A medida que los riesgos cibernéticos se convierten en un problema para el negocio, el papel de los directores de seguridad de la información, (CISO por sus siglas en inglés), en una organización ha tomado mayor relevancia. El CISO moderno no es solo un jefe de departamento, es el responsable de la implementación y administración de los controles de seguridad, así como de cerciorar que cada estación de trabajo tenga la última versión de seguridad o de que los puertos críticos no estén expuestos a Internet. Hoy en día, ya no es suficiente para un CISO hacer que una empresa sea muy segura, ya que puede obstaculizar el progreso y la rentabilidad.
Como ejecutivo de nivel C, su función ahora se compone de dos elementos cruciales e igualmente importantes: en primer lugar, permitir que la organización alcance sus objetivos comerciales, como lanzar mejores productos más rápido que sus competidores, algo que es atractivo para los inversionistas e incrementa los ingresos; en segundo lugar, ser un experto en ciberseguridad y minimizar los riesgos de ciberataques que podrían amenazar al negocio. Obtener el equilibrio correcto no sólo requiere una excelente experiencia en materia de seguridad y conocimiento de las últimas tendencias tecnológicas, sino también un conjunto de ‘habilidades blandas’, que tal vez no sea algo natural para quienes comenzaron su carrera en el departamento de TI.
Para ayudar a que los CISOs de hoy sean exitosos en sus roles, existen cuatro habilidades clave en las cuales deben concentrarse:
1. Visión para los negocios
En los viejos tiempos, el CISO era responsable de desarrollar un plan de defensa basado en el panorama de TI de su empresa. Esta estrategia ahora es insuficiente y el enfoque moderno debe alinearse con la visión empresarial. Por esto es que casi todos los puestos de CISO anunciados, en Glassdoor y sitios similares, no sólo requieren de un conocimiento en seguridad TI detallado y de distintas certificaciones, sino también que la persona posea una mentalidad empresarial. Como resultado, los CISO no pueden descartar o prohibir una tecnología que su negocio quisiera implementar. Necesitan evaluar los riesgos asociados y proponer la estrategia más segura que no impida el progreso organizacional. Si el personal necesita tener acceso a los recursos corporativos desde sus dispositivos, el CISO debe implementar una política de bring your own device (BYOD) en la red empresarial.
En las palabras de un CISO, la mejor práctica consiste en asesorar a otros para que se conviertan en un administrador en el manejo de riesgos, así como ofrecer asistencia y orientación a la empresa: “Antes de introducir alguna tecnología nueva en cualquier departamento, llevoa cabo reuniones con las personas encargadas para asegurar que sus cambios no vayan en contra de nuestras normas de seguridad. A partir de ahí implementamos los cambios necesarios para tener una integración adecuada con nuestra red”.
2. Habilidades de comunicación y presentación.
Ser un ejecutivo implica interactuar con el suite-C y la junta directiva. Pero como muy pocos gerentes de alto nivel tienen antecedentes en seguridad, puede ser un desafío por superar así que un CISO debe desarrollar una retórica que garantice que la junta entienda qué tan graves son los riesgos, especialmente si está acostumbrado a hablar en la jerga de TI.
Si bien la capacidad de presentar ideas complejas de una manera fácil de entender ha sido un cliché de vacante, la habilidad de traducir el lenguaje de ciberseguridad en términos comerciales puede llenar este vacío de comunicación. También puede ser útil cuando se trata de un gran reto para cada CISO: la justificación del presupuesto de seguridad de TI. Dado que el presupuesto de ciberseguridad a menudo forma parte del gasto global de TI, se puede priorizar el dinero para proyectos de TI que demuestren beneficios empresariales evidentes y un retorno de inversión. Las habilidades de comunicación, como la capacidad de adaptar la información a una audiencia no técnica y la creación de argumentos sólidos (penalizaciones por incumplimiento, daños causados por ataques pasados, informes de incumplimiento) pueden demostrar que los beneficios superan con creces los costos.
