Evaluación de experiencias de crisis en la contratación de CISO: qué buscar y con qué tener cuidado.


Al contratar personal de seguridad competente, la práctica establecida nos dice que busquemos una serie de señales positivas. La sabiduría convencional sugiere que el colega ideal probablemente sea integral y de mente abierta, con todo, desde amplias calificaciones y una sólida educación formal hasta éxito profesional previo y reconocimiento de sus pares.

Esto es especialmente cierto al contratar CISO y sus asistentes clave. Pero, ¿cómo deberían los gerentes de contratación tener en cuenta la experiencia de crisis en el proceso de contratación? ¿Cómo pueden evaluar el desempeño bajo presión y garantizar que la experiencia crítica no sea solo un sesgo aprendido?

Es probable que sea muy importante evaluar eficazmente las experiencias de crisis en función de las cualificaciones personales. La investigación psicológica y empresarial muestra que una crisis típica puede sacar a la superficie una serie de comportamientos patológicos, desde una visión de túnel y un exceso de confianza hasta una afinidad por el pensamiento grupal, lo que hace que los tomadores de decisiones sean más conscientes del futuro. Tendemos a depender de momentos pasados ​​de crisis para afrontarlo. con nuestras acciones.

Los CISO que son señalados por fallas analíticas críticas durante un evento de intrusión tienen más probabilidades de pasar por alto la calidad de los datos o problemas éticos con nuevos productos de aprendizaje automático que creen que evitarán incidentes similares en el futuro. Alternativamente, la experiencia de recibir apoyo positivo de una compañía de seguros durante una crisis puede fomentar perversamente una relación demasiado cómoda con la compañía de seguros, limitando el pensamiento innovador en materia de seguridad.

La experiencia de una cibercrisis es diferente de la experiencia de otras crisis.

Afortunadamente, investigaciones recientes sobre incidentes de ciberseguridad y expertos están arrojando nueva luz sobre el impacto de los eventos cibernéticos en la toma de decisiones. La visión tradicional del impacto de las crisis es que el impacto psicológico de un incidente importante se transmite en cascada desde los más directamente afectados hasta los más distantes. En otras palabras, cuanto más cerca esté, más subjetividad y sesgo pueden aparecer.

Sin embargo, en el caso de los cibereventos, la distancia parece funcionar en sentido contrario. Es más probable que los respondedores de crisis vean esos episodios como únicos, llenos de variables únicas de las cuales deben tener cuidado para aprender. Por otro lado, los tomadores de decisiones interesados ​​en la crisis, pero no comprometidos con ella, pueden obsesionarse con las analogías del mundo real, incluso cuando no estén relacionadas con la ciberseguridad, y aprender de ellas lecciones potencialmente engañosas será mayor.

La respuesta a la cuestión práctica de la contratación basada en la experiencia en crisis cibernéticas es contradictoria, pero en última instancia simple. Contrate según su experiencia en crisis, pero tenga cuidado con los transeúntes.

Cuando Julio César cruzó el Rubicón, fue simplemente un punto político y estratégico de no retorno. Eligió romper las leyes y siglos de costumbres moviendo su ejército contra Roma y cambiando la historia, provocando en última instancia una guerra civil que convirtió a César en dictador vitalicio y estableció el Imperio Romano.

Décadas de evidencia psicológica muestran que cruzar el momento del Rubicón es el resultado de un cambio de una mentalidad contemplativa (de pensamiento) a una mentalidad práctica (de acción). Es importante destacar que esto se aplica a todos los seres humanos, no sólo a personajes históricos famosos. Si el trabajo de un CISO consiste principalmente en tareas rutinarias de seguridad y prevención de crisis, su mentalidad será principalmente reflexiva.

Incluso las decisiones de seguridad rutinarias, como elegir una nueva asociación con un proveedor o responder a un incidente de seguridad menor, ahora se definen mediante un pensamiento prospectivo de “qué pasaría si” basado en los imperativos centrales del rol.

Cuando vivimos una crisis existencial, como el estallido de una guerra, un gran ataque de ransomware o un accidente automovilístico, cruzamos el Rubicón. Los psicólogos han demostrado sistemáticamente que este es el momento en el que las desviaciones de la objetividad son más probables. Al fin y al cabo, lo que el momento exige ya no es planificar, sino actuar.

Los momentos de crisis pueden provocar una pérdida de objetividad

Los efectos psicológicos de una crisis típica no son uniformes, excepto que es más probable que perdamos objetividad. Pueden caer en el pensamiento de grupo, volverse demasiado confiados en planes que ya se han hecho o tener temores infundados sobre factores desconocidos.

Sin embargo, en general, los tomadores de decisiones tienden a estar sujetos a algunas influencias importantes. Es decir, responden menos a las expectativas actualizadas por la información entrante y tienden a estar sesgados respecto de la información entrante.

Son más vulnerables que de costumbre a la disonancia cognitiva, las evaluaciones interesadas y las ilusiones de control. Y cuando no hay obstáculos obvios para el éxito, nos volvemos mucho más optimistas (o poco realistas) acerca de nuestra capacidad para realizar nuestras tareas.

