Por qué los CISO deberían crear vínculos más fuertes con las funciones legales en 2025
4 min readpara Director de seguridad de la información (CISO) aún deben establecer algunas metas profesionales para el nuevo año o ampliar una lista que ya han compilado, considere fortalecer la relación con la función legal de su organización.
Ya ha pasado mucho tiempo tendiendo puentes con los abogados de la empresa. Después de todo, ahora es un aspecto importante del papel del CISO moderno, según Encuesta global sobre organización y remuneración de CISO 2024 Una encuesta de más de 400 CISO de todo el mundo, realizada por la firma de contratación de ejecutivos Heidrick & Struggles.
Cuando se les preguntó con qué funciones pasan más tiempo trabajando y consultando, las dos respuestas principales dadas por los encuestados involucraron a otros profesionales de TI, con los grupos de redes, nube e ingeniería ocupando el primer lugar, y el desarrollo de software y el desarrollo/ingeniería de productos ocuparon el segundo lugar. . En tercer lugar estaban los aspectos legales, de cumplimiento y de riesgo, muy por delante de finanzas, recursos humanos o la junta directiva.
En 2025, las conexiones entre los equipos legales y de ciberseguridad deben ser más estrechas que nunca, ya que en todo el mundo la función de seguridad de TI (y quienes la dirigen) son cada vez más el blanco de nuevas regulaciones y un mayor escrutinio gubernamental.
Reto legal
Los cambios regulatorios y la incertidumbre ejercen una enorme presión sobre los profesionales cibernéticos. Incluso cuando las reglas son claras, los volúmenes están aumentando y las cargas de cumplimiento se están volviendo pesadas. Cualquier empresa que opere a nivel internacional se enfrenta a una amplia gama de regulaciones específicas de cada país que pueden entrar en conflicto entre sí, o al menos incluir requisitos que no están claramente alineados.
que enfrentan las empresas en la UE tengo la ley, NIS2 Y Ley de resiliencia operativa digital (Dora). La administración entrante de los EE. UU. también puede proponer cambios significativos a las regulaciones actuales. Y cada organización ya enfrenta estrictos mandatos de PII sobre cómo se almacena y administra la información personal de clientes, proveedores y socios.
Esto hace que sea una verdadera lucha para los equipos de seguridad de TI determinar la mejor manera de implementar las regulaciones en su organización. Sus colegas del departamento jurídico serán sus mejores aliados para ayudarles a navegar en este campo minado.
Los abogados pueden ayudar a un CISO y a su equipo a desarrollar una comprensión sólida y profunda de cómo y dónde se aplican las reglas a su organización particular y dónde no, por ejemplo. El alcance de la cobertura de una regulación puede ser un asunto bastante delicado y, a menudo, requiere experiencia legal para analizarlo de manera efectiva y precisa.
Otra tarea importante -y otra área de conflicto potencial entre diferentes regulaciones- es identificar los requisitos de comunicación y presentación de informes y determinar los diferentes cronogramas y tipos de información que requieren informes. En este caso, las funciones legales y de seguridad de TI deben funcionar de manera efectiva y garantizar que se comuniquen claramente al personal adecuado.
beneficio mutuo
Pero no es una calle de sentido único. La función jurídica puede desempeñar un papel importante como asesor de ciberseguridad, pero el CISO no es sólo un consumidor pasivo de la información que se ofrece. Si bien las regulaciones generalmente tienen buenas intenciones, a veces la redacción o la implementación propuesta no es tan efectiva como debería ser. El CISO debe poder identificar brechas y conflictos y consultar con el equipo legal sobre cómo abordarlos.
Trabajando juntos, los equipos legales y de ciberseguridad también pueden definir y hacer cumplir las mejores prácticas; Por ejemplo, pueden adoptar el modelo de las “tres líneas de defensa”, comúnmente visto en el sector de servicios financieros.
En este modelo, el personal de primera línea de defensa de nivel uno realiza las operaciones diarias. El nivel dos lo proporcionan los gerentes responsables de esos equipos, monitoreando su trabajo para garantizar que cumpla con estándares predeterminados. Finalmente, las defensas de nivel tres las proporcionan los auditores internos y externos, que son responsables de “observar a los observadores”. Al reunir recursos en estas tres líneas de defensa, las organizaciones de cualquier sector industrial pueden alcanzar nuevos niveles de visibilidad y responsabilidad.
Otra área en la que los CISO pueden ser de gran ayuda para sus homólogos jurídicos es la comprensión técnica. No es ningún secreto que la tecnología evoluciona más rápido que el tiempo que lleva redactar regulaciones, acordarlas y hacerlas cumplir. Como resultado, no es inusual introducir reglas que simplemente no saben cómo abordar las nuevas tecnologías. Esto ciertamente fue cierto en el caso de la tecnología en la nube y es cada vez más cierto en el caso de los enfoques de inteligencia artificial (IA). Hay muchas cosas que un CISO puede ofrecer al asesor legal principal de su organización en términos de asesoramiento.
Esta puede ser una relación muy valiosa. Los CISO y los asesores legales jefes tienen muchas similitudes. Ambos desempeñan una función importante y compleja, que tiene como objetivo proteger a sus organizaciones de amenazas. Ambos están profundamente preocupados por desarrollar la resiliencia a través de políticas, procedimientos y educación de los empleados. Y ambos necesitan planificar con anticipación cuando se trata de mitigar nuevos riesgos para sus organizaciones. Después de todo, ambos son importantes para el buen gobierno corporativo y el buen funcionamiento de las operaciones.
En 2025, mi consejo para los CISO es que sigan construyendo sobre esta base sólida.