Jorge Pascua - Technical Account Manager en Tanium

Lo primero que debe hacer un CISO es alinearse con los objetivos comerciales de la dirección de su empresa. Debe ser capaz de comprenderlos correctamente, siendo consciente de que son propios de cada organización y de cada departamento, para diseñar y adaptar su estrategia y, así, estar en línea con lo que se espera de sus indicadores (KPI).

El enfoque de dirección basado en los KPI implementados por el CISO debe ser global y poder aplicarse al número máximo de departamentos de la empresa, ya que, en caso de un enfoque por particularidades, se producirán demasiados silos en la empresa, lo que afectará tanto a la unidad, como a la fiabilidad y a la explotación de los resultados.

La elección de los indicadores es fundamental para llevar a cabo con éxito este proceso, que debe ser continuo en el tiempo. Cada empresa tiene sus propios indicadores pertinentes, ya que son inherentes a la actividad empresarial. Por ejemplo, en el sector de las finanzas o del comercio al por menor, el estándar PCI DSS es imprescindible y debe tenerse en cuenta, mientras que no será tan prioritario para una empresa que opera en la industria. Los países en los que la empresa vende pueden tener un gran impacto en la elección de los indicadores (DORA en Europa, Cloud Act en Estados Unidos, PIPL en China, etc.). Por tanto, el CISO debe elegir sus indicadores en función del scorecard de su empresa y de sus actividades. Recordemos que todos los indicadores deben ser SMART: Specific (específicos), Measurable (medibles), Achievable (alcanzables), Realistic (realistas) y Time-bound (de duración limitada).

Entre las preguntas que uno se debe plantear antes de elegir sus indicadores, es importante saber si el CISO rinde cuentas al departamento de TI o al Comité Ejecutivo (o a ambos simultáneamente). No todos tendrán las mismas necesidades en términos de indicadores.

Indicadores estratégicos y operacionales

Se pueden distinguir dos tipos principales de indicadores: los estratégicos y los operacionales. Los indicadores operacionales permiten un seguimiento progresivo y factual. Ofrecen medidas cuantificables. Por ejemplo, en ellos, se incluye el número de vulnerabilidades, el número de alertas de seguridad, el resultado de una prueba de intrusión o la frecuencia de actualizaciones, etc.

Por su parte, los indicadores estratégicos son igual de esenciales, pero se cuantifican menos fácilmente. Aunque también permiten un seguimiento en el tiempo, su principal característica es que se adaptan a los riesgos relacionados con la actividad empresarial. Es decir, que agrupan los riesgos más importantes a los que debe hacer frente la empresa. Obviamente estos riesgos difieren de una empresa a otra. Un Operador de Importancia Vital (OIV, por sus siglas en francés) no está sujeto a los mismos riesgos y presiones que una empresa que comercializa bienes de gran consumo. Un contexto geopolítico difícil, como la guerra de Ucrania, puede tener una gran influencia en los riesgos incurridos por una empresa presente en la región. Aunque este ejemplo pueda parecer evidente, existen otros elementos de contexto en los que, quizás, no pensemos en un primer momento. Por ejemplo, es posible que una empresa que está experimentando un importante éxito en un contexto social especialmente tenso vea aumentar su riesgo de ser atacada, ya que se va a convertir en un objetivo prioritario, ya sea para los cyberdelincuentes que buscan ganancias financieras, como para los activistas por razones ideológicas.

Apoyarse en los responsables de los indicadores

Otro elemento fundamental para gestionar bien el panel de indicadores es la noción de responsabilidad (accountable, en inglés). La responsabilidad no solo es importante para los resultados, sino también en los procesos de corrección. Cada indicador debe tener un responsable que se ocupará del seguimiento, de los informes, de los análisis y de las acciones. Y esto cambia en función del tipo de dato observado. Para los indicadores operacionales, esto se distribuirá entre los diferentes departamentos: seguridad, operaciones, infrastructura, etc., mientras que los indicadores estratégicos son competencia, en general, de la dirección general.

Es muy importante elegir adecuadamente a los responsables y apoyarse en ellos. Esto supone que el CISO sea capaz de comunicarse correctamente con los propietarios adecuados de cada indicador. Aquí vemos hasta qué punto es importante la comunicación en el papel del CISO.

Otro obstáculo que se debe evitar son las "listas no evaluadas". Cantidad no es sinónimos de calidad. Es importante identificar y enumerar las amenazas que son realmente pertinentes para la actividad de cada uno sin perderse en las amenazas que no merece la pena vigilar. Para ello, es necesario conocer bien la situación de cada uno, pero también la madurez y la cultura de la empresa en términos cibernéticos. Con estos elementos, será más fácil que el CISO elija sus indicadores.

Entre las ventajas del enfoque por KPI, los indicadores lideran y ayudan a romper los silos entre los diferentes departamentos. De hecho, muchos indicadores son de interés para varios equipos. Por tanto, uno de los objetivos para el CISO es implementar indicadores que permitan a los diferentes equipos llevar a cabo su trabajo correctamente. No hay que olvidar que el TI está al servicio del negocio.

El CISO es un director de orquesta, entre la dirección de riesgos y/o la dirección general, los responsables de la producción informática y el personal operativo que está al servicio del negocio.