La inminente crisis de salud mental del CISO: y qué hacer al respecto, parte 1

Durante los últimos 20 años, me he desempeñado como CISO para empresas de diferentes sectores. En este cargo, he asumido la responsabilidad de proteger a cada organización de una amplia gama de amenazas de seguridad cibernética que se desarrollan rápidamente. También he aprendido de primera mano cuánto estrés enfrentan los líderes de seguridad día a día.

Conversaciones recientes con mis compañeros han demostrado que el estrés en la ciberseguridad es un problema de toda la industria. El rol de CISO es uno de los más estresantes en cualquier organización. Y la función de seguridad, en general en todos los tipos de empresas y sectores industriales, se encuentra al borde de una crisis inducida por el estrés.

Lo que distingue al rol de CISO
El equipo de seguridad no es el único grupo bajo presión. Otras funciones corporativas y otros ejecutivos deben cumplir con expectativas elevadas ya veces poco realistas. Pero lo que hace que el puesto de CISO sea único es su relativa novedad; la mayoría de los trabajos en una organización moderna han existido durante décadas, por lo que están bastante bien definidos. Las empresas han tenido muchos años para desarrollar las responsabilidades y responsabilidades del CEO, CFO y COO, por ejemplo, y para desarrollar procesos que aseguren que sus funciones funcionen sin problemas.

En comparación, la función de seguridad corporativa es un poco como el Salvaje Oeste. Desde el CISO hacia abajo, en toda la jerarquía, los roles de seguridad son nuevos e inmaduros en relación con muchos puestos corporativos. Por lo tanto, el CISO a menudo termina asumiendo la responsabilidad de todo lo que podría salir mal con la presencia digital de una organización. Eso le da al CISO un mandato de amplitud asombrosa.

Si los datos del consumidor se ven comprometidos, el CISO puede ser responsable de todas las implicaciones de cumplimiento, servicio al cliente y marca que resulten. Si se realizan pagos fraudulentos, las consecuencias financieras pueden pertenecer al CISO. Si la maquinaria se daña o los procesos se interrumpen a través de ransomware u otro ataque, eso vuelve al CISO. Si los empleados colocan los datos corporativos en un sistema basado en la nube, es probable que el CISO tenga la responsabilidad, incluso si los equipos de seguridad no saben que se está transfiriendo la información. Y si algún tipo de amenaza nuevo y previamente desconocido compromete los sistemas de formas que nadie podría haber anticipado, una vez más: está en el CISO.

Los eventos individuales de ciberseguridad tienen el potencial de descarrilar los planes estratégicos de una organización. Pero la mayoría de los CISO no tienen un plan claro para preparar a sus organizaciones para defenderse de las innumerables amenazas que se les presentan. Ni siquiera tienen una descripción de trabajo estándar. En una empresa, el control de acceso puede estar dentro del dominio del CISO, mientras que en otra organización puede pertenecer al equipo de red.

Con cada empresa definiendo el rol y las responsabilidades por sí misma, los CISO se quedan sin la red de seguridad de "todos lo hacen de esta manera". No todas las empresas manejan la seguridad de la misma manera. Cada CISO está solo para determinar las mejores formas de proteger una infraestructura en rápida evolución contra el panorama de amenazas que cambia rápidamente.

Expectativas externas
A la presión se suma el hecho de que el C-suite puede no tener expectativas realistas sobre el grado en que el equipo de seguridad puede garantizar que los datos y las aplicaciones corporativas estén seguros. Los directores ejecutivos, directores financieros, directores de operaciones y asesores generales a menudo ven la seguridad como una ecuación matemática. Piensan que el CISO debería ser capaz de identificar todas las brechas posibles y luego cerrar esas brechas. Parece una propuesta sencilla. En realidad, por supuesto, asegurar una infraestructura corporativa amplia y dinámica es cualquier cosa menos simple.

El equipo ejecutivo y la junta a menudo esperan que el CISO tenga una respuesta inmediata a todas las preguntas que puedan surgir. La organización puede usar muchos cientos de aplicaciones y herramientas, que se han acumulado durante décadas, pero el C-suite puede esperar que el CISO conozca todos los pasos que el equipo de seguridad ha tomado para proteger cada uno. Si el CISO no puede responder de inmediato, su desempeño laboral podría verse cuestionado, directa o indirectamente.

Las expectativas de los clientes en torno no solo a la entrega oportuna de productos y servicios, sino también a la privacidad y la confidencialidad de los datos, pueden trazar una línea directa entre la eficacia del equipo de seguridad y los ingresos corporativos. Y luego está el entorno regulatorio. Se espera que muchos CISO demuestren la seguridad de la organización en áreas específicas a muchas agencias reguladoras relevantes.

Para algunos CISO, estos factores estresantes se ven agravados por un sentimiento de responsabilidad por el bien mayor de la comunidad o nación. Desde oleoductos hasta oficinas gubernamentales e instalaciones de atención médica, hemos visto las formas en que el ransomware exitoso puede paralizar la infraestructura crítica. De repente, la seguridad nacional también está en la agenda del CISO. Es un riesgo que los CISO no han sido capacitados para manejar, pero eso no significa que podamos ignorarlo.

En la Parte 2, hablaremos sobre los riesgos para la empresa cuando el CISO está bajo presión y qué podemos hacer todos para calmar la situación.

Nota del editor: Dark Reading alienta a los profesionales de la seguridad a priorizar su salud mental. Por eso queremos informar a los lectores que la autora de este artículo, Shamla Naidoo, estará discutiendo grandes problemas relacionados con la salud mental dentro de la industria de la ciberseguridad con la Dra. Marcia Goddard en un seminario web el 10 de febrero.

Inteligencia de datos generativa

La inminente crisis de salud mental del CISO y qué hacer al respecto, Parte 1

El evento Pokémon GO Ultra Space Wonders agrega a Naganadel, Stakataka y Blacephalon

Tendencias de Ethereum: desde mínimos de $ 2,800 hasta cambios en la oferta

Información más reciente

La píldora del BOE: Podemos recortar los tipos de interés manteniendo al mismo tiempo una postura política restrictiva | Forexlive

La píldora del BOE: aún queda trabajo por hacer sobre la persistencia de la inflación | Forexlive

La opción FX vence para el recorte del 14 de mayo en Nueva York

Pronóstico del precio de la plata: XAG/USD sube a cerca de $28.50 debido a la escalada de tensiones geopolíticas

Liminal Custody obtiene una licencia clave de ADGM FSP, reforzando el liderazgo en la custodia de activos digitales – Crypto-News.net

La expansión estratégica de Microsoft en Francia