Los directores de sistemas de información (CIO, en sus siglas en inglés) y los directores de sistemas de seguridad (CISO) operan en entornos muy estresantes que, en ocasiones, pueden provocar una tensión adicional en su relación, alejándoles de la consecución de resultados óptimos. En mi propia carrera, he sido CIO y CISO, así que tengo experiencia de primera mano con este tema desde ambas perspectivas. Calmar la situación para que la relación sea viable, saludable y respetuosa para ambas partes puede ser un reto, especialmente para los CISO, que a menudo dependen del CIO. Requiere comprender la presión y las prioridades de la función del otro, así como la forma de actuar de su interlocutor.
Una relación propensa a las tensiones
Para entender por qué hay una fricción natural entre los CIO y los CISO, hay que tener en cuenta las presiones y prioridades de cada uno. El papel del CIO está lleno de una multitud de actividades que exigen atención y tienen una gran visibilidad con la dirección ejecutiva y el consejo, que quieren ver al CIO en la parte superior de la agenda de TI.
Esa agenda, que es la razón de ser del CIO, es permitir la transformación y el crecimiento del negocio mediante el uso de la tecnología. Las principales partes interesadas de toda la empresa exigen cambios tecnológicos y experiencias positivas de los clientes a partir de estas plataformas, y el CIO es juzgado por su capacidad no sólo para ofrecer estas nuevas soluciones digitales, sino también para evitar que los procesos operativos se vean afectados por una interrupción del servicio.
Mientras tanto, el mandato del CISO es proteger a la empresa de amenazas externas. Sí, el CIO también se preocupa por esto, pero también se enfrentan a la presión de las partes interesadas del negocio cuando se trata de las compensaciones que pueden ser necesarias para proteger la empresa.
Estas compensaciones son puntos de tensión que se cruzan con las competencias del CISO, lo que pone de manifiesto el conflicto de prioridades entre ambas partes. Con el tiempo, estas situaciones (y la forma en que se gestionan y resuelven) pueden provocar fricciones reales entre las dos partes. Estas fricciones pueden ser manifiestas, mostrándose en público, o encubiertas, cuando están más ocultas a otros colegas o al propio CIO/CISO.
Puntos de presión habituales entre el CIO y el CISO
En toda empresa madura hay que aceptar los riesgos por el momento y aplazar su corrección. La aplicación de parches a las vulnerabilidades es un ejemplo en el que pueden surgir tensiones entre el CIO y el CISO.
En el caso de vulnerabilidades muy críticas que han sido explotadas, el CISO querrá que los parches se apliquen inmediatamente, y el CIO probablemente esté alineado con esta urgencia. Pero para los parches de nivel medio, el CIO puede estar bajo presión para aplazar estas interrupciones a los sistemas de producción, y puede presionar al CISO para que espere una semana o incluso meses antes de parchear.
La misma tensión existe para los programas que afectan a la experiencia digital del cliente. Por ejemplo, una nueva funcionalidad de autenticación multifactor requiere nuevas comunicaciones con el cliente y quizás la correspondiente interrupción a corto plazo del canal, algo que puede ser difícil de aceptar para la empresa.
O el CIO y el equipo de ingeniería pueden estar trabajando con unidades de negocio para facilitar nuevas funciones de cliente a través de una plataforma API. Desde la perspectiva del CISO, esas API deben gestionarse adecuadamente, e incluso someterse a pruebas de penetración, para garantizar que no crean un vector inesperado de pérdida de datos. El CISO querrá que se apliquen más controles, pero el CIO, aunque esté de acuerdo en principio, también debe satisfacer a las partes interesadas garantizando la entrega de la función, a menudo en un plazo breve.
La gestión de incidentes es otro campo propicio para la tensión. El CISO tiene un papel de liderazgo que desempeñar cuando se produce un incidente cibernético grave o una interrupción del negocio, y a menudo es el ‘mensajero’ que comparte las malas noticias. Naturalmente, el CIO quiere ser informado de inmediato, pero a menudo los detalles son escasos y con muchas incógnitas. Esto puede hacer que el CISO quede mal ante el CIO, ya que a menudo hay más preguntas que respuestas en esta primera etapa.
Un quinto ejemplo es DevOps, ya que muchos CIO, entre los que me incluyo, abogan por la entrega continua a gran velocidad. Desgraciadamente, no tantos CIO abogan por DevSecOps para integrar las pruebas de ciberseguridad en el proceso. Esto se debe quizás a que el CIO a menudo está bajo la presión de las partes interesadas ejecutivas para liberar nuevas compilaciones de software y así aceptar el riesgo de que pueda haber alguna iteración necesaria si esto no es perfecto. Mientras tanto, no muchos CISO provienen de un entorno de desarrollo de software, por lo que a menudo no se sienten cómodos participando y desafiando este proceso.
Cómo se relacionan los distintos arquetipos de CIO y CISO
Las anteriores áreas de fricción no tienen nada que ver con las personalidades del CIO y el CISO, un problema adicional de incompatibilidad que puede crear más tensión en la relación. Es probable que el CIO y el CISO hayan llegado a sus puestos a través de diferentes trayectorias profesionales y pueden tener un enfoque diferente de su trabajo. Algunos de estos arquetipos resultantes funcionan naturalmente mejor juntos, mientras que otros pueden chocar. Mi consejo aquí es que consideres cómo funciona tu contraparte, cuál es su estilo natural y cómo podrías abordar los posibles puntos de presión de manera diferente. Por ejemplo, un CIO empresarial o un CIO colaborador valorarán el compromiso de las partes interesadas como clave para el éxito. Si se empareja con un CISO técnico o un CISO transformacional, puede haber cierta incompatibilidad de enfoque.
Cómo gestionar esta tensión
Si se encuentra en una situación de elevada tensión entre el CIO y el CISO, o si reconoce que existe una divergencia natural entre sus enfoques, es importante que tanto el CIO como el CISO reconozcan este problema y estudien cómo conciliar sus diferencias.
En estas circunstancias, lo mejor es sentarse y discutir cómo trabajar juntos con respeto y teniendo en cuenta los objetivos empresariales. Algunos de los principios que se sugieren son:
- Adoptar una actitud que dé prioridad a la empresa.
- Comprender los beneficios empresariales de todas las acciones propuestas.
- Basarse en hechos.
- Ser transparente y honesto, pero nunca ofensivo.
- Buscar el beneficio mutuo.
Este enfoque puede no funcionar si ambas partes no están comprometidas con el cambio. En ese caso, puede ser necesario un reajuste, con la ayuda de un tercero o de un coach independiente que facilite la relación. Es de esperar que este reajuste pueda hacerse con algunos pequeños ajustes, sin que una o ambas partes se den por vencidas y abandonen la relación.
Una dosis saludable de tensión es buena para el CIO y el CISO en su trabajo diario. Pero hay que gestionarla para que no se convierta en un conflicto que se desborde y cree situaciones improductivas. Eso perjudicaría a ambas partes y al negocio en su conjunto.
