Stefano Gazzella : 4 septiembre 2025 07:40
Gestionar la seguridad no es nada sencillo; no es algo que se pueda estandarizar y, sobre todo, no se puede lograr con «soluciones». Requiere planificación, análisis y la capacidad de tener una visión holística, y sobre todo, perseguir los objetivos de mantener los datos y sistemas en un nivel aceptable de seguridad. Las causas más comunes de las crisis son la discrepancia entre lo que se ha hecho y lo que se desea hacer, o, peor aún, lo que se cree haber hecho. En resumen: tanto la situación en la que los desiderata son inalcanzables en la práctica como la situación en la que nos engañamos creyendo estar seguros son la fuente de muchos de los problemas que se encuentran en organizaciones de todos los tamaños.
Por esta razón, existen roles —o mejor dicho, oficinas— que se encargan no solo de una especie de control de la gestión de la seguridad, sino también, y sobre todo, de la asesoría continua de gestión para contrarrestar diversos tipos de alucinaciones. Entre ellas, la llamada seguridad en papel. Es decir, seguridad escrita que nunca se implementa, donde se cree que el formalismo puede proteger contra las acciones de cualquier actor de amenazas.
Estos roles son el CISO y el DPO. El primero tiene un alcance significativamente más amplio, mientras que el segundo se centra en la gestión de datos personales, incluida la seguridad. La correlación entre la privacidad y la seguridad de los datos es recurrente en la mayoría de las regulaciones, sistemas de gestión y la experiencia práctica de las organizaciones.
Sin embargo, lo que se necesita es que los CISO y los DPO sepan operar como un equipo en la gestión de la seguridad, en lugar de competir. Esto es cierto incluso cuando las funciones son externas y buscan ventas adicionales. Pero ¿sabe la gerencia cómo emplearlas y, sobre todo, cómo verificar la precisión de sus acciones? Este es el punto delicado. A menudo, se recurre a un CISO por simple gusto, o a un DPO por obligación. Pero rara vez sabemos la respuesta a la pregunta de si están haciendo bien su trabajo, y nos conformamos con informes periódicos y unas cuantas diapositivas para justificar su remuneración.
Aclaremos un malentendido: tanto el CISO como el DPO pueden ser monitorizados, y esto no compromete su contribución, ya sea interna o externa. Como todo órgano organizativo, incluido el Consejo de Supervisión, deben demostrar que han cumplido con sus obligaciones contractuales, así como con las tareas requeridas para el desempeño de sus funciones. Algunos podrían argumentar —de hecho, lo han hecho— que esto compromete la independencia de la función, aumentando la sensación de «nadie puede juzgarme». Están profundamente equivocados. Porque lo que no se puede cuestionar es el margen de discreción asignado a las funciones de control y el resultado de sus evaluaciones, no el hecho de que no estén desempeñando sus funciones correctamente.
Por lo tanto, es bueno involucrarlos y lograr que trabajen; mejor aún, comprender cómo lograr que trabajen mejor. Aprovechando las fortalezas y mitigando las debilidades.
«Juntos nos mantenemos, divididos caemos», como nos recuerda Pink Floyd. En seguridad, este es un leitmotiv común a muchos roles y recurrente para CISO y DPO. Pero ¿cómo podemos actuar en cooperación? Sin duda, sentarse a la mesa de trabajo es importante, pero saber qué contribución mutua podemos hacer a los proyectos o al alcance de la intervención también es crucial.
Las buenas prácticas recomiendan compartir proyectos incluso cuando la última palabra recae naturalmente en el CISO o el DPO, como, respectivamente, al decidir sobre una medida de seguridad o al emitir una opinión sobre su idoneidad en relación con los riesgos para los interesados. En resumen: compartir objetivos y proyectos, y respetar los roles.
Por lo tanto, la dirección debe preparar los flujos de información, pero también involucrar a las figuras relevantes dentro de los grupos de trabajo de seguridad, sabiendo qué preguntar a quién y, así, poder gestionar mejor la hoja de ruta para la implementación y supervisión de la seguridad de datos y sistemas.
Aclarar los términos y métodos de cooperación es útil no solo para evitar repeticiones innecesarias, sino sobre todo para prevenir conflictos que pueden surgir cuando existen áreas de intervención comunes.
La superposición de responsabilidades del CISO y el DPO es inevitable, pero debe gestionarse correctamente. De lo contrario, se convierte en competencia. Y ahora el cuento de hadas de la coopetición ha llegado definitivamente al final, ya que aumenta el nivel de conflicto interno en la empresa y conduce inevitablemente a descarrilamientos en los objetivos de seguridad.
La gerencia no solo debe abstenerse de promover conflictos, sino también prevenirlos presentando adecuadamente las funciones y aclarando los resultados esperados. Esto podría implicar, por ejemplo, establecer KPI, solicitar opiniones conjuntas o sinérgicas o asignar evaluaciones de riesgos con vistas a su integración o comparación.
En resumen: los CISO y los DPO pueden mejorar la gestión de la seguridad.
Pero es necesario leer atentamente las instrucciones de uso.
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...
