{"id":4694,"date":"2024-01-02T12:16:08","date_gmt":"2024-01-02T15:16:08","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=4694"},"modified":"2024-01-02T12:16:08","modified_gmt":"2024-01-02T15:16:08","slug":"ciso-2024","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/ciso-2024\/","title":{"rendered":"CISO: duran entre 18 y 24 meses promedio en su cargo"},"content":{"rendered":"

La rotaci\u00f3n de CISO es una amenaza oculta a la ciberseguridad. Las principales iniciativas o implementaciones de seguridad pueden llevar m\u00e1s tiempo que la residencia de un solo CISO.<\/h2>\n

Se dice que el mandato promedio de un director de seguridad de la informaci\u00f3n es de entre 18 y 24 meses. Este es apenas tiempo suficiente para poner los pies debajo de la mesa.<\/p>\n

Surgen dos preguntas: \u00bfpor qu\u00e9 existe una rotaci\u00f3n tan vol\u00e1til en esta \u00e1rea y c\u00f3mo afecta esto a la ciberseguridad empresarial?<\/p>\n

\u00bfPor qu\u00e9 existe una rotaci\u00f3n tan vol\u00e1til de CISO?<\/strong><\/h3>\n

Hay varias razones por las que la rotaci\u00f3n de CISO es tan alta. Una de ellas es que el rol es cada vez m\u00e1s complejo y exigente.<\/p>\n

\"CISO<\/a>
CISO la profesi\u00f3n m\u00e1s riesgosa<\/figcaption><\/figure>\n

Los CISO deben tener una amplia gama de conocimientos y habilidades, desde la tecnolog\u00eda hasta la gesti\u00f3n del riesgo y la comunicaci\u00f3n. Adem\u00e1s, deben estar preparados para lidiar con una amenaza cibern\u00e9tica en constante evoluci\u00f3n.<\/p>\n

Otra raz\u00f3n de la rotaci\u00f3n es que los CISO a menudo son vistos como los principales chivos expiatorios de los incidentes de seguridad.<\/p>\n

Cuando ocurre un incidente, es f\u00e1cil culpar al CISO, independientemente de sus responsabilidades reales. Esto puede crear un entorno de trabajo insostenible para los CISO, lo que puede llevar a la rotaci\u00f3n.<\/p>\n

\u00bfC\u00f3mo afecta la rotaci\u00f3n de CISO a la ciberseguridad empresarial?<\/strong><\/h3>\n

La rotaci\u00f3n de CISO puede tener un impacto negativo en la ciberseguridad empresarial de varias maneras. En primer lugar, puede interrumpir los esfuerzos de seguridad existentes. Cuando un CISO nuevo llega a una empresa, puede tardar tiempo en comprender la situaci\u00f3n de seguridad actual y desarrollar un plan de acci\u00f3n. Esto puede dejar a la empresa vulnerable a los ataques.<\/p>\n

En segundo lugar, la rotaci\u00f3n de CISO puede reducir la continuidad de la seguridad. Cuando un CISO se va, se lleva con \u00e9l su conocimiento y experiencia. Esto puede dificultar que la empresa mantenga sus defensas de seguridad actualizadas.<\/p>\n

En tercer lugar, la rotaci\u00f3n de CISO puede crear una cultura de culpa. Cuando los CISO son vistos como los principales chivos expiatorios de los incidentes de seguridad, puede crear un entorno en el que los empleados de seguridad tienen miedo de tomar riesgos o hablar sobre vulnerabilidades. Esto puede dificultar que la empresa mejore su postura de seguridad.<\/p>\n

\u00bfQu\u00e9 pueden hacer las empresas para reducir la rotaci\u00f3n de CISO?<\/strong><\/h3>\n

Las empresas pueden tomar medidas para reducir la rotaci\u00f3n de CISO. Una de las cosas m\u00e1s importantes que pueden hacer es crear un entorno de trabajo positivo para los CISO.<\/p>\n

