CISO 2024

CISO: duran entre 18 y 24 meses promedio en su cargo

/ Ciberseguridad / Por

La rotación de CISO es una amenaza oculta a la ciberseguridad. Las principales iniciativas o implementaciones de seguridad pueden llevar más tiempo que la residencia de un solo CISO.

Se dice que el mandato promedio de un director de seguridad de la información es de entre 18 y 24 meses. Este es apenas tiempo suficiente para poner los pies debajo de la mesa.

Surgen dos preguntas: ¿por qué existe una rotación tan volátil en esta área y cómo afecta esto a la ciberseguridad empresarial?

¿Por qué existe una rotación tan volátil de CISO?

Hay varias razones por las que la rotación de CISO es tan alta. Una de ellas es que el rol es cada vez más complejo y exigente.

CISO la profesión más riesgosa
CISO la profesión más riesgosa

Los CISO deben tener una amplia gama de conocimientos y habilidades, desde la tecnología hasta la gestión del riesgo y la comunicación. Además, deben estar preparados para lidiar con una amenaza cibernética en constante evolución.

Otra razón de la rotación es que los CISO a menudo son vistos como los principales chivos expiatorios de los incidentes de seguridad.

Cuando ocurre un incidente, es fácil culpar al CISO, independientemente de sus responsabilidades reales. Esto puede crear un entorno de trabajo insostenible para los CISO, lo que puede llevar a la rotación.

¿Cómo afecta la rotación de CISO a la ciberseguridad empresarial?

La rotación de CISO puede tener un impacto negativo en la ciberseguridad empresarial de varias maneras. En primer lugar, puede interrumpir los esfuerzos de seguridad existentes. Cuando un CISO nuevo llega a una empresa, puede tardar tiempo en comprender la situación de seguridad actual y desarrollar un plan de acción. Esto puede dejar a la empresa vulnerable a los ataques.

En segundo lugar, la rotación de CISO puede reducir la continuidad de la seguridad. Cuando un CISO se va, se lleva con él su conocimiento y experiencia. Esto puede dificultar que la empresa mantenga sus defensas de seguridad actualizadas.

En tercer lugar, la rotación de CISO puede crear una cultura de culpa. Cuando los CISO son vistos como los principales chivos expiatorios de los incidentes de seguridad, puede crear un entorno en el que los empleados de seguridad tienen miedo de tomar riesgos o hablar sobre vulnerabilidades. Esto puede dificultar que la empresa mejore su postura de seguridad.

¿Qué pueden hacer las empresas para reducir la rotación de CISO?

Las empresas pueden tomar medidas para reducir la rotación de CISO. Una de las cosas más importantes que pueden hacer es crear un entorno de trabajo positivo para los CISO.

CISO mucha responsabilidad y poca vida profesional
CISO mucha responsabilidad y poca vida profesional

Esto significa proporcionarles el apoyo y los recursos que necesitan para tener éxito. Las empresas también deben ser claras sobre las expectativas de los CISO y establecer un sistema de responsabilidad que no se base en la culpa.

Otra cosa que las empresas pueden hacer es mejorar sus prácticas de reclutamiento y selección de CISO. Las empresas deben buscar candidatos con las habilidades y la experiencia adecuadas, pero también deben asegurarse de que los candidatos sean compatibles con la cultura de la empresa.

Por último, las empresas deben desarrollar planes de sucesión para los CISO. Esto ayudará a garantizar que haya una transición fluida cuando un CISO se vaya.

La rotación de CISO es un problema complejo que no tiene una solución fácil. Sin embargo, las empresas pueden tomar medidas para reducir la rotación y mejorar su ciberseguridad.

El efecto chivo expiatorio

El efecto chivo expiatorio es una tendencia en la que una persona o grupo es culpado por un incidente o problema, incluso cuando no son los únicos responsables o incluso cuando no son responsables en absoluto. En el contexto de la ciberseguridad, el efecto chivo expiatorio puede ser particularmente dañino para los CISO, quienes a menudo son vistos como los responsables últimos de la seguridad de la información.

