El valor del CISO público
Reflexión sobre los desafíos y el valor del rol de CISO en instituciones públicas, donde se debe ser un departamento en sí mismo.
He podido vivir de cerca lo dulce y agraz de la vida de un humilde funcionario público, muchas veces donde la modernidad debe competir con la deuda tecnológica, muchas veces donde el cumplimiento es exigente versus la capacidad de implementación real de soluciones, y donde el presupuesto de seguridad debe competir con la operación.
Para ser un CISO público hay que saber primero de administración pública, luego conocer todas las leyes, normativas y decretos asociados al servicio en el que se está trabajando. Se debe conocer al revés y al derecho el Programa de Mejoramiento de Gestión PMG-SSI, entender el negocio que siempre es servir a los ciudadanos. Se debe tener alta capacidad de tolerancia a la frustración, aunque queramos los procesos tienen plazos un poco más extensos de lo que desearíamos. Se debe ser un líder, buen orador, cordial y tolerante, un auditor experto de sistemas, un analista de ciberseguridad con los mejores y últimos conocimientos en ciberamenazas, un ingeniero para poder planificar bien las actividades a través de extensas cartas Gantt, un articulador para ganar apoyos —siempre las organizaciones no serán de menos de 2.000 personas—, un experto en seguridad de la información, puesto que, aunque no sea culpa del CISO público, siempre será su culpa si ocurre algún incidente sin una correcta gestión.
También se debe ser un analista de riesgos para estimar cuál es el riesgo y su correcto tratamiento en base a su criticidad, un experto en gestión del cambio —puesto que si algo funciona relativamente normal, nadie va a querer cambiar algo—, también se debe tener la capacidad de poder innovar sin invertir, poder mejorar e intervenir sin dañar la operación.
El valor del CISO público es conocer todos los aspectos de la seguridad de la información, puesto que es un departamento en sí mismo.
Creo firmemente que el CISO público se debe crear como tal y se debe fortalecer. Los grandes esfuerzos deben estar en apoyar el rol, fortalecer los esfuerzos en capacitación y, sobre todo, crear comunidades donde los CISO públicos puedan compartir conocimiento. El valor del CISO es alinear la seguridad con la misión de la institución en términos prácticos.
Considero que en el Estado sí hay buenos profesionales; tengo la suerte de conocer a muchos. Los CISO públicos están para ayudar a mejorar la seguridad de la información de las instituciones, sin tanto flash y frases pomposas, por cambios reales con impacto real.