Stefano Gazzella : 4 septiembre 2025 07:40
Gestionar la seguridad no es nada sencillo; no es algo que se pueda estandarizar y, sobre todo, no se puede lograr con «soluciones». Requiere planificación, análisis y la capacidad de tener una visión holística, y sobre todo, perseguir los objetivos de mantener los datos y sistemas en un nivel aceptable de seguridad. Las causas más comunes de las crisis son la discrepancia entre lo que se ha hecho y lo que se desea hacer, o, peor aún, lo que se cree haber hecho. En resumen: tanto la situación en la que los desiderata son inalcanzables en la práctica como la situación en la que nos engañamos creyendo estar seguros son la fuente de muchos de los problemas que se encuentran en organizaciones de todos los tamaños.
Por esta razón, existen roles —o mejor dicho, oficinas— que se encargan no solo de una especie de control de la gestión de la seguridad, sino también, y sobre todo, de la asesoría continua de gestión para contrarrestar diversos tipos de alucinaciones. Entre ellas, la llamada seguridad en papel. Es decir, seguridad escrita que nunca se implementa, donde se cree que el formalismo puede proteger contra las acciones de cualquier actor de amenazas.
Estos roles son el CISO y el DPO. El primero tiene un alcance significativamente más amplio, mientras que el segundo se centra en la gestión de datos personales, incluida la seguridad. La correlación entre la privacidad y la seguridad de los datos es recurrente en la mayoría de las regulaciones, sistemas de gestión y la experiencia práctica de las organizaciones.
Sin embargo, lo que se necesita es que los CISO y los DPO sepan operar como un equipo en la gestión de la seguridad, en lugar de competir. Esto es cierto incluso cuando las funciones son externas y buscan ventas adicionales. Pero ¿sabe la gerencia cómo emplearlas y, sobre todo, cómo verificar la precisión de sus acciones? Este es el punto delicado. A menudo, se recurre a un CISO por simple gusto, o a un DPO por obligación. Pero rara vez sabemos la respuesta a la pregunta de si están haciendo bien su trabajo, y nos conformamos con informes periódicos y unas cuantas diapositivas para justificar su remuneración.
Aclaremos un malentendido: tanto el CISO como el DPO pueden ser monitorizados, y esto no compromete su contribución, ya sea interna o externa. Como todo órgano organizativo, incluido el Consejo de Supervisión, deben demostrar que han cumplido con sus obligaciones contractuales, así como con las tareas requeridas para el desempeño de sus funciones. Algunos podrían argumentar —de hecho, lo han hecho— que esto compromete la independencia de la función, aumentando la sensación de «nadie puede juzgarme». Están profundamente equivocados. Porque lo que no se puede cuestionar es el margen de discreción asignado a las funciones de control y el resultado de sus evaluaciones, no el hecho de que no estén desempeñando sus funciones correctamente.
Por lo tanto, es bueno involucrarlos y lograr que trabajen; mejor aún, comprender cómo lograr que trabajen mejor. Aprovechando las fortalezas y mitigando las debilidades.
«Juntos nos mantenemos, divididos caemos», como nos recuerda Pink Floyd. En seguridad, este es un leitmotiv común a muchos roles y recurrente para CISO y DPO. Pero ¿cómo podemos actuar en cooperación? Sin duda, sentarse a la mesa de trabajo es importante, pero saber qué contribución mutua podemos hacer a los proyectos o al alcance de la intervención también es crucial.
Las buenas prácticas recomiendan compartir proyectos incluso cuando la última palabra recae naturalmente en el CISO o el DPO, como, respectivamente, al decidir sobre una medida de seguridad o al emitir una opinión sobre su idoneidad en relación con los riesgos para los interesados. En resumen: compartir objetivos y proyectos, y respetar los roles.
Por lo tanto, la dirección debe preparar los flujos de información, pero también involucrar a las figuras relevantes dentro de los grupos de trabajo de seguridad, sabiendo qué preguntar a quién y, así, poder gestionar mejor la hoja de ruta para la implementación y supervisión de la seguridad de datos y sistemas.
Aclarar los términos y métodos de cooperación es útil no solo para evitar repeticiones innecesarias, sino sobre todo para prevenir conflictos que pueden surgir cuando existen áreas de intervención comunes.
La superposición de responsabilidades del CISO y el DPO es inevitable, pero debe gestionarse correctamente. De lo contrario, se convierte en competencia. Y ahora el cuento de hadas de la coopetición ha llegado definitivamente al final, ya que aumenta el nivel de conflicto interno en la empresa y conduce inevitablemente a descarrilamientos en los objetivos de seguridad.
La gerencia no solo debe abstenerse de promover conflictos, sino también prevenirlos presentando adecuadamente las funciones y aclarando los resultados esperados. Esto podría implicar, por ejemplo, establecer KPI, solicitar opiniones conjuntas o sinérgicas o asignar evaluaciones de riesgos con vistas a su integración o comparación.
En resumen: los CISO y los DPO pueden mejorar la gestión de la seguridad.
Pero es necesario leer atentamente las instrucciones de uso.
Google ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