\"CISO<\/a>
CISO mucha responsabilidad y poca vida profesional<\/figcaption><\/figure>\n

Esto significa proporcionarles el apoyo y los recursos que necesitan para tener \u00e9xito. Las empresas tambi\u00e9n deben ser claras sobre las expectativas de los CISO y establecer un sistema de responsabilidad que no se base en la culpa.<\/p>\n

Otra cosa que las empresas pueden hacer es mejorar sus pr\u00e1cticas de reclutamiento y selecci\u00f3n de CISO. Las empresas deben buscar candidatos con las habilidades y la experiencia adecuadas, pero tambi\u00e9n deben asegurarse de que los candidatos sean compatibles con la cultura de la empresa.<\/p>\n

Por \u00faltimo, las empresas deben desarrollar planes de sucesi\u00f3n para los CISO. Esto ayudar\u00e1 a garantizar que haya una transici\u00f3n fluida cuando un CISO se vaya.<\/p>\n

La rotaci\u00f3n de CISO es un problema complejo que no tiene una soluci\u00f3n f\u00e1cil. Sin embargo, las empresas pueden tomar medidas para reducir la rotaci\u00f3n y mejorar su ciberseguridad.<\/p>\n

El efecto chivo expiatorio<\/strong><\/h4>\n

El efecto chivo expiatorio es una tendencia en la que una persona o grupo es culpado por un incidente o problema, incluso cuando no son los \u00fanicos responsables o incluso cuando no son responsables en absoluto. En el contexto de la ciberseguridad, el efecto chivo expiatorio puede ser particularmente da\u00f1ino para los CISO, quienes a menudo son vistos como los responsables \u00faltimos de la seguridad de la informaci\u00f3n.<\/p>\n

Hay varias razones por las que los CISO son vulnerables al efecto chivo expiatorio. En primer lugar, el rol de CISO es cada vez m\u00e1s complejo y exigente. Los CISO deben lidiar con una amenaza cibern\u00e9tica en constante evoluci\u00f3n, y a menudo tienen que tomar decisiones dif\u00edciles con recursos limitados. En segundo lugar, los CISO a menudo se encuentran en una posici\u00f3n dif\u00edcil entre la direcci\u00f3n ejecutiva y los empleados de seguridad. Los ejecutivos pueden presionar a los CISO para que relajen las medidas de seguridad para mejorar la eficiencia, mientras que los empleados de seguridad pueden presionar a los CISO para que implementen medidas m\u00e1s estrictas para proteger los datos.<\/p>\n

Cuando ocurre una brecha de seguridad, es f\u00e1cil culpar al chief information security officer<\/b>. Esto puede suceder incluso si el CISO no tuvo la culpa del incidente. Por ejemplo, el CISO puede ser culpado por una brecha que se produjo debido a una vulnerabilidad en una plataforma o sistema que no est\u00e1 bajo su control.<\/p>\n

El efecto chivo expiatorio puede tener un impacto negativo significativo en los chief information security officer<\/b>. Puede conducir a la rotaci\u00f3n de CISO, lo que puede interrumpir los esfuerzos de seguridad existentes y reducir la continuidad de la seguridad. Adem\u00e1s, el efecto chivo expiatorio puede crear una cultura de culpa en la que los empleados de seguridad tienen miedo de tomar riesgos o hablar sobre vulnerabilidades.<\/p>\n

\u00bfQu\u00e9 pueden hacer las empresas para reducir el efecto chivo expiatorio?<\/strong><\/h4>\n

Las empresas pueden tomar medidas para reducir el efecto chivo expiatorio. Una de las cosas m\u00e1s importantes que pueden hacer es crear una cultura de seguridad positiva. Esto significa proporcionar apoyo y recursos a los CISO, y establecer un sistema de responsabilidad que no se base en la culpa. Adem\u00e1s, las empresas deben ser claras sobre las expectativas de los CISO y asegurarse de que los CISO tengan la autoridad necesaria para tomar decisiones de seguridad.<\/p>\n

