La seguridad cibernética

Joshua Foltz, ex CISO de NerdWallet, habla sobre lo que se necesita para liderar la seguridad hoy en día.

Joshua Foltz, ex CISO de NerdWallet, explica por qué la creatividad importa más que las credenciales a la hora de contratar a un CISO, cómo la IA está transformando la seguridad y qué pasan por alto los consejos de administración.

Una conversación con Joshua Foltz, ex CISO de NerdWallet.

Una conversación con Joshua Foltz, ex CISO de NerdWallet.

El rol del CISO está cambiando rápidamente, y los consejos de administración se preguntan con razón cómo debería afectar esto a quién contratan. En esta conversación, Joshua Foltz Argumenta que un liderazgo eficaz en materia de seguridad requiere tanta visión empresarial como profundidad técnica, explica por qué la IA es el arma más poderosa que jamás haya tenido la industria de la seguridad y sostiene que la creatividad y la adaptabilidad son las cualidades que los consejos de administración deben priorizar al buscar un CISO que pueda liderarlos en un entorno tecnológico en constante cambio.

Joshua Foltz es un ejecutivo de ciberseguridad e IA con más de veinte años de experiencia en entornos de tecnología financiera, tecnología de seguros, SaaS y tecnología regulada, incluyendo su rol más reciente como CISO en NerdWallet. Posee un MBA de Yale y ha desarrollado su carrera profesional en la intersección de la seguridad, la gobernanza de la IA y la transformación empresarial.

¿Qué opinas sobre hacia dónde se dirige el rol del CISO?

Para las empresas que están adoptando la IA, el rol está cambiando drásticamente. La mayoría de mis colegas que han sido CISO durante años se muestran reacios a usarla, y creo que esa reticencia es un verdadero obstáculo. La IA es la mejor arma que hemos visto en ciberseguridad. Estamos trabajando para poder entregar código libre de vulnerabilidades antes de que llegue a producción. No podría haber dicho eso hace unos años. La tecnología simplemente no estaba lo suficientemente desarrollada.

Esto significa que los CISO que adopten la IA deberán ser, en parte, líderes de seguridad y, en parte, ingenieros. Mitad ingeniero de IA, mitad desarrollador. Es fundamental comprender qué producen las herramientas y de qué son capaces, ya que, en esencia, se dedican a crear aplicaciones constantemente. Liderar un equipo de ingenieros de seguridad que también sean desarrolladores es el futuro de este sector, y creo que lo estamos logrando más rápido de lo que muchos esperan.

Las fronteras entre CISO y Director de IA se están difuminando. Un CISO que realmente adopta la IA y un responsable de IA que se toma en serio la seguridad son, en este punto, prácticamente el mismo rol.

Llegaste al puesto de CISO con un MBA y experiencia en desarrollo de productos y software, además de tus credenciales en seguridad. Ese no es el perfil típico. ¿Cómo ha influido esa experiencia más amplia en tu trabajo? ¿Crees que el puesto exige una mayor comprensión del mundo empresarial de la que suelen asumir las organizaciones al contratar personal?

La comprensión del entorno empresarial es fundamental para ser un CISO eficaz. Muchos de los líderes de seguridad más capacitados técnicamente tienen dificultades precisamente porque desenvolverse en un consejo de administración y en un equipo ejecutivo es esencial para lograr resultados. Existe una cultura de seguridad que se basa en el miedo, la incertidumbre y la duda para tomar decisiones. Si bien este enfoque tiene su utilidad, no es suficiente. Comprender las necesidades y deseos de la empresa, y luego implementar medidas de seguridad en función de ellos, representa una enorme ventaja.

Al mismo tiempo, no se puede obviar la profundidad técnica. Ignorarla te convierte en un CISO bastante ineficaz, porque no comprendes realmente los riesgos que gestionas. Ser CISO es como jugar con fuego todo el día. Si sabes lo que haces, comprendes las repercusiones, sabes qué puede salir mal y sabes qué hacer cuando sucede, no podrás evitarlo. He visto cómo a otras personas les ha salido mal. Necesitas ambas cosas para tener éxito.

Actualmente, la mayor parte del debate sobre seguridad gira en torno a la IA. Lo que me interesa saber es qué deberían hacer hoy los CISO con visión de futuro para prepararse ante el riesgo que la computación cuántica podría suponer próximamente.

La computación cuántica es compleja, y la razón es estructural. Los CISO, por naturaleza, se centran en los problemas urgentes. Alguien me describió una vez su función como la de ser arrojado al medio de un incendio forestal con la tarea de encontrar el límite. Si algo no es urgente y crítico, la mayoría no le prestamos mucha atención, a menos que seamos deliberadamente estratégicos.

