En 2023, después de seis años como CISO, Rob Labbé se dio cuenta de que no sabía nada. ¿Entendiste los aspectos técnicos de la ciberseguridad? Tiene una licenciatura en análisis de programación informática, una certificación CISSP y 20 años de experiencia en el campo cibernético. Pero Labbé temía que hubiera grandes lagunas en su base de conocimientos.
“Estaba seguro de que sabía lo suficiente sobre ciberseguridad”, dice Labbe, CEO y CISO del Centro de Análisis e Intercambio de Información sobre Minería y Metales (ISAC) con sede en Calgary, en Vancouver, Columbia Británica. “Pero cuando asistía a una reunión hace un año, me di cuenta de que solo entendía el 20% de la discusión. ¿Por qué no siempre me llaman?”.
Como CISO, Labbé se ha ganado un codiciado puesto en la mesa de nivel C. Pero una vez que llegué allí, sentí que no hablaba lo suficientemente bien el lenguaje de los negocios corporativos. Sospechaba que esto limitaba el valor de su contribución en la mesa. Otros ejecutivos de ISAC acogieron con agrado la opinión del Sr. Labbé, pero “mi opinión no refleja una comprensión de cómo las empresas toman realmente decisiones estratégicas”, recuerda.
El momento “ajá” de Labbé muestra cuán importantes se han vuelto las habilidades comerciales para los CISO de hoy.
“La perspicacia para los negocios siempre ha sido importante, pero definitivamente se ha vuelto más importante en los últimos años”, dice Jon France, CISO de ISC2. Este enfoque en la visión para los negocios está siendo impulsado por la transformación digital en todas las industrias y una ola de cambios regulatorios que están llevando a un primer plano las cuestiones legales y de cumplimiento, afirma.
A pesar de que el conocimiento empresarial se vuelve más importante para los trabajos de los CISO, el Informe sobre el estado del CISO 2023-2024 de Ians/Artico encontró que “el 76% de los CISO tienen una formación principalmente técnica, como la seguridad de redes”.
El 76% (incluido Labbé) preguntó cómo podrían cerrar la brecha de conocimiento empresarial. ¿Y cómo puede el 24% restante de los CISO que llegaron a los CISO con antecedentes no técnicos, como militares, fuerzas del orden, cumplimiento y gestión de riesgos, llenar vacíos importantes en su conocimiento técnico? La mejora de las habilidades no es sólo para los cibertrabajadores, es para los propios CISO.
Cómo los CISO adquieren habilidades empresariales
El Sr. Rabe se dio cuenta de su falta de conocimientos empresariales y decidió realizar un MBA. A sólo seis meses del programa de 18 meses, Labbe dice que sus estudios en estrategia empresarial, comunicaciones, finanzas y resolución de conflictos ya lo están ayudando en su trabajo como CISO.
“Estoy reescribiendo [security] “Basado en mi nueva comprensión del comportamiento organizacional, ahora estoy desarrollando políticas y la gente las está siguiendo, a diferencia de antes. Además, cuando hablo con proveedores, entiendo sus motivaciones financieras, por lo que las hay. mejor entendimiento entre ambas partes y podremos llegar a un mejor acuerdo”.
Un nuevo tipo de MBA con un enfoque especial en la ciberseguridad se ha vuelto tan popular que un sitio llamado CyberSecurityGuide.org ha creado una lista de los 25 mejores.
Por supuesto, un MBA no es la única forma en que un CISO puede mejorar su credibilidad empresarial. Dos departamentos de la Universidad Carnegie Mellon, Heinz College y el Software Engineering Institute (SEI), se han unido para ofrecer un programa intensivo de certificación CISO de seis meses. El programa híbrido en línea/presencial está dirigido tanto a CISO actuales como a aspirantes, y la admisión requiere “al menos siete años de experiencia relevante en la gestión de proyectos y personas”, según la página de inicio.
