La gerencia de primera línea subestima a los CISO y los riesgos de ciberataques

Los jefes de seguridad deben mejorar las relaciones ejecutivas y establecer expectativas claras para reducir el estrés.

CISO_MentalHealth_1440x840.jpg

Conclusiones clave:

  • El aumento de ciberataques incrementa la tensión en la organización
  • Explicar los riesgos y las contramedidas sirve a los líderes empresariales como ayuda para ofrecer más apoyo cuando ocurren incumplimientos
  • Al entender los objetivos empresariales del equipo y depender de datos, se pueden facilitar las relaciones en toda la gerencia de primera línea

Durante una semana especialmente estresante, en los primeros días de la pandemia, Gary Hayslip, director de seguridad de la información en SoftBank Vision Fund, buscó un refugio en casa. Él y su esposa armaron un destructor imperial de Star Wars de cuatro pies de largo y 4700 piezas con Legos. "Muy relajante y meditativo", dice Hayslip.

Y muy necesario para muchos CISO. 

En los últimos 18 meses, han aumentado los desafíos para los jefes de seguridad corporativa, muchos de los cuales siguen enfrentando desafíos internos importantes junto con amenazas externas continuas. Los CISO han experimentado un cambio repentino al trabajo remoto, un aumento drástico de los ciberataques y un incremento de la carga de trabajo debido a falta de personal de seguridad. Además, se les están asignando nuevas tareas, como el cumplimiento de los reglamentos de privacidad. Asimismo, enfrentan una relación tensa e incierta con sus organizaciones. Una encuesta reciente de EY para ejecutivos de seguridad de la información de todo el mundo sugiere que esas relaciones nunca han sido tan tensas.

"Dada la actual naturaleza cambiante de los negocios después de la pandemia y un panorama constantemente amenazador, se puede decir que los CISO tienen el trabajo más difícil en la estructura organizacional", comenta Manoj Bhatt, jefe de asesoría de ciberseguridad en Telstra Purple, una firma de consultoría tecnológica propiedad de Telstra, el proveedor de telecomunicaciones más grande de Australia. 

Lo que dificulta la situación es que muchos colegas de la gerencia de primera línea no entienden los riesgos de seguridad y no se dan cuenta de que los ciberataques son inevitables, afirma Matthew Rosenquist, CISO en Eclipz, un proveedor de tecnología de cifrado en Silicon Valley, quien también escribe y habla con frecuencia sobre los desafíos que los ejecutivos de seguridad deben afrontar.  

Esto puede poner a los líderes de ciberseguridad en situaciones en las que todos salen perdiendo. "Si uno realiza un mal trabajo y la empresa sufre pérdidas debido a los ataques, el CEO dice '¿Por qué te necesitamos?'", Rosenquist explica: "Si uno realiza un excelente trabajo y no hay ninguna pérdida, los ejecutivos dirán 'Bueno, todo está bien, así que no te necesitamos'". 

Los CISO veteranos y otros expertos en seguridad afirman que una mejor comunicación con otros líderes de la gerencia de primera línea puede llegar lejos en cuanto a aliviar las tensiones en los altos niveles y reducir la presión que experimentan. Estas son diversas estrategias que sugieren para fomentar la empatía y el entendimiento con esos grupos clave.

1. Establecer expectativas realistas y empoderar a la gerencia de primera línea con detalles 

    La mayoría de los CISO entienden las amenazas que enfrentan y lo que se hace para prevenirlas. Es su trabajo asegurarse de que otros ejecutivos tengan el mismo conocimiento. Si los líderes entienden que el incumplimiento es una realidad empresarial y confían en las contramedidas, es menos probable que se sientan atacados por la espalda.

    "Todos vemos noticias de incumplimiento todo el tiempo, así que uno tiene que estar ahí afuera hablando con las personas sobre cómo el riesgo se relaciona con su empresa y qué sistemas tenemos implementados, para informar sobre el contexto más amplio", comenta Hayslip.  

    En SoftBank, Hayslip insiste en reunirse con otros líderes de departamento para entender sus objetivos empresariales, los recursos fundamentales que tienen y que necesitan protección, y la fricción que las medidas de seguridad pueden estar creando para sus equipos. Él ve su rol no solo como líder técnico, sino también como "ejecutivo empresarial que gestiona el riesgo", afirma. "No puedes quedarte encerrado en el tema de la seguridad y ser el dueño de tu dominio". 

    2. Conocer a tu audiencia para comunicarte de manera efectiva 

      Como ejecutivo principal de seguridad, el CISO actúa como enlace importante entre los departamentos comerciales y los equipos de seguridad de la información. Una comunicación efectiva requiere entender sus prioridades y hablar su idioma, no la compleja jerga de ciberseguridad y TI. 

      Sin embargo, solo un tercio de los CISO declara tener habilidades comunicativas sólidas, según una encuesta reciente de ClubCISO, una organización de 500 líderes mundiales de ciberseguridad con sede en Londres. Y, aunque en la encuesta se observa que el conocimiento empresarial es mucho más importante para el trabajo que el conocimiento técnico, solo una minoría de CISO afirma tener suficientes habilidades. 

      Es por ello que es tan fundamental conocer a tu audiencia interna. "Si es una audiencia de RR. HH., hablaría sobre la confidencialidad de los datos sensibles de los empleados", señala Rosenquist. "Los equipos de finanzas están interesados en la integridad de sus registros y procesos. Los ejecutivos de línea de productos desean saber cómo los controles de seguridad afectarán la rentabilidad y los planes de productos". 

      3. Medir lo que te hará visible 

        Después del CEO, el colega de la gerencia de primera línea más importante del CISO es el director financiero (CFO), quien controla los presupuestos. Una relación positiva con el CFO puede ayudar a ofrecer más recursos para facilitar las cargas de trabajo y para otras iniciativas de seguridad. 

        Los datos concretos son una herramienta esencial al trabajar con los directores financieros (y con otros líderes empresariales). Algunos CISO proveen datos que muestran la cantidad de amenazas que se desbarataron durante los últimos 12 o 18 meses, cómo se defendieron y lo que los atacantes querían conseguir, afirma Khalid Kark, Líder de Investigación del Programa CIO en Deloitte.

        Según recuerda Kark, un CISO en el sector de servicios financieros creó dashboards personalizados para riesgos cibernéticos para cada uno de sus colegas de la gerencia de primera línea y otros líderes de la empresa, que les permitía revisar un menú de métricas de seguridad cada cierto tiempo.

        "En ciberseguridad, lo que se mide es visible", afirma Kark. "Al tener métricas definidas, puede contarse la historia".

        Señales esperanzadoras para el futuro

        La encuesta ClubCISO sugiere un pronóstico más positivo para los CISO hacia 2022: El 86 % de los CISO dijeron que sus organizaciones ven la seguridad como algo tan importante como lo que hacen, a diferencia del 65 % antes de la pandemia. Y casi el 70 % de los encuestados aceptaron que sus organizaciones tienen una cultura de seguridad positiva, a diferencia del 45 % en 2020.

        Mientras tanto, cada CISO está encontrando su propia forma de combatir el estrés. Rosenquist se relaja montando su motocicleta en las laderas de Sierra Nevada, cerca de su hogar cerca de Sacramento. "Es algo totalmente predecible sobre lo que uno tiene total control", señala Rosenquist. "Totalmente distinto a la ciberseguridad".   

        Hace poco, Hayslip y su esposa reservaron un crucero hawaiano, la primera vez que viajan por aire para sus vacaciones en años. "En este campo", comenta, "debes tener formas de desapegarte".