La transformación del rol del CISO es hoy una realidad. Así lo afirma Firas Atassi, CISO y DPO de SEUR, quien destaca que en los últimos años el perfil ha evolucionado desde una orientación eminentemente técnicahacia un liderazgo estratégico con influencia directa en las decisiones de negocio.

Según Atassi, el CISO debe abandonar la visión puramente tecnológica y adoptar un enfoque centrado en la gestión del riesgo y la resiliencia organizativa. “Para tener un impacto real en el Comité de Dirección, el CISO debe alejarse de la visión puramente técnica y adoptar un enfoque de gestión de riesgos y resiliencia”, explica.

Entre las competencias que considera imprescindibles, destaca cuatro pilares:

• “Visión y comprensión del negocio: entender cómo la tecnología facilita los procesos operativos y el cumplimiento de objetivos estratégicos.”
• “Capacidad de comunicación e influencia: el CISO debe ser un director de orquesta capaz de persuadir y sensibilizar a la Alta Dirección.”
• “Seniority y autoridad: no solo técnica, sino ejecutiva, para valorar los daños de pérdida de integridad o disponibilidad en términos de impacto financiero y reputacional.”
• “Sentido común y flexibilidad: la seguridad no puede ser un freno; debe adaptarse a la transformación digital para no lastrar la competitividad.”

El valor del trabajo colaborativo: “Trabajar en solitario es hoy una vulnerabilidad en sí misma”

Atassi subraya el papel decisivo que han adquirido los proyectos colaborativos de ISMS Forum, cuya influencia ha crecido de forma notable. En su opinión, el trabajo aislado dentro de la organización es un riesgo en sí mismo.

“La diferencia que marcan los proyectos colaborativos es radical”, afirma. Entre sus aportaciones señala que son auténticos aceleradores de cumplimiento, ya que “permiten aterrizar marcos teóricos complejos como NIS2, ENS o RGPD en procedimientos operativos aplicables y validados por la comunidad profesional”. Asimismo, resalta el valor del material “ready to implement”, que facilita la reutilización directa y la adopción de estándares de la industria.

Otro elemento diferencial es el entorno de cocreación multidisciplinar. “Facilitan el trabajo transversal entre CISOs, DPOs y expertos técnicos de distintos sectores, lo que enriquece la solución final”, añade.

Superar la desconfianza histórica: colaboración basada en confianza y anonimato

Ante la tradicional reticencia del sector a compartir información sensible, Atassi reconoce que aún existen barreras. “El miedo a exponer vulnerabilidades propias o comprometer información sensible de la empresa sigue siendo un freno”, señala.

Para superarlas, apuesta por mecanismos de intercambio voluntario, basados en relaciones de confianza y, cuando sea necesario, en el anonimato. “Crear redes de inteligencia global permite anticipar amenazas antes de que afecten a nuestra propia red”, afirma.

Exigencia regulatoria: la principal dificultad es pasar de la teoría a la práctica sin fricción

El volumen normativo (NIS2, DORA, protección del dato, notificaciones obligatorias) plantea desafíos significativos. En palabras de Atassi, “la mayor dificultad es la velocidad de la transformación digital frente a la intensidad del cambio normativo”. El reto, asegura, consiste en “pasar de la teoría legal a la implementación técnica sin paralizar la operación diaria”.

Una delas claves es integrar la seguridad desde el diseño y automatizar procesos para ganar eficiencia. “En SEUR hemos utilizado la IA para automatizar procesos derivados de estos modelos, ganando en escalabilidad y reduciendo la fricción operativa”, explica.

Riesgo de terceros: “Un modelo de evaluación debe ser aplicable, realista y no burocrático”

Atassi identifica el riesgo de terceros como uno de los principales vectores de ataque actuales. Por ello, considera esencial contar con modelos que aporten una evaluación realista y eficaz. En este contexto, destaca el valor del Modelo de Cuestionario Unificado de ISMS Forum.

Entre los elementos clave de este modelo, señala:

• “Escalabilidad: capacidad para evaluar grandes volúmenes de proveedores sin perder profundidad.”
• “Reducción de la subjetividad: homogeneizar criterios para que las auditorías sean trazables y comparables.”
• “Integración: el modelo debe estar embebido en los procesos de compras y en la gestión integral del ciclo de vida del proveedor.”

Atassi remarca que su adopción en SEUR ha tenido un impacto real: “El uso de este modelo no solo ha mejorado nuestra supervisión, sino que ha permitido a los proveedores elevar sus propios estándares de seguridad, creando un ecosistema logístico mucho más resiliente”.