La insatisfacción laboral de los CISO va en aumento. ¿Cuál es el problema y cómo puedo solucionarlo?


Más que nunca los CISO están insatisfechos con sus funciones y las investigaciones muestran que muchos ejecutivos de seguridad (75%) están interesados ​​en cambiar de trabajo.

¿Qué diablos está pasando? Los investigadores, asesores y los propios CISO se enfrentan a la responsabilidad causada por las regulaciones de seguridad recientemente promulgadas, como las recientemente implementadas por la Comisión de Bolsa y Valores de EE. UU. (SEC), por falta de apoyo ejecutivo. de las razones del descontento actual, que van desde niveles crecientes.

En varios casos recientes, los CISO han sido considerados legalmente personalmente responsables de manejar y reportar infracciones, en particular un caso de 2016 en el que un CISO fue sentenciado a tres años por delito grave de obstrucción y encubrimiento por no informar una infracción. mejor en el caso de alto perfil del ex CISO de Uber Joe Sullivan, quien fue sentenciado a libertad condicional.

“La forma en que se definen los roles hoy está destinada al fracaso”, dice Tom, quien tiene 25 años de experiencia en ciberseguridad, TI, privacidad de datos y gestión de riesgos y actualmente brinda servicios de consultoría y asesoramiento en ciberseguridad, dijo el líder ejecutivo Nick Chevelev.

Pero Shebelyov y sus colegas dicen que ese no tiene por qué ser el caso. Los propios ejecutivos, directores y CISO pueden impulsar mejoras en el alcance de sus funciones para que sean exitosas. El resultado es una mayor satisfacción laboral y, quizás lo más importante, una mayor seguridad organizacional.

“Si bien este es un momento de grandes desafíos, también es un momento de grandes oportunidades”, afirmó Stephen Martino, socio de la firma de contratación Altico Search.

Insatisfacción, agotamiento y su impacto en los CISO

Según el Informe sobre el estado del CISO 2023-2024 de IANS Research y Artico Search, la satisfacción laboral de los CISO ha disminuido al 64% desde el 74% en 2022 y el 69% en 2021. El 75% de los CISO están dispuestos a cambiar de trabajo. El Informe Voz del CISO 2023 de la empresa de software de seguridad Proofpoint también reveló una cifra alarmante: el 73% de los CISO de EE. UU. experimentaron agotamiento el año pasado.

Mientras tanto, el Cyber ​​​​Security Burnout Study: Quick Read Report, realizado por Wakefield Research en nombre del fabricante de software de seguridad Devo Technology, encontró que el 83% de los profesionales de seguridad encuestados dijeron que ellos o alguien de su departamento respondieron que habían hecho lo anterior. error y la violación de seguridad se produjo debido al agotamiento. Aproximadamente el 77% dice que sus niveles de estrés en el trabajo impactan directamente en la seguridad de la información personal de sus clientes. Además, el 85% admite que el agotamiento les obligará a cambiar de trabajo, renunciar a su empresa o abandonar ambas empresas y seguir adelante durante el próximo año.

Los expertos dicen que todo esto contribuye a la rotación laboral. Según el Informe CISO Talent and Employee Headcount 2023 de Cybersecurity Ventures, la permanencia promedio de un CISO es de solo 18 a 26 meses (significativamente menos que los 4,9 años de permanencia de un puesto típico de nivel C).

Además, la firma de investigación Gartner predice que casi la mitad de los líderes de ciberseguridad cambiarán de rol para 2025, y el 25% de ellos pasará a otro rol debido al estrés relacionado con el trabajo.

¿Qué causa la insatisfacción del CISO?

Es fácil atribuir esas cifras únicamente a la naturaleza estresante del trabajo de seguridad, especialmente porque el volumen y la velocidad de las amenazas aumentan a medida que aumenta la cantidad de infraestructura y datos que necesitan protección.

Pero eso es una simplificación excesiva, dice el vicepresidente y analista de Gartner, Chris Mixter. Después de todo, el CISO típico llega a la cima de la seguridad después de años en la profesión de seguridad y está acostumbrado a la presión, largas horas y momentos en los que todos están manos a la obra. Tienen un sentido de misión y entienden que implica un gran riesgo.

En cambio, los CISO suelen señalar problemas organizacionales como la causa de su insatisfacción, dijeron Mixter y otras fuentes.

