Según el sondeo anual Global Information Security Survey correspondiente a 2010, llevado a cabo por CSO Estados Unidos en colaboración con PricewaterhouseCoopers entre 12.847 responsables de seguridad TI, la mayoría de los CSO/CISO (Chief Information Security Officers) reporta directamente al CEO o al consejo de dirección de sus empresas. Pero menos de un 25% reporta al CIO de su organización.
Cuando después se les preguntó sobre si les parecía bien el perfil del ejecutivo al que debían reportar, la mayoría de las respuestas puede resumirse con las palabras de uno de ellos, Robert Alberti, profesional de seguridad y TI de Minesota (Estados Unidos): “Los CIO y los CISO tendrán siempre una relación problemática, y así es como debe ser. En mi opinión los CISO nunca deberían reportar al CIO”.
Para argumentar su opinión, Alberti explica que considera que el rol del CIO es operacional, su trabajo consiste en mantener las cosas en funcionamiento. Por el contrario, la función del CISO es, según Alberti, reducir el riesgo TI. Si el CISO reporta al CIO, argumenta, la reducción del riesgo siempre sería algo secundario respecto a las operaciones.
Ante esta situación, el principal reto pasaría a ser que el liderazgo corporativo sea capaz de equilibrar los mensajes independientes del CISO y del CIO para juzgar apropiadamente qué riesgos aceptar y qué riesgos es imprescindible remediar, continúa Alberti.
Eric Cowperthwaite, CSO de la firma del sector sanitario Providence Health & Services, sin embargo, no coincide con Alberti en la opinión de que los CIO y los CISO deben actuar en silos separados. En los cuatro años y medio que ha trabajado para esta empresa, asegura haber tenido tres jefes: el máximo responsable financiero (CFO), el CIO y, ahora, el máximo responsable de riesgos (CRO). Y su experiencia con el CIO fue todo menos problemática, según Cowperthwaite.
“Al principio, reportaba al CFO. Los máximos ejecutivos querían tenerme cerca porque estaban haciendo frente a una situación de crisis”, explica Cowperthwaite, en referencia a la difícil situación por la que atravesó la compañía al convertirse en la primera organización multada por violar la sección de privacidad de la norma Health Insurance Protability and Accountability Act (HIPAA) de Estados Unidos.
Providence Health & Services, que gestiona un plan de salud y varios hospitales de Estados Unidos, acordó en 2008 pagar 100.000 dólares y aplicar un plan de mejora de sus sistemas como parte de un acuerdo con el departamento estadounidense de Salud y Servicios Humanos (HHS) para zanjar una serie de alegaciones. En ellas se acusaba a la organización de haber perdido portátiles y datos en backup con información identificable sobre la salud de individuos durante los años 2005 y 2006. Cowperthwaite fue precisamente contratado para ayudar a la empresa a desarrollar su nuevo plan de seguridad.
¿Mejor un mando medio?
En opinión de este CSO, la parte negativa de reportar a una persona de máximo nivel en la cadena de mando, como el máximo responsable financiero o CFO, es que el tiempo que pueden dedicar estos ejecutivos siempre resulta más limitado. “Un CFO o un CEO tendrá alrededor de 15 minutos mensuales para atenderte, y se necesita más tiempo”, explica. “Se necesita una persona de nivel de mando medio, como el CIO”. Por ello, considera que reportar al CIO fue un cambio positivo y productivo.
Por su parte, Josh Corman, analista senior para seguridad de 451 Group, mantiene una opinión intermedia sobre cuál es la mejor relación. “Se necesita dinero y balances, pero realmente no se puede comparar y contrastar el rol del CSO y del CISO sin mencionar dónde encaja el CIO en esa relación”.
Independientemente de la estructura de reporte, hay quienes –incluso los que consideran lógica la relación de adversidad entre CSO y CIO– piensan que no existe excusa para que un CIO esté completamente al margen de la seguridad.
Por ejemplo, Eric Baer, CISO de una agencia gubernamental de Estados Unidos, dice estar de acuerdo con la idea de que “los CISO no tienen que reportar a los CIO, pero éstos tampoco deben desentenderse de la seguridad”. Baer, a diferencia de Alberti, considera que “la idea de que los CIO han de encargarse simplemente de que las cosas sigan funcionando por el mero fin de que sigan funcionando es un paradigma de los años 90 que debe desecharse. En realidad, los CIO han de implicarse en las operaciones de seguridad, especialmente en industrias muy reguladas”.
Bill Brenner CIO EE.UU.