El programa se centra en el contenido del curso de negocios, como la estructura corporativa, la gobernanza, el entorno regulatorio y la elaboración de presupuestos.Por ejemplo, un estudiante podría decir: “En realidad [simulated] “Esta es una propuesta de presupuesto desde la perspectiva de una empresa que ha experimentado un evento cibernético importante y está tratando de reconstruirse”, dijo Greg Toohill, director del programa CERT de SEI.
Leer libros para adquirir visión para los negocios.
Matthew Sharp, CISO de Xactly, con sede en Denver, dice que la lectura es otra opción para que los CISO ocupados incorporen el aprendizaje empresarial en sus apretadas agendas. De hecho, Sharpe ha escrito un libro, The CISO Evolution, en el que Sharpe y el coautor Kyriakos Lambros dedican capítulos a temas corporativos como los principios financieros, la creación de valor y el liderazgo de equipos de alto rendimiento.
“Nuestro libro toma conceptos orientados al MBA, reduce el número de cosas en las que centrarse y lo personaliza para que los líderes de ciberseguridad puedan aprender los conceptos básicos sin invertir 100.000 dólares y tres años en un MBA. “Quería poder hacerlo”. entender eso”, dijo Sharp, un graduado en ingeniería eléctrica y en computación (promoción de 2004) que obtuvo un MBA en 2016 para mejorar sus habilidades comerciales.
France, de ISC2, dice que otro camino hacia el aprendizaje empresarial (al que él llama la “ruta experiencial”) existe literalmente frente a los ojos de los CISO. “Si es un profesional técnico en ciberseguridad en una posición de liderazgo, pase tiempo con un grupo de sus pares, el director financiero, el director de operaciones y el director ejecutivo. Si es posible, experimente parte del proceso de toma de decisiones”.
Otras dos herramientas para los CISO con mentalidad técnica que buscan perfeccionar sus habilidades comerciales son los cursos de capacitación en liderazgo y el coaching ejecutivo personalizado. Según el informe de Ians/Artico, dos tercios de los CISO han completado o están tomando uno o ambos de estos cursos para “desarrollar visión para los negocios y habilidades de presencia ejecutiva”.
Esta investigación sugiere que desarrollar sus habilidades comerciales es beneficioso. Los CISO con formación en liderazgo o experiencia en coaching ejecutivo ganan un salario anual promedio de 550.000 dólares, en comparación con los CISO sin formación en liderazgo o experiencia en coaching ejecutivo, que ganan un salario anual promedio de 419.000 dólares.
CISO con una brecha de habilidades técnicas
¿Qué pasa con la mejora de las habilidades de los CISO con formación no técnica? Según el informe de Ians/Artico, los CISO con formación no técnica ahora representan más de una cuarta parte de la comunidad de CISO. El 22% de todos los CISO tienen experiencia en gobernanza, riesgo y cumplimiento (GRC), y el 2% restante proviene de una experiencia no técnica o ajena a GRC.
“Algunas personas provienen de las fuerzas del orden para convertirse en CISO. Otras provienen de la ruta empresarial. A veces, los abogados toman nuestros cursos”, dice Touhill del Programa de Certificación CISO de la Universidad Carnegie Mellon.
El programa se centra principalmente en habilidades empresariales para el liderazgo en ciberseguridad, pero también ofrece temas como ciencia de datos, arquitectura, herramientas, seguridad en la nube y defensa de redes para CISO sin formación técnica.
Más allá de un programa de seis meses como este, ¿de qué otra manera pueden los CISO sin experiencia técnica obtener la comprensión técnica que necesitan para desarrollar estrategias de ciberseguridad y liderar equipos cibernéticos?
Hadas Casola, CISO virtual de Scale Security Group, con sede en Virginia, enfrentó desafíos similares durante su camino no lineal hacia el puesto de CISO. Comenzó una carrera técnica como administradora de sistemas en el ejército de los EE. UU., pero dejó TI para obtener un título en derecho y luego trabajó como abogada corporativa durante dos años. Al darse cuenta de que, en sus palabras, “realmente odiaba ejercer la abogacía”, Casola volvió a trabajar en TI y aceptó un puesto como gerente de programas de seguridad en una agencia gubernamental de Oregón en 2013.
