Hay mucho en juego para los CISO

Seguridad empresarial

Las pesadas cargas de trabajo y el espectro de la responsabilidad personal por los incidentes pasan factura a los líderes de seguridad, hasta el punto de que muchos de ellos buscan las salidas. ¿Qué significa esto para las ciberdefensas corporativas?

08 de febrero de 2024
•
,
5 minutos. leer

La ciberseguridad finalmente se está convirtiendo en una cuestión a nivel de las juntas directivas. Así debería ser, dado el papel cada vez más importante que desempeña la gestión del riesgo cibernético en la toma de decisiones estratégicas. El riesgo cibernético es fundamentalmente un riesgo empresarial central con el potencial de hacer o deshacer una organización. Sin duda, esa es la idea detrás de las nuevas normas regulatorias en Estados Unidos.

Pero al reconocer su importancia, las juntas directivas y los reguladores también están ejerciendo más presión sobre los CISO, sin necesariamente darles el reconocimiento y la recompensa adecuados. El resultado: estrés creciente, agotamiento e insatisfacción. Se dice que tres cuartas partes (75%) de los CISO están abiertos a un cambio, ocho puntos porcentuales más que hace un año. Y el 64% está satisfecho con su función, un 10% menos.

Estos desafíos tienen serias implicaciones para la ciberseguridad dentro de las organizaciones. Abordarlos debería ser una prioridad urgente.

Un papel cada vez más estresante

Los CISO siempre han tenido un trabajo estresante. Entre los conductores recientemente se encuentran:

• Los crecientes niveles de ciberamenazas, que dejan a muchas organizaciones en modo continuo de extinción de incendios
• La escasez de habilidades en la industria deja a los equipos clave sin personal suficiente
• Carga de trabajo excesiva debido a las crecientes exigencias en la sala de juntas
• Falta de recursos y financiación adecuados
• Carga de trabajo que obliga a los CISO a trabajar muchas horas y cancelar vacaciones
• La transformación digital, que sigue ampliando la superficie de ciberataque corporativo
• Requisitos de cumplimiento que continúan creciendo cada año que pasa

No sorprende que una cuarta parte (24%) de los líderes mundiales de seguridad y TI hayan admitido que se automedican para aliviar el estrés. Los crecientes niveles de estrés no sólo aumentan la probabilidad de agotamiento y/o jubilación anticipada, sino que también podrían conducir a una mala toma de decisiones (como lo señala este estudio, por ejemplo), así como afectar las habilidades cognitivas y la capacidad de pensar racionalmente. De hecho, se ha sugerido que incluso la anticipación del día estresante que se avecina puede afectar la cognición. Aproximadamente dos tercios (65%) de los CISO admiten que el estrés relacionado con el trabajo ha comprometido su capacidad para desempeñarse en el trabajo.

El escrutinio ejerce más presión para los CISO

A esta línea base de estrés se suma un escrutinio regulatorio, legal y de la junta directiva adicional en los últimos meses. Tres acontecimientos recientes son instructivos:

• Mayo de 2023: Joe Sullivan, ex CSO de Uber, fue sentenciado a tres años de libertad condicional después de ser declarado culpable de dos delitos graves relacionados con su papel en un intento de encubrimiento de una mega-infracción de 2016. Los partidarios afirman que el entonces director ejecutivo Travis Kalanick y el abogado interno de Uber, Craig Clark, lo convirtieron en chivos expiatorios, y Sullivan explicó que Kalanick había aprobado su controvertido pago de 100.000 dólares a los piratas informáticos.
• Octubre de 2023: Por primera vez, la SEC acusó al CISO de SolarWinds, Timothy Brown, por restar importancia o no revelar el riesgo cibernético y al mismo tiempo exagerar las prácticas de seguridad de la empresa. La denuncia se refiere a varios comentarios internos hechos por Brown y alega que no resolvió ni planteó estas serias preocupaciones dentro de la empresa.
• Diciembre de 2023: Entran en vigor nuevas reglas de presentación de informes de la SEC, que exigen que las empresas que cotizan en bolsa informen incidentes cibernéticos “materiales” dentro de los cuatro días hábiles posteriores a la determinación de la materialidad. Las empresas también deberán describir anualmente sus procesos para evaluar, identificar y gestionar el riesgo y el impacto de cualquier incidente. Y necesitarán detallar la supervisión de la junta directiva sobre el riesgo cibernético y su experiencia en la evaluación y gestión de dicho riesgo.

