En esta entrevista de Help Net Security, el vicepresidente y analista de Gartner, Chris Mixter, habla sobre el dinámico mundo del CISO y cómo su función ha evolucionado significativamente a lo largo de los años. Describimos las habilidades esenciales para los CISO en 2024, abordamos los desafíos que enfrentan y destacamos la importancia de alinear las expectativas corporativas con las demandas de protección de la información.
¿Cómo ha evolucionado el papel del CISO en los últimos años, especialmente a la hora de resolver desafíos y liderar con visión?
Gartner divide la evolución del CISO de cualquier organización en cuatro etapas: Gerente de control -> Propietario de decisiones de riesgo -> Facilitador confiable -> Creador de valor. Dado que cada etapa se basa en la etapa anterior, no estamos posicionando estas etapas como “malas” o “inmaduras”, sino más bien como requisitos previos y contribuyentes al desempeño en la siguiente etapa. Regularmente comparamos la eficacia de los CISO, y la mayoría de los CISO se identifican a sí mismos como en la etapa de “propietario de las decisiones de riesgo” o “facilitador confiable”. La mayoría de los CISO han evolucionado más allá de ser meros gerentes de control, y el papel de “creador de valor” sigue siendo tenue.
Ahora, al observar más de cerca las etapas de cómo ha evolucionado el rol del CISO, el rol sigue siendo lo que mejor se puede describir como una “molécula inestable”. Las descripciones de las funciones del CISO varían ampliamente en términos de puesto, alcance, líneas jerárquicas y responsabilidad. Ahora bien, “molécula inestable” no se entiende en un sentido peyorativo, es sólo una descripción de la realidad. Y eso no es sorprendente. Después de todo, el rol de director de seguridad de la información no se originó realmente hasta mediados de la década de 1990. Aunque los líderes financieros han tenido más de 1000 años (sin exagerar) para organizar su autoridad, el papel del CISO aún se encuentra en sus primeras etapas. Esperamos ver cierta diversidad en el rol de CISO, ya que los requisitos de ciberseguridad varían entre empresas y agencias gubernamentales, por lo que también esperamos cierta diversidad en el rol.
Pero ser una molécula inestable plantea problemas para los CISO… Por un lado, los CISO se distinguen de otros ejecutivos de nivel C con quienes se espera que interactúen. Debido a que hay poca diferencia entre los roles de líderes de nivel C comparables, como CHRO, CFO, VP de Ventas, VP de Marketing, etc., es importante que los colegas CISO sepan “exactamente qué hace y qué no hace un CISO. “A menudo es difícil. Una de las realidades más dolorosas para los CISO hoy en día es que sigue habiendo una desconexión entre lo que las empresas y las agencias gubernamentales esperan de los CISO y las tareas y las financiaciones de los CISO. Eso es cierto. La manifestación actual más visible de esa desconexión es la incertidumbre tanto del nivel C más amplio como de los propios CISO con respecto al papel de los CISO en el apoyo al cumplimiento de las empresas con las reglas de divulgación actualizadas de la SEC, pero también de otros.
Para alcanzar la etapa de facilitador confiable y creador de valor, los CISO deben comprometerse a cerrar la brecha entre las expectativas de la empresa y lo que los CISO realmente pueden ofrecer (y tener la financiación).
En su opinión, ¿cuáles son las habilidades más importantes que deben dominar los CISO en 2024?
Hay varias opiniones flotando en el mundo sobre qué habilidades debe adquirir un CISO. Siempre prefiero confiar en los datos.
El estudio de eficacia de CISO de Gartner identifica 14 comportamientos y mentalidades esenciales para los CISO. Cada año, más de 200 CISO contribuyen con datos de desempeño y comportamiento a este análisis, y la última edición tiene como objetivo iniciar conversaciones sobre la evolución de las normas para adelantarse a las amenazas, proteger proactivamente las nuevas tecnologías y más, dedicando tiempo regular a actividades de desarrollo profesional. , establecer relaciones con tomadores de decisiones de alto nivel fuera del proyecto y colaborar con tomadores de decisiones de alto nivel para definir la tolerancia al riesgo se muestran como los cinco principales.
Por supuesto, cuando leemos la frase “ser proactivo a la hora de proteger las tecnologías emergentes”, pensamos en “comprender los riesgos y oportunidades de la IA”, pero la mayoría de las preguntas que recibimos de los CISO son sobre la dificultad de construir relaciones que vayan más allá de los límites de las cuestiones. Por ejemplo, nuestros puntos de referencia muestran claramente que la interacción regular con los directores financieros y gerentes de ventas es el diferenciador de CISO más eficaz. Esto se debe a que dicha interacción es poco común en la comunidad de CISO y suele estar relacionada con cuestiones fundamentales de seguridad;
Los CISO eficaces crean valor interactivo que va más allá de “cómo hacer que una función sea más segura”. Esto significa que debe comprender verdaderamente las prioridades de su CFO y CSO. Alerta de spoiler: su prioridad número uno no es, ni debería ser, la ciberseguridad.