Depender de colegas y empleados inteligentes puede ser educativo.
Casola dijo que “tropezó” con el rol de seguridad gracias a su experiencia única en TI, negocios, derecho y cumplimiento. En 2021, se convirtió en CISO de M1 Finance. Obtuvo su certificación CIPP en 2013 y CISSP en 2015, pero dice que hay otras formas en que los CISO en carreras no técnicas pueden cerrar la brecha de conocimiento técnico.
“La capacitación y la certificación son herramientas, pero no son una panacea. No podrás convertirte en un experto en todos los dominios de CISSP”, afirma. Además del autoestudio, Cassorla asesora a los CISO en carreras profesionales no técnicas para aprovechar el poder de la contratación estratégica y el empoderamiento.
“Contratar personas que sean más inteligentes que usted es muy importante. No tenga miedo de levantar la mano y hacer preguntas estúpidas. Cuanto más confíe en la experiencia de sus empleados, más independientes se sentirán. Y obtendrá más respeto por parte de sus empleados porque nadie lo sabe todo”.
¿Es suficiente mejorar las habilidades técnicas para los CISO no técnicos? El tema se volvió candente hace dos años cuando Reddit organizó una AMA con nueve mujeres CISO, incluida Cassorla. Los CISO respondieron preguntas puntuales como: “[What are] ¿Qué opinas de que alguien sin ningún conocimiento técnico, una persona del tipo MBA, se convierta en CISO? “
Reflexionando sobre la AMA, Cazorla dijo: “Soy técnico. Esa ya no es mi función principal. Mi función principal no es trabajar directamente con el teclado”.
Labbe lo resume con la idea de que las habilidades técnicas pueden conseguirle el puesto de CISO, pero el trabajo ahora se centra en la estrategia empresarial y el liderazgo ejecutivo. “DIRECTOR DE FINANZAS [for example]es más que un gran contador. No están ahí porque puedan hacer matemáticas mejor que nadie o hacer balances más rápido que nadie. No es por eso que están allí. “
French concluye que la mejora de las habilidades debería ser una prioridad constante para todos los CISO, ya tengan experiencia técnica o corporativa. “Esto no es algo que ocurre una sola vez. Es un compromiso de por vida”.
Recursos para mejorar las habilidades del CISO
Consejos de expertos para mejorar las habilidades de los CISO
Elige estratégicamente a tu mentor. En lugar de buscar a alguien en un campo técnico o comercial establecido, busque a alguien que haya ido más allá de su zona de confort y haya llegado a la cima en el campo opuesto del que desea aprender. – Mateo agudo
Centrarse en la IA y la nube: los CISO que avanzan en el camino empresarial deberían centrar sus esfuerzos inmediatos de aprendizaje tecnológico en estas dos tecnologías emergentes críticas. – Afilado
Busque oportunidades para escribir y hablar: especialmente para los CISO con mentalidad técnica, los podcasts, los blogs y las conferencias en eventos pueden ayudar a perfeccionar habilidades comerciales como la comunicación escrita y verbal. -Greg Touhill
Únase a los consejos asesores de otras empresas. Este es un gran lugar para que los CISO técnicos aprendan los fundamentos de los negocios empresariales. – afilado
Mantén la curiosidad. En lugar de esperar a que se creen programas de grado formales y certificaciones sobre las últimas tendencias tecnológicas, infórmese leyendo libros y artículos, escuchando podcasts y seminarios web y asistiendo a eventos de la industria. – Afilado
Fuente: https://www.csoonline.com/article/2154053/are-you-a-ciso-who-doesnt-know-jack-heres-how-to-bridge-your-own-skills-gap.html/amp/
