Dos barreras separan al Chief Information Security Officer (CISO) del directorio empresarial. Una es idiomática y, la otra tiene que ver con el legítimo interés que, la seguridad informática, puede despertar en los líderes de una organización. ¿Es una relación irreconciliable?
Martín Elizalde, Máster en Leyes por el Washington College of Law, fundador de Foresenics (Argentina) y Docente de la Maestría en Gestión de la Seguridad de la Información de la UDLA, responde esta inquietud.
¿Hay forma de que el CISO y el directorio hablen el mismo idioma?
El CISO habla un idioma que la junta de directores no entiende. Los informes deben ser lo más amigables posibles. A nadie le gusta 20 hojas de gráficos, las palabras técnicas deben ser cambiadas, en medida de lo posible, por términos coloquiales y, cuando sea prudente recordarles la cantidad de dinero que van a perder.
Precisamente, el riesgo de pérdidas financieras, ¿puede ser una forma de despertar el interés de los directivos de una compañía?
Si una empresa tiene un incidente de pérdida de data de terceros, no solo tendrá un costo tangible en investigaciones, evaluaciones, reparación de daños, mejora de sistemas, equipos forenses, abogados -que son carísimos-, además tendrá una pérdida en lo intangible. Esto, porque su reputación se verá afectada, lo que trae una consecuencia a largo plazo. No solo se trata de la pérdida de clientes por el daño reputacional, sino que les será mucho más difícil conseguir o seducir nuevos consumidores, si toda la data comercial está dando vueltas en la web y asocian ese hecho con negligencia del directorio.
¿Qué otra herramienta puede ser útil para convencer al directorio de la importancia de la seguridad de información en una empresa?
El CISO debe conocer sobre la regulación aplicable tras un incidente informático, que suele ser muy severa. Porque todos los países, incluso Ecuador, están penalizando, cada vez más, las pérdidas de información y regulando las consecuencias económicas que esa pérdida implica. Entonces, el CISO, armado de ese conocimiento, tiene que transmitir al directorio de la manera más simple y coloquial, las consecuencias económicas que tendrá un incidente de seguridad, que va más allá de la pérdida de información.
Entonces, ¿el CISO debe aprender sobre leyes?
Conocer sobre regulación es una de las bases sobre la cual se asienta el nuevo rol del CISO, lo que hasta hace unos años habría sido surrealista. El CISO tenía esa aversión por la regulación, hoy tenemos que saber sobre el tema, por ejemplo, en qué casos se aplica la regulación europea de protección de datos o sobre la nueva regulación de protección de datos personales, que se aplicará en Ecuador, que, a mi parecer, es una ley bastante robusta.
Sobre Martín Elizalde
Ha trabajado en Estados Unidos, Perú y Argentina. Fundó Foresenics en 2010 que es un mix de derecho y tecnología con operaciones en 10 países de la región. Es socio estratégico del American Intelligence Group y Senior Consultant de The Berkeley Research Group.
Conoce más sobre Maestría en Gestión de la Seguridad de la Información.