3. Habilidades de gestión de crisis.
Según un informe reciente de Kaspersky Lab, el 86% de los CISOs piensa que las violaciones de ciberseguridad son inevitables, lo que significa que las empresas no pueden permitirse estar desprevenidas. Cada oficina tiene un procedimiento de evacuación que todos deben seguir en caso de incendio. Del mismo modo, una empresa debe tener un protocolo para cuando ocurre una violación, ya que el pánico y la desorganización solo empeorarán la situación.
Un plan de acción no se limita a cambiar las contraseñas afectadas o recuperar sistemas. Para eliminar el ataque rápidamente, es esencial averiguar quién es responsable de ciertas acciones e identificar los contactos clave en otros departamentos para informar primero. Éstos pueden incluir equipos legales, de comunicación o de servicio al cliente que, a su vez, podrán participar en la resolución de la crisis. Si ocurre una violación, es esencial que el CISO se mantenga informado durante un incidente y se convierta en un vínculo entre las partes interesadas, y sea quien coordine las actividades de respuesta a incidentes del equipo de seguridad de TI, mantenga a la empresa informada y ofrezca asesoramiento sobre cómo resolver la situación.
4. Supervisión y liderazgo.
Dado que el 62% de los CISOs está de acuerdo en que hay una escasez de talento en ciberseguridad, cada vez es más difícil encontrar un especialista en seguridad. Sin embargo, esto es sólo el principio, y la principal causa de preocupación es la retención de empleados. La falta de especialistas en seguridad significa que estos tienen muchas opciones a la hora que decidan cambiar de trabajo, como precisa un CISO: “Soy un administrador de especialistas en ciberseguridad muy talentosos, que son objetivos de múltiples cazadores de cabezas”. La falta de fuerza laboral de seguridad de TI también aumenta la carga de trabajo del personal actual, lo que causa preocupación adicional para los líderes de seguridad. Con un sinfín de tareas redundantes y monótonas, ¿son los despidos tan inevitables como el ciberdelito?
Como los CISOs tienen una influencia directa en el personal de seguridad, deben ser líderes a quienes las personas puedan seguir, ser un mentor que pueda apoyar al equipo y encontrar maneras de motivar a los empleados, que no debiera limitarse a incentivos monetarios, puede incluir otorgar más autoridad para tomar decisiones, posibilidades de aprendizaje y desarrollo profesional (por ejemplo, asistiendo y participando en conferencias de seguridad) e incluso un simple reconocimiento laboral. Lo que funciona perfectamente para una persona puede no adaptarse a otra, por lo que, para ser un gerente efectivo, un CISO debe elegir el incentivo o la fuente de motivación óptimos para todos en su equipo.
Está claro que el rol de la CISO es desafiante, ya que requiere una combinación de habilidades humanas y técnicas. Para ser efectivo, un CISO debe desarrollar cualidades de gestión y liderazgo, una amplia comprensión de TI, una mentalidad empresarial y un conocimiento de ciberseguridad.
Si bien las habilidades técnicas forman la base del rol actual, los factores clave continuarán afectando el equilibrio de habilidades necesarias en el futuro. Por ejemplo, el aumento de las herramientas defensivas impulsadas por la Inteligencia Artificial en el mercado para ayudar en la lucha contra la ciberdelincuencia no tiene por qué significar que los robots tomarán nuestro trabajo, ya que no pueden aprender las habilidades sociales que hemos discutido. Es posible que llegue el día en que las máquinas tengan mejor experiencia en ciberseguridad que cualquier humano y puedan resolver tareas técnicas, pero si los CISOs tienen habilidades blandas, como la administración de su equipo y gestión de tiempo, así como también la visión para los negocios, sus funciones seguirán siendo una necesidad para las empresas en el futuro.
Maxim Frolov – America Economía
Logre que los líderes dentro de su organización sean verdaderos impulsores y ejecutores de estrategia de negocios, con los programas de Desarrollo del Liderazgo de Lee Hecht Harrison ARGENTINA . Haga click aquí para más información.
