Según el Estado del CISO 2023-2024 de IANS y Artico Search: Informe general de referencia, la mayoría (75%) de los CISO están considerando asumir un nuevo rol. “En 2024, esperamos que los CISO aumenten su sentido de urgencia para asumir nuevos roles y las empresas comiencen a abrir más oportunidades a medida que cambia la economía”, dijo a IANS, un proveedor de información sobre seguridad, Nick Kakorowski, director de investigación de . Semana de la Información.
Las razones por las que los CISO deciden buscar nuevas oportunidades incluyen el agotamiento, un mayor deseo de protección contra riesgos y el deseo de asumir nuevos desafíos. Con tanta gente talentosa que busca un cambio, ¿qué pueden esperar los CISO en el mercado laboral? Cuando llega una oferta, ¿qué la hace atractiva o qué podría desalentarla?
Mercado laboral CISO
Hay demanda de talento en ciberseguridad y la brecha de habilidades es un tema candente. Sin embargo, a nivel de CISO, la competencia por los puestos es feroz. “Cuando se trata de CISO, lo llamamos mercado laboral; [is] “En este momento, hay más personas calificadas que empleos”, dijo Bobby Gormsen, director de búsqueda de ejecutivos de la firma de búsqueda de ejecutivos Riviera Partners. “La competencia por estos puestos es más intensa que nunca. Esto está creando una situación en la que se contrata a los mejores candidatos, y candidatos igualmente excelentes quedan en segundo lugar y, lamentablemente, no son contratados”.
Los CISO que buscan un nuevo rol pueden iniciar el proceso confiando en sus redes personales. Hable con otros CISO, mentores y reclutadores de confianza para comprender qué puestos están disponibles y por qué necesita cubrirlos.
“Creo que tener esa conexión personal es realmente útil porque es más probable que obtengas respuestas reales”, dijo a InformationWeek Jay Pasteris, CIO y CISO de Blue Mantis, un proveedor de servicios de tecnología digital.
El rol del CISO ha evolucionado a lo largo de los años y requiere cada vez más una combinación de experiencia técnica y comercial combinada con cumplimiento y gestión de riesgos. Diferentes organizaciones tienden a necesitar diferentes tipos de CISO según su tamaño, industria y postura de seguridad. Algunos CISO se centran en crear programas de seguridad desde cero, mientras que otros asumen el control después de una infracción.
“[Be] introspectivo [say]”¿Qué tipo de CISO he sido? ¿Dónde es probable que sea un candidato atractivo y qué es lo más interesante para mí?”, pregunta la empresa de contratación Artico Search, dice Stephen Martano, socio en ciberseguridad de .
Qué buscar en la oferta
¿Qué hace que un trabajo de CISO sea atractivo? La respuesta a esa pregunta es personal en muchos sentidos. Sin embargo, hay algunos factores importantes que todo CISO querrá considerar antes de aceptar un nuevo rol.
Por supuesto, la compensación es una de las métricas más directas para evaluar una oferta de trabajo. Las expectativas de compensación para los CISO están aumentando, especialmente porque se espera que sean objeto de un mayor escrutinio por parte de organismos reguladores como la SEC y asuman más riesgos.
La forma en que se estructura la compensación es una consideración importante. Los CISO tienden a tener mandatos más cortos que otros puestos de liderazgo de nivel C. Según la encuesta de directores globales de seguridad de la información (CISO) de 2023 de la firma de búsqueda de ejecutivos Heidrick & Struggles, la permanencia promedio es de cuatro años. Según Gormsen, los CISO que han estado en el puesto durante un corto período de tiempo tienen más probabilidades de estar interesados en una compensación en efectivo que en un capital que se consolide a lo largo de varios años. “Quieren efectivo garantizado a corto plazo en lugar de incentivos a largo plazo”, explica.
El dinero es importante, pero no lo es todo. Las responsabilidades y recursos que conlleva una oportunidad de CISO son fundamentales para determinar si el puesto es adecuado. “¿Cuáles son sus expectativas para el primer año? ¿Y cómo será el éxito durante tres años?”, pregunta Martano.