Una de estas cuestiones tiene que ver con la posición del CISO dentro de la organización. Muchos CISO continúan luchando por puestos ejecutivos y en la junta directiva, diciendo que todavía no están igualmente involucrados en las decisiones estratégicas y carecen de la visibilidad y la comunicación que creen que necesitan con los altos ejecutivos y la junta directiva.

Como resultado, muchos CISO dicen que carecen de aceptación ejecutiva y de aceptación de las medidas de seguridad, los esfuerzos de mitigación de riesgos y la financiación para implementar las medidas necesarias. Como resultado, los CISO se ven arrastrados en diferentes direcciones y carecen de la capacidad de priorizar adecuadamente dónde invertir su tiempo y recursos.

La falta de apoyo de la dirección puede ser estresante

“La fuente de la insatisfacción es la falta de apoyo ejecutivo”, dice Nikolai Chernavsky, CISO de ISSQUARED, que ofrece no sólo productos de software sino también servicios gestionados de seguridad y TI. Descubrió que se ignoraban las opiniones de los CISO sobre las medidas de seguridad necesarias y los riesgos aceptables, que las juntas directivas y los directores ejecutivos no adoptaban una posición clara sobre estas cuestiones y que los líderes no entendían el trabajo que estaban haciendo los CISO para reducir el riesgo. Dice que escucha a los CISO. se quejan cuando no lo reconocen. Especialmente porque los CISO tienen una mayor responsabilidad y responsabilidad.

Es comprensible que los CISO duden en solicitar entrevistas para compartir públicamente sus frustraciones con estos problemas. Sin embargo, el informe de IANS Research aborda estos puntos, señalando, por ejemplo, que sólo el 36% de los CISO dicen recibir instrucciones claras de sus juntas directivas con respecto a la tolerancia al riesgo.

A estos desafíos se suman las responsabilidades que enfrentan los CISO debido a las nuevas reglas de divulgación cibernética de la Comisión de Bolsa y Valores de EE. UU. (SEC) y otros requisitos regulatorios y legales. Esta mayor responsabilidad se combina con el hecho de que muchos CISO no cuentan con un seguro de responsabilidad civil para directores y funcionarios (D&O) de su organización (muchos sin embargo, no consideramos que los CISO sean ejecutivos corporativos).

Estas tendencias están creando una brecha cada vez más amplia entre la responsabilidad por las decisiones de seguridad y el poder de los CISO para implementar esas decisiones, dice Cyber ​​​​War…and Peace: Drawing on History Today, dice Shebelyov, autor de “Building Digital Trust”. ‘

Los líderes de seguridad de larga data dicen que estas dinámicas y las brechas en la responsabilidad y la autoridad conducen a la insatisfacción, el agotamiento y la rotación en el mercado. “El problema fundamental es que los CISO sienten que les falta apoyo de sus organizaciones, especialmente un apoyo significativo”, dijo Nick Kakolowski, director senior de investigación de IANS Research. “Los CISO sienten que operan en el vacío y son chivos expiatorios cuando algo sale mal”.

Las organizaciones necesitan cambiar para satisfacer a los CISO

Los líderes de seguridad creen que los CEO, directores y otros ejecutivos deben escuchar este mensaje y adaptarse si quieren mantener a sus directores de seguridad de la información (CISO) y a sus estados de seguridad.

Estos ajustes deben cerrar la brecha entre las altas responsabilidades que actualmente tienen los CISO y la baja autoridad que tienen en muchas organizaciones, dijo Shebelyov. Cerrar esa brecha permitirá a los CISO participar plenamente en la junta ejecutiva y otras “diversas partes interesadas”. [security] “Es un juego”, añadió.

También ayudará a garantizar que la información de los CISO se presente con precisión a los directores ejecutivos y a las juntas directivas, afirman Shevelev y sus colegas, lo que ayudará a los CISO a evaluar cuán efectivas son sus posiciones y roles. Múltiples fuentes enfatizan que esta es una prioridad máxima para mejorar las percepciones de las personas. .

“Un CISO eficaz necesita una conexión directa con la junta directiva”, dijo Mixter, y agregó que esta conexión directa ayuda al CISO y a la junta directiva a comprender los riesgos, los requisitos de seguridad y las necesidades que necesitan para alcanzar objetivos comunes. y combinar recursos.

Kakolowski está de acuerdo y dice: “Cuando el CISO se reúne periódicamente con la junta directiva, descubrimos que la junta directiva se vuelve más consciente de la seguridad y brinda más apoyo al CISO”.

