Logotipo de Zephyrnet

CISO como CTO: cuándo y por qué tiene sentido

Fecha:

A medida que el rol de CISO madura en entornos empresariales y los ejecutivos de seguridad ascienden sus puestos desde gerentes de tecnología hasta asesores de riesgos y líderes empresariales más completos, las progresiones profesionales están cambiando. El trabajo del CISO es ya no es el destino ejecutivo final para la gente de hoy, a medida que los líderes de seguridad buscan aprovechar sus crecientes conjuntos de habilidades comerciales en una clase más amplia de puestos ejecutivos en la alta dirección.

Algunos de los giros obvios de los CISO han sido hacia el director de riesgos (CRO) y director de información (CIO) funciones. Otro cambio cada vez más común ha sido el puesto de director de tecnología (CTO). Con el creciente ruido de tambores tanto en los círculos empresariales de seguridad como a nivel de la junta directiva por seguro por diseño En ingeniería de software, desarrollo de productos y arquitectura tecnológica, ocupar puestos de CTO con ex CISO parece una gran apuesta en las circunstancias adecuadas.

Si bien todavía no hay respaldo estadístico que demuestre esta tendencia, la evidencia anecdótica está aumentando, con empresas como 20th Century Fox, Bank of America y Fifth Third Bank elevando a sus CISO a roles de CTO en los últimos años. Este es también el camino tomado por el gigante de informes crediticios Equifax, que hace unos meses nombró al CISO Jamil Farshchi para un puesto conjunto de CTO y CISO.

Por su parte, Farshchi dice que la transición fue un "dame" tanto para Equifax como para él mismo. Farshchi, un CISO veterano que trabajó en The Home Depot, Time Warner, el Laboratorio Nacional de Los Álamos y la NASA, entre otros, llegó a Equifax hace más de seis años, en el a raíz de su masiva violación de datos de 2017. Se le asignó la tarea de liderar cambios organizativos y tecnológicos profundos no solo para lograr una transformación del programa de seguridad, sino también para apoyar a la empresa en sus esfuerzos de transformación digital.

“En mi calidad de CISO, mi equipo y yo hemos estado profundamente involucrados con la tecnología desde el principio. Y debido a la forma en que está estructurada la línea jerárquica, he estado reportando al CEO todo el tiempo”, explica. “Hace un par de meses, cuando nuestro anterior CTO se fue, aprovechó otra oportunidad para convertirse en CEO de otra empresa. Me pidieron que interviniera y tomara las riendas de la tecnología y ampliara mi función en este espacio también”.

Los CISO tienen habilidades aplicables a la CTO

Incluso antes de que se presentara la promoción de Equifax, Farshchi dice que había sido testigo de transiciones similares en toda la comunidad de seguridad. No solo ha visto a amigos pasar de CISO a CTO o jefe de puestos de tipo de producto, sino que también recibió consultas de directores ejecutivos y reclutadores que le preguntaban si un CISO podría tener sentido para el puesto de CTO. En su opinión, se trata de un sí rotundo.

“Muchos de los comportamientos, muchas prácticas, muchas habilidades, el pensamiento estratégico, etc., que uno necesita para tener éxito en tecnología como CTO son también exactamente las mismas cualidades que uno necesita para tener éxito. en seguridad hoy”, explica.

Este es un sentimiento compartido por muchos en la comunidad de liderazgo en seguridad y tecnología. Según Bob Zukis, un veterano experto en ciberseguridad y desarrollo ejecutivo que dirige Digital Directors Network, los CISO empresariales (los que son verdaderos líderes empresariales en lugar de profesionales de alta tecnología, son un grupo completo, muchos de los cuales estarían listos para comenzar a trabajar con una transición a CTO.

“Gran parte del trabajo de CISO se traduce naturalmente en un rol de CTO, desde lo estratégico hasta lo operativo. Están acostumbrados a trabajar de forma multifuncional. Están acostumbrados a trabajar en toda la organización desde una perspectiva de riesgo. Están acostumbrados a poner en práctica tecnologías. Implementan muchas tecnologías innovadoras desde una función de seguridad”, afirma. "Es sólo que ahora el contexto cambia y se comienza a seleccionar y desplegar estratégicamente tecnologías desde una orientación de creación de valor en lugar de una orientación de protección de valor".