Hay varias razones por las que los CISO son vulnerables al efecto chivo expiatorio. En primer lugar, el rol de CISO es cada vez más complejo y exigente. Los CISO deben lidiar con una amenaza cibernética en constante evolución, y a menudo tienen que tomar decisiones difíciles con recursos limitados. En segundo lugar, los CISO a menudo se encuentran en una posición difícil entre la dirección ejecutiva y los empleados de seguridad. Los ejecutivos pueden presionar a los CISO para que relajen las medidas de seguridad para mejorar la eficiencia, mientras que los empleados de seguridad pueden presionar a los CISO para que implementen medidas más estrictas para proteger los datos.

Cuando ocurre una brecha de seguridad, es fácil culpar al chief information security officer. Esto puede suceder incluso si el CISO no tuvo la culpa del incidente. Por ejemplo, el CISO puede ser culpado por una brecha que se produjo debido a una vulnerabilidad en una plataforma o sistema que no está bajo su control.

El efecto chivo expiatorio puede tener un impacto negativo significativo en los chief information security officer. Puede conducir a la rotación de CISO, lo que puede interrumpir los esfuerzos de seguridad existentes y reducir la continuidad de la seguridad. Además, el efecto chivo expiatorio puede crear una cultura de culpa en la que los empleados de seguridad tienen miedo de tomar riesgos o hablar sobre vulnerabilidades.

¿Qué pueden hacer las empresas para reducir el efecto chivo expiatorio?

Las empresas pueden tomar medidas para reducir el efecto chivo expiatorio. Una de las cosas más importantes que pueden hacer es crear una cultura de seguridad positiva. Esto significa proporcionar apoyo y recursos a los CISO, y establecer un sistema de responsabilidad que no se base en la culpa. Además, las empresas deben ser claras sobre las expectativas de los CISO y asegurarse de que los CISO tengan la autoridad necesaria para tomar decisiones de seguridad.

3. Estrés y agotamiento

El estrés es otra causa de abandono de chief information security officer. No es estrés en sí mismo, sino el agotamiento mental y emocional acumulativo causado por múltiples, diferentes y continuos factores estresantes: el agotamiento.

El agotamiento puede aparecer repentinamente.

Un chief information security officer puede pensar que está manejando el estrés de manera efectiva, pero un único y último colmo puede inclinar la balanza repentina e inesperadamente. El agotamiento puede provocar un colapso físico y/o mental.

Es posible que quienes lo padecen necesiten tomarse un tiempo de descanso prolongado, pasar a una posición menos estresante o simplemente abandonar la industria por completo. Algunos chief information security officer se están pasando a la consultoría, especialmente cuando tienen experiencia, pero no quieren fatiga operativa.

Una encuesta reciente realizada por Salt Security enumera seis de los principales factores estresantes personales que experimentan los CISO a nivel mundial. Cabe destacar que la amenaza de litigios personales es la número uno (48%). Sólo el 1% de los CISO no cree que se enfrente a ningún desafío personal.

Falta de apoyo de la junta directiva

La falta de apoyo de la junta directiva es otra razón importante por la que los CISO se van. Las juntas directivas son responsables de la supervisión de la empresa y de su desempeño. Esto incluye la seguridad de la información. Sin embargo, muchas juntas directivas no entienden la importancia de la ciberseguridad o no están dispuestas a invertir en ella.

Hay varias razones por las que las juntas directivas pueden no apoyar la ciberseguridad. Una razón es que pueden no entender la amenaza cibernética. Otra razón es que pueden estar preocupados por el costo de la ciberseguridad. Por último, algunas juntas directivas pueden simplemente no estar dispuestas a priorizar la seguridad por encima de otros objetivos comerciales.

La falta de apoyo de la junta directiva puede tener un impacto significativo en los CISO. Puede hacer que sea difícil para los CISO obtener los recursos que necesitan para proteger la empresa. También puede hacer que los CISO se sientan frustrados y desanimados.

¿Qué pueden hacer las empresas para obtener el apoyo de la junta directiva?

Las empresas pueden tomar medidas para obtener el apoyo de la junta directiva para la ciberseguridad.

CISO
CISO

Una de las cosas más importantes que pueden hacer es educar a la junta directiva sobre la amenaza cibernética.

La empresa también puede crear un caso de negocio para la ciberseguridad que muestre el costo de una infracción.

Además, la empresa puede asegurarse de que el CISO tenga un asiento en la junta directiva para que pueda informar directamente a los directores sobre los riesgos de ciberseguridad.