Como se mencionó anteriormente, el nexo entre la evolución de las normas y la construcción de relaciones más allá de los proyectos es que, al menos para las empresas que operan en el mercado estadounidense, la necesidad de cumplir con las reglas actualizadas de la SEC se trata de apoyar iniciativas corporativas. Aquí existe un enorme riesgo de que los CISO se extralimiten, pero también pueden crear un valor tremendo y demostrar un verdadero liderazgo de nivel C. Por lo tanto, en términos de desarrollo de habilidades, los CISO deberían centrarse en establecer algunos límites. Por ejemplo, si no es un directivo de la empresa, no se deje presionar para firmar un 8-K o determinar qué es material.
¿Cuáles son los desafíos más importantes que enfrentan los CISO y cómo recomienda abordarlos?
Es más fácil enumerar tareas sin importancia. De esa forma tu lista será mucho más corta. Ser líder en ciberseguridad significa que ningún problema es pequeño. Un CISO al que admiraba y del que aprendí mucho solo veía rojo y verde en su panel de rendimiento. Dijo que no hay amarillo en la ciberseguridad. O algo está roto o no lo está. Creo que hay mucha información en esa perspectiva.
El mayor desafío para los CISO es la gestión del tiempo. Los días de “luchar por escaños” en el campo de la ciberseguridad quedaron atrás. La mayoría de los CISO con los que trabajo ahora están invitados e incluso se les exige que estén en todas las mesas. Como era de esperar, los CISO con una eficiencia cada vez mayor son personas despiadadas con su tiempo. Decida cuidadosamente con quién interactuar y con qué intensidad, y delegue o automatice el resto.
Sin duda, la ciberseguridad es en gran medida una elección de estilo de vida, por lo que lo que constituye el equilibrio entre el trabajo y la vida personal será diferente para cada CISO. Sin embargo, años de análisis y experiencia han demostrado que la mayoría de los CISO llegan al trabajo creyendo que estar “siempre disponibles” es un requisito laboral. Y uno de los legados de la era de la “lucha por los escaños” es el deseo de estar en todas partes y aportar valor siempre que sea posible. Estos comportamientos e ideas no crecerán. Esto se evidencia en la increíble rotación y agotamiento en el rol de CISO.
La solución, por muy sencilla que parezca, es empezar a tratar el tiempo como su recurso más preciado. Desarrolle habilidades de gestión del tiempo de la misma manera que desarrolla otras habilidades importantes necesarias para el trabajo. De hecho, una de las formas más comunes en las que apoyo a los clientes es identificar su “crecimiento personal” en el CISO Effectiveness Benchmark y luego organizar talleres de gestión del tiempo para ayudarlos a desarrollar esta habilidad.
¿Cómo pueden los CISO equilibrar los aspectos técnicos de la ciberseguridad con la creciente necesidad de visión empresarial?
Los CISO requieren capacidades técnicas avanzadas. La ciberseguridad no puede funcionar sin una conexión profunda con la tecnología. Una vez que bajes uno o dos niveles del CISO, todo será cuestión de tecnología. Aunque sólo sea por credibilidad, un CISO debe tener las habilidades técnicas para ser un contribuyente activo dentro de la función. Además, dependiendo de su industria y el tamaño de su empresa, la interacción práctica con la tecnología puede ser una parte apropiada y necesaria del puesto. Creo que la mayoría de los CISO inteligentes han ido más allá de pensar que la “política/gobernanza” por sí sola puede generar valor.
Al mismo tiempo, la mayoría de los CISO provienen del mundo de la tecnología y las operaciones, por lo que cuando se enfrenta al mundo ambiguo y a menudo político del liderazgo, es muy fácil invertir demasiado en tecnología familiar. Es por eso que cada vez más CISO recurren a arquitectos de seguridad senior para mantenerse conectados con el mundo de la tecnología, examinar la avalancha de oportunidades y concentrarse en los subconjuntos que realmente requieren atención de nivel ejecutivo. También estamos capacitando a los equipos de liderazgo para que tomen más decisiones de forma autónoma para que los CISO no terminen en la posición de “seleccionar personalmente a cada proveedor”.
Finalmente, ¿cómo ve el futuro del rol de CISO? ¿Y para qué tendencias deberían prepararse los profesionales de este campo?
Mi predicción es que el rol del CISO seguirá siendo muy diverso en términos de autoridad, estructura de informes y una variedad de otros factores. Una vez más, este papel es todavía relativamente nuevo en el contexto del liderazgo corporativo, y la comprensión y la necesidad de protección de la información varían ampliamente entre sectores. Esto significa que es poco probable que el papel del CISO se “establezca” rápidamente.
Por lo tanto, ser implacable con el tiempo y crear una “estrella del norte” que cierre la brecha entre las expectativas de la empresa y lo que realmente se necesita y es posible… estos deberían ser un enfoque clave para todo CISO.
Además, Gartner anunció las principales tendencias en ciberseguridad para 2024. En pocas palabras, recomendamos que los CISO incorporen las siguientes nueve tendencias en sus operaciones en 2024.
Gestión continua de la exposición a amenazas Ampliación del valor de ciberseguridad de IAM Gestión de riesgos de ciberseguridad de terceros Separación de datos y aplicaciones basada en la privacidad IA generativa Programas de comportamiento y cultura de seguridad Ciberseguridad Métricas basadas en resultados Modelos operativos de ciberseguridad en evolución Recapacitación en ciberseguridad
Fuente: https://www.helpnetsecurity.com/2024/01/17/chris-mixter-gartner-ciso-effectiveness/