3. Estr\u00e9s y agotamiento<\/h3>\n

El estr\u00e9s es otra causa de abandono de chief information security officer<\/b>. No es estr\u00e9s en s\u00ed mismo, sino el agotamiento mental y emocional acumulativo causado por m\u00faltiples, diferentes y continuos factores estresantes: el agotamiento.<\/p>\n

El agotamiento puede aparecer repentinamente.<\/p>\n

Un chief information security officer<\/b> puede pensar que est\u00e1 manejando el estr\u00e9s de manera efectiva, pero un \u00fanico y \u00faltimo colmo puede inclinar la balanza repentina e inesperadamente. El agotamiento puede provocar un colapso f\u00edsico y\/o mental.<\/p>\n

Es posible que quienes lo padecen necesiten tomarse un tiempo de descanso prolongado, pasar a una posici\u00f3n menos estresante o simplemente abandonar la industria por completo. Algunos chief information security officer<\/b> se est\u00e1n pasando a la consultor\u00eda, especialmente cuando tienen experiencia, pero no quieren fatiga operativa.<\/p>\n

Una encuesta reciente realizada por Salt Security enumera seis de los principales factores estresantes personales que experimentan los CISO a nivel mundial. Cabe destacar que la amenaza de litigios personales es la n\u00famero uno (48%). S\u00f3lo el 1% de los CISO no cree que se enfrente a ning\u00fan desaf\u00edo personal.<\/p>\n

Falta de apoyo de la junta directiva<\/strong><\/h4>\n

La falta de apoyo de la junta directiva es otra raz\u00f3n importante por la que los CISO se van. Las juntas directivas son responsables de la supervisi\u00f3n de la empresa y de su desempe\u00f1o. Esto incluye la seguridad de la informaci\u00f3n. Sin embargo, muchas juntas directivas no entienden la importancia de la ciberseguridad o no est\u00e1n dispuestas a invertir en ella.<\/p>\n

Hay varias razones por las que las juntas directivas pueden no apoyar la ciberseguridad. Una raz\u00f3n es que pueden no entender la amenaza cibern\u00e9tica. Otra raz\u00f3n es que pueden estar preocupados por el costo de la ciberseguridad. Por \u00faltimo, algunas juntas directivas pueden simplemente no estar dispuestas a priorizar la seguridad por encima de otros objetivos comerciales.<\/p>\n

La falta de apoyo de la junta directiva puede tener un impacto significativo en los CISO. Puede hacer que sea dif\u00edcil para los CISO obtener los recursos que necesitan para proteger la empresa. Tambi\u00e9n puede hacer que los CISO se sientan frustrados y desanimados.<\/p>\n

\u00bfQu\u00e9 pueden hacer las empresas para obtener el apoyo de la junta directiva?<\/strong><\/h4>\n

Las empresas pueden tomar medidas para obtener el apoyo de la junta directiva para la ciberseguridad.<\/p>\n

\"CISO\"<\/a>
CISO<\/figcaption><\/figure>\n

Una de las cosas m\u00e1s importantes que pueden hacer es educar a la junta directiva sobre la amenaza cibern\u00e9tica.<\/p>\n

La empresa tambi\u00e9n puede crear un caso de negocio para la ciberseguridad que muestre el costo de una infracci\u00f3n.<\/p>\n

Adem\u00e1s, la empresa puede asegurarse de que el CISO tenga un asiento en la junta directiva para que pueda informar directamente a los directores sobre los riesgos de ciberseguridad.<\/p>\n

El efecto de chivo expiatorio y la falta de apoyo adecuado en las juntas directivas son claramente factores que contribuyen al agotamiento de los CISO, pero tambi\u00e9n lo son el exceso de trabajo y la frustraci\u00f3n. El \u00e9xito en ciberseguridad se produce cuando no pasa nada: efectivamente, un CISO exitoso puede trabajar duro y no tener nada que mostrar del \u00e9xito.<\/p>\n