Estas tendencias se encuentran entre las mejor documentadas en la ciencia del comportamiento contemporánea. En el ámbito más amplio de la seguridad nacional y nacional, estas tendencias también forman la base para pensar en la exposición a eventos de seguridad.

La proximidad al crimen, los ataques terroristas, los desastres naturales e incluso los desastres financieros pueden causar un trauma emocional y, a veces, existencial. Para quienes trabajan en el cumplimiento de la ley y campos similares, valorar la experiencia en crisis al contratar es una cuestión de evaluación cuidadosa.

¿Un evento pasado condujo al comportamiento inesperado del profesional en cuestión? ¿Ese evento pasado parece estar influyendo en la forma en que aborda su rol actual?

Lo más importante es si un análisis objetivo de acontecimientos pasados ​​se refleja en las respuestas a nuevas crisis. Si es así, la experiencia con una crisis puede ser una ventaja. De lo contrario, es posible que deba tener cuidado.

Las respuestas cibernéticas a las crisis son diferentes

¿Esta lógica es válida para quienes buscan contratar nuevos CISO u otro personal clave en ciberseguridad? Investigaciones recientes muestran que este no es el caso. Más bien, los expertos señalan cada vez más que los incidentes de ciberseguridad a gran escala tienen poco del impacto existencial o emocional distintivo que uno podría esperar de otros tipos de eventos de seguridad.

Incluso en situaciones existenciales, los ciberataques rara vez provocan daños físicos o destrucción. Como resultado, en el ámbito cibernético, el impacto psicológico no está en el centro del incidente, sino que se ve lejos del epicentro del ataque.

Investigaciones adicionales describen la respuesta de ciberseguridad como una búsqueda de similitudes. Cuando los individuos se enfrentan a eventos de crisis, la evidencia psicológica sugiere que se utilizan analogías y la historia para comprender el alcance, las posibles soluciones y los aspectos morales de la situación.

En el caso de los eventos cibernéticos, es probable que las personas busquen similitudes debido a su desconocimiento, pero la respuesta requiere una perspectiva operativa más que una conciencia estratégica, y aquellos que están en el centro de una respuesta a la crisis suelen tener la mayor información. Estas dos perspectivas revelan los detalles distintivos de un evento particular y evitan una generalización excesiva.

Por el contrario, el público en general es menos consciente de las peculiaridades de los incidentes de ciberseguridad y tiene menos visibilidad de los acontecimientos que se desarrollan, lo que hace que el ciudadano medio sea consciente de acontecimientos históricos que pueden no ser de naturaleza digital. Intente comprender el incidente utilizando analogías (como. pensar en un ataque terrorista a una instalación gubernamental cuando se intenta entender un ataque de ransomware en un hospital).

Contrate personas con experiencia en crisis, pero tenga cuidado con los transeúntes.

Un estudio reciente revela el resultado final de la adopción de la ciberseguridad. Contrariamente al pensamiento convencional, centrarse en la exposición a las crisis en la contratación significa que la ciberseguridad tiene menos riesgos y más valor potencial que otros campos.

Siempre que el historial de un candidato sea verificable y su contribución al evento de intrusión sea clara, la experiencia directa de una crisis puede ser un mejor indicador del éxito futuro que los criterios tradicionales.

Por el contrario, se debe tener cuidado con los “espectadores”, aquellos que están calificados pero que han adquirido experiencia al participar libremente en crisis. Aunque estas personas pueden tener un impacto positivo en la organización, el papel de la crisis en su contratación debe minimizarse en comparación con los criterios tradicionales para evaluar el desempeño futuro.

Naturalmente, uno de los desafíos para los gerentes de contratación y los CISO es determinar qué está en juego a la hora de tomar decisiones de contratación. El consenso encontrado en la encuesta es que estar presente en múltiples etapas del ciclo de vida de la respuesta, como verse afectado por la interrupción de un ataque y ayudar a prepararse para una respuesta futura, es mucho más gratificante que simplemente presenciar el ataque. una buena experiencia.

Aquellos que experimentan los primeros efectos de una infracción u otro ataque y luego se involucran en esfuerzos de orientación, análisis y mitigación parecen tener menos probabilidades de generalizar en exceso o involucrarse en reacciones de desinformación.

Claramente, el valor de la experiencia de crisis en ciberseguridad debe verse de manera diferente que en otros campos. Aquellos que están muy cerca del incidente de amenaza en cada etapa del ciclo de vida de la respuesta pueden brindar objetividad en crisis futuras, mientras que aquellos que no lo están corren un mayor riesgo de actuar desde una posición sesgada.

Esto sugiere que los reclutadores de CISO no solo deben buscar estos antecedentes, sino también apoyar actividades y puntos de referencia de contratación que hablen de estas experiencias, como la participación en diversas programación de mesa y diseño de simulación.

Y como lo respaldan consistentemente las investigaciones, los reclutadores buscan personas que puedan hacer varias cosas, equilibrando la formación profesional diversa y la experiencia en roles clave, en lugar de personas que puedan hacerlo todo.



Fuente: https://www.csoonline.com/article/2501237/evaluating-crisis-experience-in-ciso-hiring-what-to-look-for-and-look-out-for.html/amp/