Lo que los CISO quieren de sus organizaciones

Los CISO pueden y deben promover ciertas prácticas, incluida la inclusión de D&O en las pólizas de seguro, dijo David E., presidente del Comité Cibernético del Centro Nacional de Ciberseguridad y autor del informe 2023 de la NCC, “La gran renuncia del CISO”, dijo Rick Crandall. , coautor del libro.

Crandall dijo que él y la NCC creen que los CISO deberían tener contacto directo con la junta y deberían programar una reunión ejecutiva con la junta (o uno de sus comités) al menos una vez al año (otros ejecutivos, en particular los directores financieros, lo señalan como el. Sólo los ejecutivos en contacto con la junta directiva celebran este tipo de reuniones ejecutivas y fomentan debates abiertos y honestos).

“Los CISO deberían tener la oportunidad de responder preguntas y responderlas directamente sin ningún tipo de selección, y eso debería estar bien. [all the other executives]”, añadió Crandall, socio director de Aspen Ventures y miembro de varias juntas directivas.

Separar los presupuestos de seguridad y TI y la planificación de la sucesión pueden ayudar

Además, los CISO deberían solicitar un presupuesto de seguridad independiente en lugar de que los fondos provengan del presupuesto de otro departamento, como el de TI, lo que crea responsabilidad y alineación de autoridad, afirma Crandall.

Mixter también aconseja a los CISO que sean “implacables con su tiempo”. Esto significa priorizar las demandas que requieren su atención y sus relaciones con otros en su organización. Como señala Mixter, “todo el mundo quiere tener un CISO en la mesa hoy en día, pero un CISO no puede ser todo para todos, y cada relación es tan importante como la otra”.

Además, asesora a los CISO para crear un plan de sucesión. Esto permite a los CISO desarrollar el talento necesario y delegar tareas más importantes con la confianza de que se completarán. Este movimiento ayuda a los CISO a convertirse en CISO más eficientes y eficaces y, por lo general, aumenta su satisfacción con su función.

“Para que un CISO sea eficaz, necesita un equipo de informes de clase mundial”, dijo Mixter, y agregó: “La planificación de la sucesión conduce a un desempeño mejor y más sólido. Sólo alrededor de la mitad de los CISO cuentan con un plan de sucesión”.

Hay esperanza. Algunas organizaciones están abordando las preocupaciones de los CISO.

Los CISO, los altos ejecutivos y las juntas directivas están lidiando con estos problemas en varios niveles. Joe Nocera, director de práctica regulatoria y de riesgo cibernético de la firma de servicios profesionales PwC, dice que cada vez más CISO están cultivando las relaciones y la visión comercial para obtener una posición igualitaria en la junta ejecutiva. También cree que más CISO buscan cobertura de seguro D&O y sesiones ejecutivas con juntas directivas.

Algunos directores están tomando medidas. Katie Swafford, gerente senior de desarrollo de contenido digital y cibernético de la Asociación Nacional de Directores Corporativos, encontró en la Encuesta de Supervisión y Prácticas de la Junta Directiva de 2023 de la NACD que los CISO preguntan con mayor frecuencia a las juntas directivas de empresas públicas y privadas sobre la ciberseguridad. ejecutivos que informan, dijo en una declaración preparada.

Swafford señala que “en las empresas donde la supervisión tecnológica es más necesaria, los CISO encontrarán una junta directiva que les ayude a desarrollar su visión empresarial, estratégica y financiera”.

Aun así, muchos CISO dicen que siguen teniendo dificultades para obtener el apoyo y los recursos que necesitan.

“Los CISO con los que hablamos hablaron sobre el estrés y la responsabilidad de sus funciones y cómo sus responsabilidades personales han cambiado significativamente”, dice Nocera. “Hoy en día existe mucha más responsabilidad en ese rol que hace cinco o diez años, y aunque vemos que más CISO ocupan ese puesto, [only] Dentro de la habitación y en el banco del fondo. “

Mixter dice que los CISO no tienen que aceptar eso y explica que aquellos que no estén contentos con el nivel de atención y apoyo que la junta directiva y la gerencia están brindando a la seguridad pueden renunciar. Como señala, “la oferta y la demanda favorecen hoy a los CISO”.



Fuente: https://www.csoonline.com/article/2094656/the-rise-in-ciso-job-dissatisfaction-whats-wrong-and-how-can-it-be-fixed.html/amp/