El pr\u00f3ximo gran desaf\u00edo<\/strong><\/h4>\n
\n
\n
Los chief information security officer<\/b> que se encuentran con nuevos desaf\u00edos<\/div>\n<\/div>\n<\/div>\n

La b\u00fasqueda de nuevos desaf\u00edos es otra raz\u00f3n por la que los CISO se van. Los CISO son profesionales ambiciosos que siempre est\u00e1n buscando formas de mejorar sus habilidades y avanzar en sus carreras. A menudo, la mejor manera de hacerlo es asumir un nuevo desaf\u00edo en una organizaci\u00f3n diferente.<\/p>\n

Hay varias razones por las que los CISO pueden buscar nuevos desaf\u00edos. Una raz\u00f3n es que pueden sentir que ya no est\u00e1n creciendo en su puesto actual. Otra raz\u00f3n es que pueden estar interesados \u200b\u200ben trabajar en una industria o sector diferente. Por \u00faltimo, algunos chief information security officer<\/b> simplemente pueden estar buscando un nuevo desaf\u00edo para mantener sus habilidades afiladas.<\/p>\n

La b\u00fasqueda de nuevos desaf\u00edos puede ser una buena cosa para los CISO. Puede ayudarlos a desarrollar nuevas habilidades, aprender sobre nuevas industrias y avanzar en sus carreras. Sin embargo, tambi\u00e9n puede ser un desaf\u00edo para las empresas, ya que puede resultar en una rotaci\u00f3n de CISO.<\/p>\n

\u00bfQu\u00e9 pueden hacer las empresas para retener a los CISO que buscan nuevos desaf\u00edos?<\/strong><\/h4>\n

Las empresas pueden tomar medidas para retener a los CISO que buscan nuevos desaf\u00edos. Una de las cosas m\u00e1s importantes que pueden hacer es ofrecer oportunidades de desarrollo profesional. La empresa tambi\u00e9n puede crear un ambiente de trabajo positivo y desafiante que motive a los chief information security officer<\/b><\/a> a quedarse. Adem\u00e1s, la empresa puede ofrecer oportunidades de progresi\u00f3n profesional dentro de la organizaci\u00f3n.<\/p>\n

Soluci\u00f3n<\/strong><\/h5>\n

Estoy de acuerdo con que la mejor manera de abordar la rotaci\u00f3n de CISO es a trav\u00e9s de una mejor comunicaci\u00f3n. Las juntas directivas y los chief information security officer<\/b> deben trabajar juntos para comprender mejor las necesidades y expectativas de cada uno.<\/p>\n

Para las juntas directivas:<\/strong><\/h5>\n
    \n
  • Respete a los CISO como l\u00edderes empresariales clave.<\/strong>\u00a0Los CISO son responsables de la protecci\u00f3n de los activos m\u00e1s valiosos de una empresa, y su trabajo debe ser tratado con el mismo respeto que el de cualquier otro ejecutivo.<\/li>\n
  • Proporcione a los CISO los recursos y la autoridad necesarios para hacer su trabajo.<\/strong>\u00a0Esto incluye un presupuesto adecuado para las inversiones en seguridad, as\u00ed como la autoridad para tomar decisiones sin tener que consultar a otros ejecutivos.<\/li>\n
  • Cree una cultura de seguridad positiva.<\/strong>\u00a0Esto significa que las juntas directivas deben comunicar claramente la importancia de la seguridad a toda la organizaci\u00f3n y respaldar a los CISO cuando tomen medidas para mejorar la seguridad.<\/li>\n<\/ul>\n
    Para los CISO:<\/strong><\/h5>\n
      \n
    • Comprenda los imperativos comerciales de su empresa.<\/strong> Esto ayudar\u00e1 a los chief information security officer<\/b> a comunicar los riesgos de ciberseguridad a los l\u00edderes empresariales de manera que sean relevantes para los objetivos comerciales.<\/li>\n
    • Comunique de manera efectiva los imperativos de ciberseguridad a los l\u00edderes empresariales.<\/strong>\u00a0Esto significa ser capaz de traducir el lenguaje t\u00e9cnico de la seguridad en t\u00e9rminos que los l\u00edderes empresariales puedan entender.<\/li>\n
    • Sea un socio de confianza para los l\u00edderes empresariales.<\/strong>\u00a0Esto significa trabajar con los l\u00edderes empresariales para desarrollar e implementar estrategias de seguridad que apoyen los objetivos comerciales.<\/li>\n<\/ul>\n

