[10/06/2025] Los directores de seguridad de la información (CISO, por sus siglas en inglés) deben centrarse en tres áreas para aprovechar el aumento de la publicidad y el escrutinio y convertir la disrupción en una oportunidad, según Gartner, Inc. Estas tres áreas incluyen estar alineado con la misión, estar preparado para la innovación y ser ágil al cambio.
"Las organizaciones están realizando inversiones agresivas en tecnología para lograr sus objetivos, especialmente en áreas de vanguardia como GenAI", sostuvo Katell Thielemann, analista distinguido de Gartner, en el comunicado de prensa. "Los líderes no solo están apostando por GenAI y otras tecnologías exploratorias, también están preocupados por los riesgos de ciberseguridad asociados con ellos".
"Los incidentes cibernéticos asociados con la tecnología exploratoria ahora están afectando el resultado final, por lo que los ejecutivos están prestando atención a la ciberseguridad", agregó Leigh McMullen, analista distinguido y miembro de Gartner. "Convertirse en estudiosos del bombo publicitario realmente puede ayudar a los CISO a promover sus propias agendas bajo este escrutinio".
Los analistas describieron tres áreas clave para ayudar a anticipar las necesidades futuras de los CISO y permitirles satisfacer las necesidades de la compleja, rápida e impredecible realidad actual.
1. Estar alineado con la misión: Los CISO deben demostrar que sus esfuerzos de ciberseguridad están alineados con la misión de su organización, mostrando de manera transparente cómo deben funcionar juntas las decisiones de inversión cibernética y las implicaciones de exposición.
"Cuando las ambiciones de cambio están en su apogeo, los CISO necesitan basar a las personas en la realidad y los datos", anotó Thielemann.
Para lograr esto, los CISO deben comenzar por identificar métricas basadas en resultados (ODM, por sus siglas en inglés), o métricas que miden el nivel actual de protección y exposición a la ciberseguridad.
"Los ODM permiten a los CISO comunicarse de manera transparente y acordar los niveles de protección con la empresa", agregó McMullen. "Son una forma de expresar los niveles actuales de exposición e impulsar una conversación con las partes interesadas sobre sus objetivos deseados, ya sea la junta directiva, el CEO, el CIO o cualquier otra persona".
Una vez que se establecen los ODM, los CISO deben explorar los acuerdos de nivel de protección (PLA, por sus siglas en inglés), que se pueden utilizar para permitir la transparencia alineada con la misión. Los PLA son un acuerdo formal sobre la cantidad de dinero que la empresa está dispuesta a gastar para ofrecer un nivel deseado de protección de la ciberseguridad.
"Cuando los CISO se comunican en términos de niveles de protección y reducción de los niveles de exposición, es menos probable que se vean atrapados en la exageración de marketing de otra persona", dijo McMullen. "Esto eventualmente ayuda a los CISO a demostrar que sus esfuerzos de ciberseguridad están alineados con la misión de su organización".
2. Estar preparado para la innovación: De acuerdo a los analistas, los CISO deberían innovar con la IA en ciberseguridad, lo que en última instancia ayudará a las ambiciones generales de IA a largo plazo de una organización.
"La ciberseguridad debería ser el lugar donde muchas empresas comiencen a experimentar y encontrar valor real de la IA", comentó McMullen, y añadió que los CISO deben explorar tres pasos para hacer realidad las ambiciones de IA a largo plazo de su organización:
* Cultivar la alfabetización en IA para ellos y sus equipos.
* Experimentar con la IA en ciberseguridad, desde el análisis de código hasta la búsqueda y el modelado de amenazas, pasando por el análisis del comportamiento de los usuarios.
* Proteger las inversiones en IA en sus organizaciones mediante la adopción de medidas como la revisión de las políticas de retención de datos para proteger las solicitudes, el almacenamiento de entrada y salida; la implementación de evaluaciones de riesgos integrales para la GenAI personalizada; y la realización de auditorías de cumplimiento normativo.
3. Ser ágil en el cambio: Los CISO saben que la IA conlleva más riesgos de seguridad y que las amenazas internas asistidas por IA y la superficie de ataque aumentarán.
"La combinación de efectos es vertiginosa, por lo que vale la pena ser un estudioso del bombo publicitario cuando se trata de cambios", anotó Thielemann. "El cambio organizacional está impulsado y limitado por la exageración. Si los CISO entienden cómo fluye el bombo, pueden usar su energía a nuestro favor”.
"Una forma de aprovechar la exageración es 'Tomando una visión distanciada de las cosas cercanas'", continuó Thielemann. "Como CISO, es posible que vea mil iniciativas conflictivas acumulándose en su escritorio que le llegan de todas partes por desesperación corporativa. Como un estudioso del bombo publicitario, puede leer la energía del cambio y anticipar los flujos y reflujos en sus equipos y socios comerciales".
En una era en la que los empleados se resisten cada vez más al cambio e incluso temen a la IA, los CISO deben estar atentos al agotamiento de sus empleados, ya sea a través de sorpresas inesperadas, una sensación de falta de agencia o a través de tareas aburridas y repetitivas.
"Los CISOS deben ser capaces de empoderar a sus equipos para que sean parte de la solución y se sientan agenciados", indicó McMullen. "Si los equipos de CISO se sienten agenciados, querrán centrarse en la automatización de tareas repetitivas y en el desarrollo de nuevas habilidades para impulsar su crecimiento y el de ellos, lo que a su vez los convertirá en agentes de cambio resilientes sin importar cuál sea ese cambio".
Franca Cavassa, CTOPerú