No es sólo en Estados Unidos donde se está fortaleciendo la supervisión regulatoria. La nueva directiva NIS2 que se transpondrá a la legislación de los estados miembros de la UE en octubre de 2024 asigna a la junta la responsabilidad directa de aprobar medidas de gestión de riesgos cibernéticos y supervisar su implementación. Los miembros de la alta dirección también pueden ser considerados personalmente responsables si se los considera negligentes en casos de incidentes graves.

Según Jon Oltsik, analista de Enterprise Strategy Group (EST), la creciente presión que tales medidas están ejerciendo sobre los CISO está haciendo que su trabajo principal de responder a las amenazas y gestionar el riesgo cibernético sea más desafiante. Un estudio ESG reciente revela que tareas como trabajar con la junta directiva, supervisar el cumplimiento normativo y gestionar un presupuesto están haciendo que la función del CISO pase de ser técnica a estar orientada a los negocios. Al mismo tiempo, la creciente dependencia de la TI para impulsar la transformación digital y el éxito empresarial se ha vuelto abrumadora. La encuesta afirma que el 65% de los CISO han considerado dejar su puesto debido al estrés.

Conclusiones para los CISO y las juntas directivas

La conclusión es que si los CISO tienen dificultades para hacer frente a la carga de trabajo y temen represalias regulatorias e incluso responsabilidad penal por sus acciones, es probable que tomen peores decisiones en el día a día. Muchos incluso podrían abandonar la industria. Esto tendría un impacto enormemente maligno en un sector que ya lucha contra la escasez de habilidades.

Pero no tiene por qué ser así. Hay cosas que tanto las juntas directivas como sus CISO pueden hacer para aliviar la situación. Lo mejor para ambos es encontrar una manera de superar esto. Considera lo siguiente:

• Las juntas deben evaluar la salud mental, la carga de trabajo, los recursos y las estructuras de presentación de informes de los CISO para optimizar su eficacia. Las altas tasas de deserción pueden generar largos períodos sin un CISO de tiempo completo, lo que desmotiva a los equipos e impacta la estrategia de seguridad.
• Las juntas directivas deberían remunerar a sus CISO de acuerdo con el elevado riesgo que ahora implica su función.
• La participación regular entre la junta directiva y el CISO es esencial, con líneas jerárquicas directas al director ejecutivo, si es posible. Esto ayudará a mejorar la comunicación entre los dos y elevar la posición del CISO de acuerdo con sus responsabilidades.
• Las juntas deben proporcionar a sus CISO un seguro para directores y funcionarios (D&O) para ayudarlos a protegerse de riesgos graves.
• Los CISO deberían permanecer en la industria que aman y asumir una mayor responsabilidad en lugar de huir de ella. Pero también deben recordar que su función es asesorar y proporcionar contexto a la junta. Deje que otros tomen las decisiones importantes.
• Los CISO siempre deben priorizar la transparencia y la apertura, especialmente con los reguladores.
• Los CISO deben tener en cuenta lo que circulan internamente y garantizar que las decisiones o solicitudes polémicas de la alta dirección siempre se registren por escrito.

Al encontrar un nuevo puesto, los CISO deben contratar a un abogado personal para que revise en detalle su posible contrato.

Para optimizar la estrategia de ciberseguridad, las juntas directivas deberían comenzar por reevaluar cuál quieren que sea el papel del CISO. El siguiente paso es garantizar que el profesional de la ciberseguridad que desempeña ese rol tenga suficiente apoyo y recompensa para querer permanecer allí.