      Si las juntas directivas y los CISO pueden trabajar juntos para mejorar la comunicaci\u00f3n, se puede reducir la rotaci\u00f3n de CISO y mejorar la ciberseguridad de las empresas.<\/p>\n

      Aqu\u00ed hay algunas recomendaciones espec\u00edficas que las empresas pueden implementar para mejorar la comunicaci\u00f3n entre las juntas directivas y los CISO:<\/p>\n

        \n
      • \n

        Las juntas directivas deben incluir a un CISO o a un representante de seguridad en sus reuniones.<\/strong> Esto ayudar\u00e1 a garantizar que los imperativos de seguridad se discutan y se tomen en cuenta en la toma de decisiones.<\/p>\n

        Cuando un CISO o un representante de seguridad est\u00e1 presente en las reuniones de la junta directiva, pueden proporcionar informaci\u00f3n sobre los riesgos de ciberseguridad y las medidas que se est\u00e1n tomando para mitigarlos. Esto ayuda a los miembros de la junta a tomar decisiones informadas sobre la seguridad de la empresa.<\/p>\n

        Adem\u00e1s, la presencia de un CISO o un representante de seguridad en las reuniones de la junta directiva ayuda a crear una cultura de seguridad en la empresa. Esto env\u00eda un mensaje a toda la organizaci\u00f3n de que la seguridad es una prioridad para la empresa.<\/p>\n<\/li>\n

      • \n

        Estoy de acuerdo con que las empresas deben crear un proceso formal para que los CISO informen a las juntas directivas sobre los riesgos de ciberseguridad. Este proceso debe ser regular y transparente para garantizar que los miembros de la junta est\u00e9n informados de los \u00faltimos riesgos y amenazas de ciberseguridad.<\/p>\n

        El proceso formal debe incluir los siguientes elementos:<\/p>\n

          \n
        • Frecuencia:<\/strong>\u00a0El proceso debe ser regular, por ejemplo, trimestral o semestral. Esto ayudar\u00e1 a garantizar que los miembros de la junta est\u00e9n al tanto de los \u00faltimos desarrollos en ciberseguridad.<\/li>\n
        • Transparencia:<\/strong>\u00a0El proceso debe ser transparente, lo que significa que los miembros de la junta deben tener acceso a toda la informaci\u00f3n relevante sobre los riesgos de ciberseguridad. Esto ayudar\u00e1 a los miembros de la junta a tomar decisiones informadas sobre la seguridad de la empresa.<\/li>\n
        • Contenido:<\/strong>\u00a0El proceso debe incluir informaci\u00f3n sobre los siguientes temas:\n
            \n
          • Los riesgos de ciberseguridad actuales y emergentes<\/li>\n
          • Las medidas que se est\u00e1n tomando para mitigar los riesgos<\/li>\n
          • El impacto potencial de una violaci\u00f3n de seguridad<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n

            Un proceso formal para que los CISO informen a las juntas directivas sobre los riesgos de ciberseguridad ayudar\u00e1 a garantizar que las empresas est\u00e9n preparadas para los desaf\u00edos de ciberseguridad.<\/p>\n

            Aqu\u00ed hay algunos consejos espec\u00edficos para crear un proceso formal:<\/p>\n

