El papel del director de seguridad de la información (CISO) ha estado bajo un mayor escrutinio por parte de los reguladores en los últimos años. Esto es especialmente cierto en Estados Unidos, donde el ex CSO de Uber, Joe Sullivan, fue sentenciado a tres años de libertad condicional y a pagar una multa de 50.000 dólares en 2023 después de que una filtración en 2016 expusiera los datos de 56.000 usuarios de Uber. Ese mismo año, la Comisión de Bolsa y Valores (SEC) acusó a Timothy G. Brown, entonces CISO de SolarWinds, de fraude y fallas de control interno. En declaraciones a Infosecurity durante la Conferencia RSA 2024, Gerome Billois, socio de ciberseguridad y confianza digital de la consultora cibernética Wavestone, predijo que pronto podrían ocurrir casos similares en otras partes del mundo, particularmente en Europa. Sullivan, que ahora dirige su propia consultoría de seguridad, habló sobre su experiencia durante la Conferencia RSA. Él y sus compañeros panelistas Charles Blauner, presidente de Cyber ​​Aegis, y David Cross, vicepresidente senior y CISO de Oracle SaaS Cloud, compartieron recomendaciones para los CISO sobre cómo prevenir situaciones tan extremas y protegerse contra la presión legal. Gadi Evron, fundador de Knostic, reveló que inicialmente invitaron a Brown a unirse al panel, pero sus asesores legales lo convencieron de que no lo hiciera. Por qué los CISO se han convertido en «chivos expiatorios» Blauner dijo que la presión inducida por el aumento del cibercrimen está teniendo un efecto dominó en los CISO, lo que significa que el éxito en sus trabajos ya no lo evalúa sólo su empleador sino también los reguladores. “La tensión está llegando porque tenemos a estas entidades en el gobierno respondiendo al enorme aumento del cibercrimen. No es como en los viejos tiempos, cuando había un incidente y la mayoría de la gente no se daba cuenta. Cuando suceden cosas hoy, todo el mundo lo sabe”, dijo. Sullivan también señaló la Estrategia Nacional de Ciberseguridad de EE. UU. que pide “desviar la carga de la ciberseguridad de los individuos, las pequeñas empresas, los gobiernos locales y los operadores de infraestructura, a las organizaciones más capaces y mejor posicionadas para reducir los riesgos para todos nosotros”. .” Dijo que esta nueva política nacional es una de las razones por las que las empresas están bajo más presión para hacer frente a los incidentes cibernéticos. Esta presión luego se transmite a los CISO, CSO o gerentes y directores de ciberseguridad. Consejos de CISO para evitar sanciones legales Registre y documente todo Con los casos de acusación de CISO cada vez más comunes en los EE. UU., Oracle’s Cross dijo que lo primero que deben hacer los CISO es registrar y documentar todo para que puedan mostrar exactamente lo que sucedió cuando se les solicite. Recomendó conseguir por escrito la mayor cantidad posible de conversaciones internas y registrar cada paso dado por las organizaciones, antes, durante y después de un incidente cibernético. Check Where the Responsibility Lies Cross dijo que también es esencial que los CISO tengan documentación clara que defina las funciones y responsabilidades dentro de cada organización. Muy pocos miembros de la audiencia, que contaba con una proporción significativa de CISO, levantaron la mano cuando Cross les preguntó quién tenía documentación clara de su función y responsabilidad. Blauner afirmó que la cuestión de la responsabilidad también se puede resolver definiendo mejor el papel del CISO. “Todo el mundo sabe lo que hace un CEO o un CFO y cuál es su responsabilidad, pero nadie tiene una definición clara de qué es exactamente un CISO. Para la junta, son los directores de ciberseguridad. Para la SEC, son los directores de cumplimiento”, dijo. Las organizaciones podrían comenzar a definir el papel de los CISO respondiendo tres preguntas fundamentales: ¿Tiene el CISO un asiento en la junta? ¿Es el CISO un asesor, un gerente o un director? ¿Puede el CISO gestionar su propio presupuesto o se le asigna un presupuesto sin poder opinar? “Sean cuales sean las respuestas que su organización decida dar, tenga en cuenta que los CISO no son líderes empresariales. Líderes de seguridad, asesores de riesgos, tal vez, pero no líderes empresariales. Por ejemplo, tengamos o no influencia sobre nuestro presupuesto, no tomamos la decisión final sobre cuánto se asignará a seguridad. El CEO y el CFO sí lo hacen”, añadió Blauner. Sullivan también insistió en que en la mayoría de los casos de acusación de CISO, los cargos no se referían tanto a la seguridad sino a fallas de comunicación. “Tanto en mi caso en Uber como en el caso de SolarWinds, el enfoque del regulador estaba en lo que decían las empresas, lo que prometieron en términos de ciberseguridad”, explicó. Es por eso que los CISO deben asegurarse de examinar cualquier compromiso relacionado con la seguridad asumido por sus organizaciones, y hacerlo antes de que ocurra un incidente. Billois le dijo a Infosecurity que los CISO han comenzado a analizar cualquier documento oficial que publique su organización que pueda abordar compromisos y promesas de seguridad. “Tomemos, por ejemplo, los informes comerciales anuales. Antes no se mencionaba la seguridad en ellos. Luego, hace unos años, las personas que escribieron esos documentos comenzaron a agregar algunas líneas sobre cibernética, pero en la mayoría de los casos, sin hablar con el CISO. Ahora los CISO deben involucrarse con estas declaraciones porque tendrán que rendir cuentas por ellas”, explicó. Sullivan también enfatizó que los CISO deben «prestar atención a cualquier declaración que su empresa emita sobre seguridad y privacidad, y cuestionarla si no están alineados con ella». Obtenga representación legal independiente a nivel de la junta directiva Blauner argumentó que, dado que los reguladores estadounidenses cargan la responsabilidad individual de los CISO, es hora de que los CISO obtengan representación legal individual y un seguro individual a nivel de la junta directiva. “Esta es una práctica estándar para otros roles ejecutivos y también debería ser válida para los CISO. Preferiblemente deberían hacerlo antes de que ocurra un incidente”, dijo. Señaló la Guía de riesgos y responsabilidades legales del CISO de Team8 y el contenido de la Red de innovación en seguridad (SINET) como recursos valiosos para comenzar. No lo convierta en una obsesión A lo largo de la sesión, Sullivan insistió en que, aunque los CISO deberían estar preparados para ser investigados, protegerse a sí mismos no debería ser su obsesión. “Hasta ahora sólo ha habido unas pocas acusaciones contra CISO y ninguno de ellos fue a la cárcel. Estos riesgos no deberían ser una prioridad”, afirmó.