La computación cuántica se incluye en esta categoría actualmente. Sabemos que, con el tiempo, logrará romper la mayoría de los sistemas de cifrado. Los estándares de cifrado preparados para la computación cuántica que se están desarrollando son teóricamente sólidos, pero aún no sabemos con certeza cómo se comportarán. Actualizar la criptografía, migrar a claves de acceso, reforzar la autenticación de dos factores: todo esto será necesario, y es un trabajo factible. Los expertos ya están trabajando en los estándares, y el resto los adoptaremos.

Mi opinión sincera es que las criptomonedas serán el primer objetivo cuando la computación cuántica sea capaz de lograrlo. El primer país en conseguirlo probablemente irá tras Bitcoin, y el revuelo que esto genere dará tiempo a los demás para poner en orden su sistema de cifrado.

Lo que deberían hacer los consejos de administración es preguntar a sus CISO qué planes tienen al respecto. Los CISO deben estar al tanto de la situación. Por lo que entiendo, existen aproximadamente ocho problemas fundamentales que la computación cuántica debe resolver, y cerca de la mitad ya se han resuelto. Tenemos tiempo. Y navegar por el actual panorama de la IA tiene una ventaja: la velocidad y la adaptabilidad que impone a los equipos de seguridad son precisamente la preparación necesaria. Un CISO que sobreviva a este periodo estará bien posicionado cuando llegue la computación cuántica.

La frontera entre seguridad e ingeniería de producto parece estar desdibujándose. ¿Cómo defines dónde termina la responsabilidad de seguridad y comienza la de ingeniería?

Son dos caras de la misma moneda, y eso no cambiará. La ingeniería de producto se centra en lograr que las cosas funcionen bien y en mejorar la experiencia. La seguridad se centra en explorar los límites de la construcción y encontrar las vulnerabilidades que los ingenieros funcionales no detectan. Ambas perspectivas son necesarias, y ninguna es mejor que la otra. Simplemente son diferentes.

Al inicio de la carrera de un CISO, esa tensión puede ser difícil de manejar. Que los equipos de seguridad se presenten para decirles a los ingenieros que han cometido un error no es una conversación agradable, y el conflicto subyacente suele girar en torno al tiempo y los recursos. Aprender a replantear esa relación, a presentarse como un socio en lugar de una función de auditoría, es una de las cosas más difíciles que un CISO debe comprender. Me llevó años lograrlo.

Más allá de la experiencia, lo que ha acelerado este cambio es la IA. Tareas que antes consumían semanas de trabajo de ingeniería ahora se pueden realizar en minutos. Cuando la seguridad deja de ser un obstáculo, la comunicación con los equipos de producto cambia por completo y las barreras que antes definían esa relación comienzan a desaparecer por sí solas.

La confianza es clave para lograrlo. Entender qué motiva a los equipos de producto, a qué se resisten y convertirse en su aliado en lugar de un adversario es la forma de generar confianza y, a través de ella, conseguir resultados. Sencillo en teoría, pero difícil en la práctica.

Si estuvieras en una sala llena de directores ejecutivos y miembros de la junta directiva a punto de realizar una búsqueda de CISO, ¿qué debería estar en su radar que quizás no lo esté?

Creatividad y capacidad de adaptación. Esas son las cualidades que con mayor frecuencia se pasan por alto.

Los riesgos que los CISO deberán gestionar a finales de este año son riesgos que apenas hemos empezado a considerar. Hace un año, la IA con agentes y su potencial dentro de un entorno empresarial, conectada a todo mediante un servidor como MCP, no era un riesgo que la mayoría de los equipos de seguridad tuvieran en cuenta. Hace seis meses, apenas figuraba en el radar de nadie. El ritmo al que surgen nuevas amenazas es extraordinario, y el CISO del futuro debe ser capaz de aprender rápidamente una nueva tecnología, probarla, determinar cómo protegerla e implementar esa seguridad de forma que no frene la innovación que la empresa busca impulsar.

Eso requiere verdadera creatividad. Lo interesante es que la trayectoria tradicional en seguridad —hacking, pruebas de penetración, ejercicios de simulación de ataques— fomenta precisamente ese tipo de pensamiento. Se analiza un problema y se encuentran soluciones inesperadas. Ese instinto es directamente transferible. Los CISO que se forman en esos ámbitos siguen siendo una fuente importante de talento.

Pero los consejos de administración deben buscar explícitamente esas cualidades creativas y de adaptación, no solo verificar las credenciales técnicas o los años de experiencia. La perspicacia técnica es importante, pero es un requisito básico. Lo que diferenciará a los CISO que prosperan de los que no lo hacen es la capacidad de desenvolverse en condiciones que no existían cuando comenzaron en el puesto.

Colocando y asesorando a los líderes del mañana

Como firma de búsqueda de ejecutivos, las empresas recurren a nosotros para encontrar talento de primer nivel y lo logramos. Pero es nuestra cartera integral de servicios de asesoría en liderazgo lo que nos distingue.

Contáctenos para conocer cómo podemos ayudarlo a atraer, desarrollar y liberar líderes.

Mantengámonos en contacto

Envíenos un mensaje y un asesor se comunicará con usted en breve.