              \n
            • Establezca un calendario regular para las reuniones.<\/strong><\/li>\n
            • Desarrolle una agenda para cada reuni\u00f3n.<\/strong><\/li>\n
            • Prep\u00e1rese para responder a las preguntas de los miembros de la junta.<\/strong><\/li>\n
            • Proporcione documentaci\u00f3n de apoyo, como informes de seguridad, an\u00e1lisis de riesgos y planes de respuesta a incidentes.<\/strong><\/li>\n<\/ul>\n

              Al seguir estos consejos, las empresas pueden crear un proceso formal que sea eficaz y eficiente.<\/p>\n<\/li>\n

            • \n

              Las empresas deben proporcionar capacitaci\u00f3n a las juntas directivas sobre ciberseguridad. La capacitaci\u00f3n ayudar\u00e1 a las juntas directivas a comprender mejor los riesgos y las amenazas de ciberseguridad, y a tomar decisiones informadas sobre la seguridad de la empresa.<\/p>\n

              La capacitaci\u00f3n debe cubrir los siguientes temas:<\/p>\n

                \n
              • Fundamentos de ciberseguridad:<\/strong>\u00a0Esto incluye conceptos b\u00e1sicos como seguridad de la informaci\u00f3n, amenazas cibern\u00e9ticas, vulnerabilidades y controles de seguridad.<\/li>\n
              • Riesgos y amenazas de ciberseguridad:<\/strong>\u00a0Esto incluye los riesgos y amenazas espec\u00edficos que enfrentan las empresas de su industria.<\/li>\n
              • Regulaci\u00f3n de ciberseguridad:<\/strong>\u00a0Esto incluye las leyes y regulaciones que rigen la ciberseguridad en su pa\u00eds o regi\u00f3n.<\/li>\n
              • Pol\u00edticas y procedimientos de ciberseguridad:<\/strong>\u00a0Esto incluye las pol\u00edticas y procedimientos que la empresa tiene implementadas para proteger su informaci\u00f3n.<\/li>\n<\/ul>\n

                La capacitaci\u00f3n puede ser proporcionada por un proveedor externo o por el CISO de la empresa. La capacitaci\u00f3n debe ser interactiva y pr\u00e1ctica para garantizar que los miembros de la junta comprendan los conceptos y puedan aplicarlos a su trabajo.<\/p>\n

                Aqu\u00ed hay algunos consejos espec\u00edficos para proporcionar capacitaci\u00f3n a las juntas directivas sobre ciberseguridad:<\/p>\n

                  \n
                • Comience con una evaluaci\u00f3n de las necesidades de capacitaci\u00f3n de los miembros de la junta.<\/strong>\u00a0Esto ayudar\u00e1 a garantizar que la capacitaci\u00f3n se centre en los temas m\u00e1s relevantes para los miembros de la junta.<\/li>\n
                • Mantenga la capacitaci\u00f3n breve y concisa.<\/strong>\u00a0Los miembros de la junta tienen mucho en su plato, as\u00ed que aseg\u00farese de que la capacitaci\u00f3n sea f\u00e1cil de digerir.<\/li>\n
                • Utilice ejemplos y casos pr\u00e1cticos para ilustrar los conceptos.<\/strong>\u00a0Esto ayudar\u00e1 a los miembros de la junta a comprender mejor los riesgos y amenazas de ciberseguridad.<\/li>\n
                • Ofrezca oportunidades para preguntas y respuestas.<\/strong>\u00a0Esto ayudar\u00e1 a garantizar que los miembros de la junta comprendan los conceptos.<\/li>\n<\/ul>\n

                  Al seguir estos consejos, las empresas pueden proporcionar capacitaci\u00f3n eficaz a las juntas directivas sobre ciberseguridad.<\/p>\n<\/li>\n<\/ul>\n

                  Al implementar estas recomendaciones, las empresas pueden crear una cultura de seguridad m\u00e1s s\u00f3lida que ayude a proteger sus activos m\u00e1s valiosos.<\/p>\n

                  Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/h6>\n

                  \n

                  NO TE PIERDAS EL \u00daLTIMO IT CONNECT SECURE STREAM<\/p>\n