. "En casos extremos, uno u otro tiene que irse", señala Scott. Culp dice que ha visto situaciones en las que el CIO y otros miembros del equipo ejecutivo simplemente no respetaron la experiencia de la CISO ni valoraron la seguridad en su conjunto. En uno de estos casos, el CISO vio a la compañía renegar de la financiación de iniciativas de seguridad clave, un escenario que el CISO creía que ponía a la compañía en un riesgo significativo y la reputación del individuo en juego, por lo que el CISO renunció.