Director de Seguridad de Información: rol es más protagónico, pero ¿qué desafíos enfrenta?

¿Cómo avanza esta profesión en el país? El Socio de Consultoría de EY Perú, Elder Cama, indica que este es un rol que recién (uno o dos años) está tomando relevancia, impulsado a raíz de la pandemia del COVID-19 y un mayor número de ciberataques a las compañías.

Cabe mencionar que según Kaspersky, Perú reportó 123 ataques de malware bloqueados por minuto, solo por debajo de México (298 intentos).

Según dijo Cama, bajo esta coyuntura, el CISO empezó a tener un rol un poco más protagónico con algunas habilidades particulares siendo uno de ellos, que hable el idioma del negocio, para ser un puente de comunicación entre los temas técnicos y los negocios.

“Esa función hizo que empiece a tener mayor preponderancia en los últimos años. Antes el CISO era identificado como un ‘stopper’, es decir, era un profesional de TI (Tecnología e Información) que pedía nuevos requerimientos, todo lo veía riesgo, entonces las empresas decían que (los requerimientos) no se podía ver”, sostuvo el experto, al indicar que actualmente el sector financiero es el que más está demandando a estos profesionales.

LEA TAMBIÉN: Jefes de TI en Perú esperan ganar S/ 6,450 al mes ¿Qué otros beneficios buscan?

Detalló que actualmente las empresas están contratando a los CISO, un cambio importante debido a que ese cargo era tomado por el gerente o jefe de TI. “Pero ahora ya se entiende que es una función aparte, que es quien pone las reglas sobre seguridad de información o el manejo de ciberseguridad, y TI es la que lo ejecuta”, dijo.

Cama señala que aquí empieza a relucir los obstáculos que enfrenta este perfil, pues no todas las empresas “pueden darse el lujo de tener a un CISO y a un responsable de TI a la vez”. Así, dijo que muchas empresas no cuentan con el presupuesto para contratar a Director de Seguridad de Información. Además del presupuesto para contratar a este profesional, las empresas desconocen de los temas de seguridad informática.

Indica también que los CISOS anteriormente no estaban involucrados en los conceptos financieros del negocio en los que trabajaba, pero hoy sí. En tanto, desde existir la misma analogía en los trabajadores de otras carreras.

“Las personas en el área de negocios también deben entender algo de TI, no es necesario que se vuelvan especialistas, pero sí entender algunos conceptos”, apuntó.

¿Qué problemas enfrentan?

Los CISOS, cuyo rol ha empezado a cobrar importancia, también enfrentan dificultades para desarrollar sus actividades. La Encuesta Global de Seguridad de la Información 2021 Ciberseguridad: ¿Cómo mantenerse a flote en medio de una tormenta? elaborada por EY revela que a pesar de la creciente amenaza de ciberataques, el presupuesto de ciberseguridad es bajo en relación con el gasto total en el área de tecnología de información.

Aproximadamente, los encuestados obtuvieron ingresos promedio de US$ 11,000 millones el año pasado, mientras que gastaron un promedio de solo US$ 5.28 millones, o 0.05% del total, en ciberseguridad.

Agrega que un problema se relaciona con la forma de planificar y asignar el presupuesto, pues aproximadamente seis de cada 10 (61%) encuestados dijeron que su presupuesto de seguridad forma parte de un gasto corporativo más grande, mientras que en Perú la cifra fue mayor (64%).

LEA TAMBIÉN: Surgen nuevas formas de ciberataques a empresas: cómo protegerse

El informe señaló que muy pocas organizaciones definen sus presupuestos de seguridad como un costo variable y contingente de hacer negocios, por lo que los CISO pueden tener dificultades para escalar los esfuerzos de sus funciones en el contexto de iniciativas comerciales específicas y de rápida evolución.

“Un resultado inevitable de las restricciones presupuestarias es que los CISO toman decisiones difíciles y cancelan algunas de las actividades estratégicas que se habían puesto en marcha antes de que comenzara la crisis. Más de la mitad de empresas (56%) con presupuestos insuficientes nos dicen que han tenido que reajustar sus requisitos de ciberseguridad, y 44% dice que se han visto obligados a reducir costos al centrarse en su arquitectura y sistemas heredados”, señala el informe.

De igual manera, la encuesta señala que los CISO están luchando por hacerse oír, pues la mayoría de los encuestados (56%) admitió que los equipos de ciberseguridad no reciben consultas de otras áreas o se les consulta demasiado tarde cuando se toman decisiones estratégicas urgentes.

“En el peor de los casos, los CISO descubren que sus advertencias son ignoradas. En la encuesta de este año, 43% dice que está más preocupado que nunca por la capacidad de su empresa para gestionar las amenazas cibernéticas”, detalla el informe.

Otra dificultad, según el informe, es el hecho que para gestionar el riesgo cibernético asociado a la transformación estratégica, los CISO deben brindar asesoramiento en las primeras etapas de la toma de decisiones de inversión.

“Pero las relaciones entre ciberseguridad y otras áreas en el negocio, que son fundamentales para que dichas consultas se lleven a cabo, carecen de positividad y fuerza”, alerta el informe.

TE PUEDE INTERESAR:

• No solo un alto interés: los otros atractivos que ofrecen las cajas por depósitos a plazo
• Los riesgos en la economía tras amenaza en llegada de “El Niño costero”
• Desde este mes extranjeros tendrán mayor facilidad para abrir cuentas de ahorro en Perú
• Jornada laboral de cuatro días en España: ¿medida sería viable en Perú?