La experiencia y los conocimientos multifuncionales son uno de los mayores beneficios que los CISO aportan como candidatos a CTO, dice Randy Watkins, CTO del proveedor de MDR Critical Start. Los CTO generalmente abarcan muchos dominios y se ocupan de muchas relaciones complicadas entre ingeniería, equipos de productos, grupos comerciales, etc., ya sea que estén lanzando al mercado productos basados ​​en tecnología o simplemente brindando soporte a muchos clientes internos y grupos comerciales con Aplicaciones y plataformas orientadas al negocio.

“Los CISO han tenido que ser multifuncionales porque no tenían su propio presupuesto. No tenían suficiente personal”, afirma, explicando que el CISO tiene que trabajar con otros grupos de TI, grupos empresariales y partes interesadas ejecutivas para hacer las cosas y para que las iniciativas de seguridad se mantengan. “Por lo tanto, la interdisciplinariedad es definitivamente una fortaleza imprescindible para un CISO, y esa es una fortaleza para cualquier líder senior de una organización. Realmente abre un techo bastante alto”.

Si bien nunca fue CISO, Watkins tenía experiencia en seguridad y fue director de arquitectura de seguridad antes de asumir su puesto en Critical Start. La empresa es una empresa de seguridad, por lo que su transición hace unos años fue muy fluida, aunque sintió que tenía que esforzarse y crecer con respecto a sus habilidades y conocimientos en torno a la gestión de productos, un área que algunos CISO también pueden necesitar repasar. para navegar con éxito un puesto de CTO.

"La mayor curva de aprendizaje fue tratar de comprender el ciclo de vida de la gestión de productos, comprender la metodología ágil y en cascada, los beneficios y desventajas de cada uno de ellos", dice. “Realmente fue una molestia establecer cronogramas y plazos y comprender los ciclos de sprint, las fechas de lanzamiento y el tipo de cadencias de lanzamiento. Y siento que es un proceso de aprendizaje permanente”.

Watkins dice que, como director de tecnología de una empresa de seguridad, todavía está bastante bien conectado con amigos de la comunidad CISO. Lo bueno que este grupo tiene a su favor en estos días, dice, es que se están volviendo mucho más conocedores del producto, lo que ayudaría a muchos de aquellos que esperan competir por puestos de CTO en el futuro. Esta astucia ha evolucionado por dos razones, añade.

"Primero, porque normalmente las empresas de capital de riesgo y de capital privado les piden consultoría y los invitan a hablar sobre su última y mejor tecnología", dice. “Y dos, porque tienen que hablar con fabricantes como nosotros y quieren entender dónde se ubica nuestro ciclo de producto y cómo pueden aportar más valor a la construcción de nuestro negocio. Eso contribuye en gran medida a cambiar la flexibilidad y movilidad de ese rol de CISO”.

Soporte de CTO centrado en la seguridad Seguro por diseño

Sin embargo, quizás el mejor beneficio que ofrecen los CISO como candidatos a CTO es la mentalidad de gestión de riesgos que aportan al ciclo de innovación.

"Definitivamente intensificaría la conversación sobre seguridad en una etapa más temprana del ciclo de vida de la innovación, lo que creo que sería algo muy, muy bueno", afirma Zukis de Digital Directors.

Watkins está totalmente de acuerdo.

"Me encanta cualquier puesto en el que una persona orientada a la seguridad ascienda porque aporta un conocimiento inherente y un proceso de pensamiento en torno a la seguridad, incluso cuando no se trata de un puesto de alta dirección sino simplemente de una persona de seguridad que pasa a un puesto no relacionado con la seguridad", Watkins. dice. "Es eficaz para entrelazar el proceso de pensamiento de la seguridad en cada pequeña faceta en la que se mueven".

Esto podría significar enormes beneficios para las iniciativas de seguridad desde el diseño, que a menudo están más afectadas por cuestiones culturales y de incentivos que cualquier otra. Es mucho más probable que un CTO veterano en seguridad esté intrínsecamente motivado para crear mejores incentivos para que el equipo de ingeniería desarrolle y cree productos seguros desde el principio. Más importante aún, es más probable que un ex CISO sea consciente de los riesgos potenciales que introduciría un nuevo producto o plataforma en las primeras etapas de planificación.

"Creo que la seguridad por diseño debería beneficiarse enormemente de cualquier organización que decida hacer que una persona de seguridad se convierta en su CTO", dice Farshchi de Equifax. “Van a prestar mucha atención a la seguridad y a desarrollarla desde el principio, en lugar de apresurarse y salir corriendo más adelante”.

punto_img

Información más reciente

punto_img

Habla con nosotros!

¡Hola! ¿Le puedo ayudar en algo?