Seguridad negocio

Las pesadas cargas de trabajo y el espectro de la responsabilidad personal por los incidentes pasan factura a los líderes de seguridad, hasta el punto de que muchos de ellos buscan las salidas. ¿Qué significa esto para las ciberdefensas corporativas?

Phil Muncaster

08 2024 febrero
 • 
,
5 minuto. leer

La ciberseguridad finalmente está convirtiéndose en un tema a nivel de junta directiva. Así debería ser, dado el papel cada vez más importante que desempeña la gestión del riesgo cibernético en la toma de decisiones estratégicas. El riesgo cibernético es fundamentalmente un riesgo empresarial central con el potencial de generar o romper una organización. Ese es sin duda el pensamiento detrás nuevas reglas regulatorias en los EE.UU. 

Pero al reconocer su importancia, las juntas directivas y los reguladores también están ejerciendo más presión sobre los CISO, sin necesariamente darles el reconocimiento y la recompensa adecuados. El resultado: estrés creciente, agotamiento e insatisfacción. Tres cuartas partes (75%) de los CISO se dice que son abierto a un cambio, ocho puntos porcentuales más que hace un año. Y el 64% está satisfecho con su función, un 10% menos.

Estos desafíos tienen serias implicaciones para la ciberseguridad dentro de las organizaciones. Abordarlos debería ser una prioridad urgente.

Un papel cada vez más estresante

Los CISO siempre han tenido un trabajo estresante. Entre los conductores recientemente se encuentran:

• Los crecientes niveles de ciberamenaza, que dejan a muchas organizaciones en modo continuo de extinción de incendios
• Industria escasez de habilidades que dejan a los equipos clave sin personal suficiente
• Carga de trabajo excesiva debido a las crecientes exigencias en la sala de juntas
• Falta de recursos y financiación adecuados
• Carga de trabajo que obliga a los CISO a trabajar muchas horas y cancelar vacaciones
• La transformación digital, que sigue ampliando el negocio corporativo superficie de ciberataque
• Requisitos de cumplimiento que continúan creciendo cada año que pasa

No sorprende que una cuarta parte (24%) de los líderes mundiales de TI y seguridad han admitido hasta automedicarse para aliviar el estrés. Los crecientes niveles de estrés no sólo aumentan la probabilidad de agotamiento y/o jubilación anticipada, sino que también podrían conducir a una mala toma de decisiones (como lo señaló este estudio, por ejemplo), así como impactar las habilidades cognitivas y la capacidad de pensar racionalmente. De hecho, se ha sugerido que incluso la anticipación del día estresante que se avecina puede afectar la cognición. Unos dos tercios (65%) de los CISO admitir que el estrés relacionado con el trabajo ha comprometido su capacidad para desempeñarse en el trabajo.

El escrutinio ejerce más presión para los CISO

A esta línea base de estrés se suma un escrutinio regulatorio, legal y de la junta directiva adicional en los últimos meses. Tres acontecimientos recientes son instructivos:

• Mayo 2023: Ex CSO de Uber, Joe Sullivan fue sentenciado a tres años de libertad condicional tras ser declarado culpable de dos delitos graves relacionados con su papel en un intento de encubrimiento de una megaviolación de 2016. Sus partidarios afirman que el entonces director ejecutivo Travis Kalanick y el abogado interno de Uber, Craig Clark, lo convirtieron en chivos expiatorios. Sullivan explicando que Kalanick había aprobado su controvertido pago de 100,000 dólares a los piratas informáticos.
• 2023 octubre: En una primera, el La SEC acusó al CISO de SolarWinds Timothy Brown por restar importancia o no revelar el riesgo cibernético y al mismo tiempo exagerar las prácticas de seguridad de la empresa. La denuncia se refiere a varios comentarios internos hechos por Brown y alega que no resolvió ni planteó estas serias preocupaciones dentro de la empresa.
• Diciembre 2023: Nuevas reglas de informes de la SEC entrará en vigor, exigiendo que las empresas que cotizan en bolsa informen incidentes cibernéticos “materiales” dentro de los cuatro días hábiles posteriores a la determinación de la materialidad. Las empresas también deberán describir anualmente sus procesos para evaluar, identificar y gestionar el riesgo y el impacto de cualquier incidente. Y necesitarán detallar la supervisión de la junta directiva sobre el riesgo cibernético y su experiencia en la evaluación y gestión de dicho riesgo.