Los CISO pueden hacer preguntas para comprender si la organización proporciona los recursos necesarios para cumplir con los criterios de éxito. “Queremos ir a un lugar donde se valore la seguridad, la seguridad sea una prioridad y no estemos luchando por obtener partes del presupuesto para hacer las cosas”, dice Kakolowski.
La estructura de informes es otro factor a evaluar. Muchos CISO prefieren reportar directamente al director ejecutivo o a la junta directiva. Aunque este rol está aumentando dentro de las organizaciones, la mayoría de los CISO todavía se encuentran en el nivel de vicepresidente o director, según el Estado del CISO, 2023-2024: Informe de evaluación comparativa. Los CISO pueden desempeñar diversas funciones, incluidos CIO, CTO, COO, CFO, asesor general y director de riesgos.
La eficacia de una estructura jerárquica se determina de muchas maneras. El quid de la cuestión es cómo las organizaciones posicionan la seguridad.
“Comprenda cómo ve su sistema de informes la seguridad y cuánta economía le brinda a usted, el CISO, para tomar decisiones, realizar los cambios necesarios e implementarlos”, explica Pasteris.
La protección contra riesgos se está convirtiendo cada vez más en una necesidad para los CISO y se presenta de muchas formas. ¿Su organización ofrece seguro para directores y funcionarios (D&O) a su CISO? ¿Existe cobertura contractual? ¿Existe un paquete de indemnización para ejecutivos?
“Es realmente importante entender por qué una empresa está estructurada como está”, dice Kakolowski. “Si no tiene un seguro D&O, ¿qué significa eso y por qué no lo tiene? ¿Es porque en realidad el CISO no se considera un funcionario de la empresa? diferencia.
No siempre es posible saber exactamente cómo encajarás en un puesto hasta que empieces a trabajar, pero el proceso de la entrevista puede revelar mucho. ¿Cómo hablan las diferentes personas dentro de su organización sobre el papel del CISO y el enfoque organizacional hacia la seguridad?
“Siempre les digo a mis clientes, [to] “Sea muy reflexivo sobre el proceso por el que somete a los candidatos, porque ese proceso a menudo se considera un precursor de cómo es trabajar en una empresa y, a menudo, es el correcto”, dice Martano.
Banderas rojas en una oferta de trabajo
Varias posibles señales de alerta pueden ayudar a los CISO a eliminar trabajos inadecuados. Durante el proceso de entrevista, los candidatos pueden encontrar expectativas no coincidentes con respecto al puesto. “Si escucha mensajes inconsistentes o siente que algunas de las personas que está entrevistando tienen perspectivas completamente diferentes sobre las expectativas de seguridad, la alineación de la seguridad, la aceptación de la seguridad y la evangelización, eso es peligroso. Puede ser una señal”, dijo Martano.
La estructura de informes de una organización también puede ser una señal de alerta para los CISO. Los CISO pueden dudar en reportarse a ciertas funciones. Por ejemplo, Pasteris dijo que no consideraría un puesto que dependa del director financiero. “Eso simplemente no es posible para mí. Sé que sólo se trata de finanzas”, explica.
También es importante considerar qué roles reportan al CISO. “Si hay circunstancias excepcionales en la estructura de informes donde las personas centradas en la seguridad no informan directamente a la organización CISO, creo que es una gran señal de alerta”, dice Gormsen.
Si queda claro que la organización no reconoce el valor de la seguridad o no proporciona al CISO el entorno y los recursos adecuados para realizar su trabajo, es posible que rechace la oferta. “Presupuestos limitados, autoridad limitada, alcance limitado, comprensión limitada del impacto empresarial: probablemente evitará oportunidades en las que se vea simplemente como una función de casilla de verificación”, dice Pasteris.
aceptar un nuevo rol
Puede llevar un mes o más encontrar y colocar a un candidato. “Si se hace un buen trabajo contratando a un CISO, se puede conseguir en 90 días”, afirma Martano.
El tiempo que lleva encontrar, aceptar y comenzar un nuevo rol depende de muchos factores. Desde la perspectiva de un CISO, más rápido no siempre es mejor. “Si está buscando nuevas oportunidades, no se apresure a actuar. Hay demasiadas cosas que considerar y demasiado riesgo”, dice Pasteris.
Fuente: https://www.informationweek.com/it-leadership/how-to-evaluate-a-ciso-job-offer