El efecto de chivo expiatorio y la falta de apoyo adecuado en las juntas directivas son claramente factores que contribuyen al agotamiento de los CISO, pero también lo son el exceso de trabajo y la frustración. El éxito en ciberseguridad se produce cuando no pasa nada: efectivamente, un CISO exitoso puede trabajar duro y no tener nada que mostrar del éxito.

El próximo gran desafío

La búsqueda de nuevos desafíos es otra razón por la que los CISO se van. Los CISO son profesionales ambiciosos que siempre están buscando formas de mejorar sus habilidades y avanzar en sus carreras. A menudo, la mejor manera de hacerlo es asumir un nuevo desafío en una organización diferente.

Hay varias razones por las que los CISO pueden buscar nuevos desafíos. Una razón es que pueden sentir que ya no están creciendo en su puesto actual. Otra razón es que pueden estar interesados ​​en trabajar en una industria o sector diferente. Por último, algunos chief information security officer simplemente pueden estar buscando un nuevo desafío para mantener sus habilidades afiladas.

La búsqueda de nuevos desafíos puede ser una buena cosa para los CISO. Puede ayudarlos a desarrollar nuevas habilidades, aprender sobre nuevas industrias y avanzar en sus carreras. Sin embargo, también puede ser un desafío para las empresas, ya que puede resultar en una rotación de CISO.

¿Qué pueden hacer las empresas para retener a los CISO que buscan nuevos desafíos?

Las empresas pueden tomar medidas para retener a los CISO que buscan nuevos desafíos. Una de las cosas más importantes que pueden hacer es ofrecer oportunidades de desarrollo profesional. La empresa también puede crear un ambiente de trabajo positivo y desafiante que motive a los chief information security officer a quedarse. Además, la empresa puede ofrecer oportunidades de progresión profesional dentro de la organización.

Solución

Estoy de acuerdo con que la mejor manera de abordar la rotación de CISO es a través de una mejor comunicación. Las juntas directivas y los chief information security officer deben trabajar juntos para comprender mejor las necesidades y expectativas de cada uno.

Para las juntas directivas:
  • Respete a los CISO como líderes empresariales clave. Los CISO son responsables de la protección de los activos más valiosos de una empresa, y su trabajo debe ser tratado con el mismo respeto que el de cualquier otro ejecutivo.
  • Proporcione a los CISO los recursos y la autoridad necesarios para hacer su trabajo. Esto incluye un presupuesto adecuado para las inversiones en seguridad, así como la autoridad para tomar decisiones sin tener que consultar a otros ejecutivos.
  • Cree una cultura de seguridad positiva. Esto significa que las juntas directivas deben comunicar claramente la importancia de la seguridad a toda la organización y respaldar a los CISO cuando tomen medidas para mejorar la seguridad.
Para los CISO:
  • Comprenda los imperativos comerciales de su empresa. Esto ayudará a los chief information security officer a comunicar los riesgos de ciberseguridad a los líderes empresariales de manera que sean relevantes para los objetivos comerciales.
  • Comunique de manera efectiva los imperativos de ciberseguridad a los líderes empresariales. Esto significa ser capaz de traducir el lenguaje técnico de la seguridad en términos que los líderes empresariales puedan entender.
  • Sea un socio de confianza para los líderes empresariales. Esto significa trabajar con los líderes empresariales para desarrollar e implementar estrategias de seguridad que apoyen los objetivos comerciales.

Si las juntas directivas y los CISO pueden trabajar juntos para mejorar la comunicación, se puede reducir la rotación de CISO y mejorar la ciberseguridad de las empresas.

Aquí hay algunas recomendaciones específicas que las empresas pueden implementar para mejorar la comunicación entre las juntas directivas y los CISO:

  • Las juntas directivas deben incluir a un CISO o a un representante de seguridad en sus reuniones. Esto ayudará a garantizar que los imperativos de seguridad se discutan y se tomen en cuenta en la toma de decisiones.

    Cuando un CISO o un representante de seguridad está presente en las reuniones de la junta directiva, pueden proporcionar información sobre los riesgos de ciberseguridad y las medidas que se están tomando para mitigarlos. Esto ayuda a los miembros de la junta a tomar decisiones informadas sobre la seguridad de la empresa.

    Además, la presencia de un CISO o un representante de seguridad en las reuniones de la junta directiva ayuda a crear una cultura de seguridad en la empresa. Esto envía un mensaje a toda la organización de que la seguridad es una prioridad para la empresa.