No es sólo en Estados Unidos donde se está fortaleciendo la supervisión regulatoria. La nueva directiva NIS2 que se transpondrá a la legislación de los estados miembros de la UE en octubre de 2024 asigna a la junta la responsabilidad directa de aprobar medidas de gestión de riesgos cibernéticos y supervisar su implementación. Los miembros de la alta dirección también pueden ser considerados personalmente responsables si se los considera negligentes en casos de incidentes graves.

Según la Jon Oltsik, analista del Grupo de Estrategia Empresarial (EST), la creciente presión que tales medidas están ejerciendo sobre los CISO está haciendo que su trabajo principal de responder a las amenazas y gestionar el riesgo cibernético sea más desafiante. Un estudio ESG reciente revela que tareas como trabajar con la junta directiva, supervisar el cumplimiento normativo y gestionar un presupuesto están haciendo que la función del CISO pase de ser técnica a estar orientada al negocio. Al mismo tiempo, la creciente dependencia de la TI para impulsar la transformación digital y el éxito empresarial se ha vuelto abrumadora. La encuesta afirma que el 65% de los CISO han considerado dejar su puesto debido al estrés.

Conclusiones para los CISO y las juntas directivas

La conclusión es que si los CISO tienen dificultades para hacer frente a la carga de trabajo y temen represalias regulatorias e incluso responsabilidad penal por sus acciones, es probable que tomen peores decisiones en el día a día. Muchos incluso podrían abandonar la industria. Esto tendría un impacto enormemente maligno en un sector que ya luchando contra la escasez de habilidades.

Pero no tiene por qué ser así. Hay cosas que tanto las juntas directivas como sus CISO pueden hacer para aliviar la situación. Lo mejor para ambos es encontrar una manera de superar esto. Considera lo siguiente:

• Las juntas deben evaluar la salud mental, la carga de trabajo, los recursos y las estructuras de presentación de informes de los CISO para optimizar su eficacia. Las altas tasas de deserción pueden generar largos períodos sin un CISO de tiempo completo, lo que desmotiva a los equipos e impacta la estrategia de seguridad.
• Las juntas directivas deberían remunerar a sus CISO de acuerdo con el elevado riesgo que ahora implica su función.
• La participación regular entre la junta directiva y el CISO es esencial, con líneas jerárquicas directas al director ejecutivo, si es posible. Esto ayudará a mejorar la comunicación entre los dos y elevar la posición del CISO de acuerdo con sus responsabilidades.
• Las juntas directivas deben proporcionar a sus CISO Seguro para directores y funcionarios (D&O) para ayudar a aislarlos de riesgos graves.
• Los CISO deberían permanecer en la industria que aman y asumir una mayor responsabilidad en lugar de huir de ella. Pero también deben recordar que su función es asesorar y proporcionar contexto a la junta. Deje que otros tomen las decisiones importantes.
• Los CISO siempre deben priorizar la transparencia y la apertura, especialmente con los reguladores.
• Los CISO deben tener en cuenta lo que circulan internamente y garantizar que las decisiones o solicitudes polémicas de la alta dirección siempre se registren por escrito.

Al encontrar un nuevo puesto, los CISO deben contratar a un abogado personal para que revise en detalle su posible contrato.

Para optimizar la estrategia de ciberseguridad, las juntas directivas deberían comenzar por reevaluar cuál quieren que sea el papel del CISO. El siguiente paso es garantizar que el profesional de la ciberseguridad que desempeña ese rol tenga suficiente apoyo y recompensa para querer permanecer allí.