Para los directores de seguridad de la información (CISO) que todavía buscan establecer algunas metas profesionales para el Año Nuevo, o ampliar una lista que ya han compilado, consideren fortalecer la relación con la función legal de su organización.
Es posible que ya haya dedicado mucho tiempo a tender puentes con los abogados de la empresa. Después de todo, ahora es un aspecto importante del rol del CISO moderno, según la Encuesta Global de Compensación y Organización de CISO 2024 de la firma de reclutamiento ejecutivo Heidrick & Struggles, una encuesta de más de 400 CISO en todo el mundo.
Cuando se les preguntó con qué funciones pasan más tiempo trabajando y consultando, las dos respuestas principales ofrecidas por los encuestados involucraron a otros profesionales de TI, con los grupos de redes, nube e ingeniería en primer lugar, y desarrollo de software y desarrollo/ingeniería de productos en segundo lugar. En tercer lugar estaban los aspectos legales, de cumplimiento y de riesgo, muy por delante de finanzas, recursos humanos o la junta directiva.
En 2025, los vínculos entre los equipos legales y de seguridad cibernética deben ser más estrechos que nunca, porque en todo el mundo, la función de seguridad de TI –y las personas que la dirigen– son cada vez más el blanco de nuevas regulaciones y un riguroso escrutinio gubernamental.
Desafíos legales
Los cambios regulatorios y la incertidumbre ejercen una enorme presión sobre los profesionales cibernéticos. Incluso cuando las reglas son claras, el volumen está aumentando y la carga del cumplimiento es cada vez más pesada. Cualquier empresa que opere a nivel internacional se enfrenta a una amplia gama de regulaciones específicas de cada país que bien pueden contradecirse entre sí, o al menos incluir requisitos que no se alinean claramente.
En la UE, las empresas se enfrentan a la Ley de IA de la UE, NIS2 y la Ley de Resiliencia Operacional Digital (DORA). La administración entrante en Estados Unidos también podría proponer cambios significativos a las regulaciones actuales. Y todas las organizaciones ya enfrentan estrictos mandatos de PII en lo que respecta a cómo se almacena y administra la información personal de clientes, proveedores y socios.
Todo esto hace que sea una verdadera lucha para los equipos de seguridad de TI descubrir la mejor manera de implementar las regulaciones en su organización. Sus colegas del departamento jurídico serán sus mejores aliados para ayudarles a navegar en este campo minado.
Los abogados pueden ayudar a un CISO y a su equipo a desarrollar una comprensión más sólida y profunda de cómo y dónde se aplican las reglas a su organización específica y dónde no, por ejemplo. El alcance de una regulación puede ser una cuestión bastante sutil y a menudo se necesita experiencia jurídica para analizarla de forma eficaz y precisa.
Otra tarea importante –y otra área de conflicto potencial entre diferentes regulaciones– es identificar los requisitos de comunicación y presentación de informes, y determinar los diferentes cronogramas y tipos de información que deben reportarse. En este caso, las funciones legales y de seguridad de TI deben trabajar en procedimientos efectivos y garantizar que se comuniquen claramente al personal adecuado.
Beneficios mutuos
Pero ésta no es una calle de sentido único. La función jurídica puede desempeñar un papel importante como asesor de seguridad cibernética, pero el CISO no es sólo un consumidor pasivo de la información ofrecida. Si bien las regulaciones suelen tener buenas intenciones, a veces la redacción o la implementación propuesta no son tan efectivas como deberían ser. El CISO debe poder detectar las lagunas y contradicciones y consultar con los equipos legales sobre la mejor manera de abordarlas.
Trabajando juntos, los equipos legales y de ciberseguridad también pueden definir e implementar mejores prácticas; por ejemplo, podrían adoptar el modelo de las “tres líneas de defensa”, que se observa más comúnmente en el sector de servicios financieros.
En este modelo, la defensa de Nivel Uno la proporcionan los empleados de primera línea que realizan el trabajo diario. El nivel dos lo proporcionan los gerentes responsables de esos equipos, monitoreando su trabajo para garantizar que cumpla con estándares predefinidos. Finalmente, la defensa de Nivel Tres está a cargo de auditores internos y externos, aquellos responsables de “vigilar a los observadores”. Al reunir recursos en estas tres líneas de defensa, las organizaciones de cualquier sector industrial pueden alcanzar nuevos niveles de visibilidad y responsabilidad.
Otra área en la que el CISO puede ser de gran ayuda para su homólogo jurídico es la comprensión tecnológica. No es ningún secreto que la tecnología evoluciona mucho más rápido que el tiempo que lleva redactar regulaciones, aprobarlas e implementarlas. Como resultado, no es raro ver regulaciones que simplemente no saben cómo abordar las nuevas tecnologías. Esto fue ciertamente cierto con la tecnología de la nube, y lo es cada vez más con los enfoques de inteligencia artificial (IA). Hay mucho aquí que un CISO puede ofrecer en términos de asesoramiento al asesor jurídico principal de su organización.
Esta puede ser una relación enormemente valiosa. Después de todo, el CISO y el asesor jurídico principal tienen mucho en común. Ambos desempeñan una función crucial y compleja, cuyo objetivo es proteger a sus organizaciones de las amenazas. Ambos están profundamente preocupados por desarrollar la resiliencia a través de políticas, procedimientos y educación de los empleados. Y ambos necesitan planificar con anticipación cuando se trata de mitigar nuevos riesgos para su organización. Por encima de todo, ambos son cruciales para el buen gobierno corporativo y el buen funcionamiento de las operaciones.
En 2025, mi consejo para los CISO es que sigan construyendo sobre estas bases firmes.