  • Estoy de acuerdo con que las empresas deben crear un proceso formal para que los CISO informen a las juntas directivas sobre los riesgos de ciberseguridad. Este proceso debe ser regular y transparente para garantizar que los miembros de la junta estén informados de los últimos riesgos y amenazas de ciberseguridad.

    El proceso formal debe incluir los siguientes elementos:

    • Frecuencia: El proceso debe ser regular, por ejemplo, trimestral o semestral. Esto ayudará a garantizar que los miembros de la junta estén al tanto de los últimos desarrollos en ciberseguridad.
    • Transparencia: El proceso debe ser transparente, lo que significa que los miembros de la junta deben tener acceso a toda la información relevante sobre los riesgos de ciberseguridad. Esto ayudará a los miembros de la junta a tomar decisiones informadas sobre la seguridad de la empresa.
    • Contenido: El proceso debe incluir información sobre los siguientes temas:
      • Los riesgos de ciberseguridad actuales y emergentes
      • Las medidas que se están tomando para mitigar los riesgos
      • El impacto potencial de una violación de seguridad

    Un proceso formal para que los CISO informen a las juntas directivas sobre los riesgos de ciberseguridad ayudará a garantizar que las empresas estén preparadas para los desafíos de ciberseguridad.

    Aquí hay algunos consejos específicos para crear un proceso formal:

    • Establezca un calendario regular para las reuniones.
    • Desarrolle una agenda para cada reunión.
    • Prepárese para responder a las preguntas de los miembros de la junta.
    • Proporcione documentación de apoyo, como informes de seguridad, análisis de riesgos y planes de respuesta a incidentes.

    Al seguir estos consejos, las empresas pueden crear un proceso formal que sea eficaz y eficiente.

  • Las empresas deben proporcionar capacitación a las juntas directivas sobre ciberseguridad. La capacitación ayudará a las juntas directivas a comprender mejor los riesgos y las amenazas de ciberseguridad, y a tomar decisiones informadas sobre la seguridad de la empresa.

    La capacitación debe cubrir los siguientes temas:

    • Fundamentos de ciberseguridad: Esto incluye conceptos básicos como seguridad de la información, amenazas cibernéticas, vulnerabilidades y controles de seguridad.
    • Riesgos y amenazas de ciberseguridad: Esto incluye los riesgos y amenazas específicos que enfrentan las empresas de su industria.
    • Regulación de ciberseguridad: Esto incluye las leyes y regulaciones que rigen la ciberseguridad en su país o región.
    • Políticas y procedimientos de ciberseguridad: Esto incluye las políticas y procedimientos que la empresa tiene implementadas para proteger su información.

    La capacitación puede ser proporcionada por un proveedor externo o por el CISO de la empresa. La capacitación debe ser interactiva y práctica para garantizar que los miembros de la junta comprendan los conceptos y puedan aplicarlos a su trabajo.

    Aquí hay algunos consejos específicos para proporcionar capacitación a las juntas directivas sobre ciberseguridad:

    • Comience con una evaluación de las necesidades de capacitación de los miembros de la junta. Esto ayudará a garantizar que la capacitación se centre en los temas más relevantes para los miembros de la junta.
    • Mantenga la capacitación breve y concisa. Los miembros de la junta tienen mucho en su plato, así que asegúrese de que la capacitación sea fácil de digerir.
    • Utilice ejemplos y casos prácticos para ilustrar los conceptos. Esto ayudará a los miembros de la junta a comprender mejor los riesgos y amenazas de ciberseguridad.
    • Ofrezca oportunidades para preguntas y respuestas. Esto ayudará a garantizar que los miembros de la junta comprendan los conceptos.

    Al seguir estos consejos, las empresas pueden proporcionar capacitación eficaz a las juntas directivas sobre ciberseguridad.

Al implementar estas recomendaciones, las empresas pueden crear una cultura de seguridad más sólida que ayude a proteger sus activos más valiosos.

Por Marcelo Lozano – General Publisher IT CONNECT LATAM

NO TE PIERDAS EL ÚLTIMO IT CONNECT SECURE STREAM

Lea más sobre Ciberseguridad;

Chameleon: La Amenaza Bancaria que Desafía en 2024

Google Chrome: alerta mundial CVE-2023-7024

GambleForce: 2023 cierra con nuevas amenazas

Firmware 5G: originalmente inseguro

Krasue: un troyano de diseño para Linux 2024

Scroll al inicio