Los directores de seguridad de la información (CISO) de hoy están navegando en entornos desafiantes con desafíos complejos. Las tácticas, técnicas y procedimientos (TTP) de los actores de amenazas están evolucionando para aprovechar las nuevas tecnologías de próxima generación, aumentando la sofisticación de los ciberataques tradicionales. Esto aumenta la necesidad de que los CISO implementen estrategias de ciberdefensa resilientes. Sin embargo, la falta de experiencia debido a la escasez de personal y los cambios en los requisitos de habilidades hace que esto sea difícil de lograr. Actualmente hay más de 4 millones de puestos de trabajo de seguridad vacantes en todo el mundo y las investigaciones muestran que muchos profesionales de la seguridad creen que los efectos de la escasez de habilidades han empeorado en los últimos dos años.
CISO bajo presión
Los CISO también están lidiando con una presión regulatoria cada vez mayor junto con la política corporativa. En 2023, los cargos contra Joseph Sullivan (Uber) y Timothy G. Brown (SolarWinds) sentaron un nuevo precedente de responsabilidad corporativa en materia de ciberseguridad. Estos dos casos históricos son excelentes ejemplos de las consecuencias de la inacción sobre las nuevas regulaciones cibernéticas, como las regulaciones de la Comisión de Bolsa y Valores (SEC), las órdenes ejecutivas de la administración Biden y otras medidas globales como la directiva NIS2. Nunca ha sido más importante para los CISO fomentar una alineación interfuncional fluida en materia de mitigación de riesgos cibernéticos y cumplimiento a nivel C y en todos los ámbitos. No hacerlo puede exponerlo a responsabilidad. Como hemos visto una y otra vez, lograr la aceptación colaborativa entre partes interesadas con diferentes prioridades y objetivos comerciales es más fácil de decir que de hacer.
Este complejo panorama está obstaculizando la salud, el bienestar y la estabilidad profesional de los CISO. Por ejemplo, la Encuesta de estrés de CISO de 2023 de Cynet encontró lo siguiente:
• El 94% de los CISO dijeron que se sienten estresados en el trabajo.
• El 65% dice que el estrés afecta su capacidad para proteger su organización.
• El 74% dejará su trabajo debido al estrés relacionado con el trabajo en 2022.
• El 77% dice que el estrés laboral afecta su salud física.
Esto a menudo conduce al agotamiento, lo que provoca inestabilidad y rotación de CISO. Si bien las tasas actuales de rotación de CISO son aproximadamente del 18% año tras año, Gartner predice que para 2025, la mitad de los líderes de seguridad cambiarán de trabajo y, de ellos, aproximadamente una cuarta parte pasará a un rol completamente diferente debido al estrés relacionado con el trabajo. haciendo. Esta es una realidad desafortunada, pero no todo tiene que ser pesimista en el futuro. Todavía hay luz al final del túnel. Al adoptar un enfoque de liderazgo transformacional, los CISO pueden tomar medidas proactivas para proteger a sus organizaciones (y a ellos mismos) de los efectos dominó de un entorno de amenazas cada vez más acelerado.
Cerrando la brecha entre organizaciones
El CISO moderno debe ser más que un simple ingeniero. Es importante actuar como un líder de cambio influyente que alinee eficazmente las necesidades de seguridad de la organización con otras funciones de alta prioridad de la empresa. Los CISO transformacionales son expertos en aprovechar las estrategias de riesgo empresarial para articular la correlación entre los riesgos cibernéticos y comerciales en un lenguaje que resuene en toda la organización. Esto nos permite explicar de manera efectiva las graves consecuencias de los ataques exitosos, las violaciones regulatorias y los beneficios comerciales de las características de seguridad modernas y, como resultado, enfatizar la importancia de los recursos de seguridad, los marcos y la colaboración interfuncional adecuados para la administración. a los ojos de los ejecutivos interesados.
A escala, obtener aceptación en estas dimensiones permite a los CISO implementar estrategias de seguridad resilientes en torno a activos de alto valor y proteger a la organización de infracciones importantes que podrían generar responsabilidad legal. También ayuda a fomentar una cultura de vigilancia de la seguridad basada en la comunicación y la colaboración entre los líderes organizacionales. Cubrir estas bases puede ser invaluable para reducir la ansiedad asociada con el rol de CISO. Siempre se presentan nuevos obstáculos, pero contar con recursos sólidos y planes de contingencia le ayudará a superarlos con agilidad.
Posicionando a su equipo de seguridad para el éxito
El papel de un CISO transformacional es similar al de un entrenador en jefe en los deportes. La ciberdefensa es un deporte de equipo y proteger la superficie de ataque de una organización de amenazas de gran volumen y alta velocidad requiere un esfuerzo colectivo. El todo es mayor que la suma de sus partes. Por lo tanto, los equipos de seguridad deben contar con las personas, los procesos y la tecnología adecuados para trabajar de manera eficiente y minimizar la fricción. Si eso no sucede, la responsabilidad final recae en el CISO. Este es otro factor de la estresante situación que afrontamos actualmente.
Los CISO deben asegurarse de que sus profesionales tengan las habilidades fundamentales para adaptarse a las cambiantes necesidades de seguridad de sus organizaciones, ya que la rápida transformación digital de las empresas los obliga a ajustar sus modelos operativos sobre la marcha. Por ejemplo, durante una transición en toda la empresa de una implementación híbrida (local/nube) a una implementación totalmente basada en la nube, los profesionales pueden necesitar capacitación adicional sobre conceptos complejos de seguridad en la nube o principios de Confianza Cero. En estos casos, puede aprovechar nuestra amplia asociación de capacitación en certificación de ciberseguridad para mejorar las habilidades de su fuerza laboral existente y equiparla con el conocimiento fundamental esencial para desempeñar sus funciones.
Los CISO deben priorizar la implementación de herramientas de automatización de seguridad y un marco de programa de seguridad sólido. La racionalización de los flujos de trabajo manuales a través de la automatización (potencialmente habilitada por IA) alivia la carga de los equipos de seguridad con poco personal que deben hacer malabarismos con múltiples responsabilidades, lo que reduce el agotamiento general del personal que a menudo repercute en el CISO. Mientras tanto, la última versión del Instituto Nacional de Estándares y Tecnología (NIST), Cybersecurity Framework 2.0, es un ejemplo perfecto de un marco de programa bien definido que impulsa la eficiencia operativa. Agrega una estructura cohesiva a las políticas, procedimientos, procesos y actividades de su organización, permitiendo que las personas y las herramientas trabajen de manera más efectiva y mejorando el rendimiento de su arquitectura de seguridad general de extremo a extremo.
En conclusión, el panorama de amenazas y el entorno regulatorio actual requieren que los CISO modernos trasciendan los límites de sus roles tradicionales. Actuar con una mentalidad transformadora es esencial para capear esta tormenta. Al adoptar este estilo de liderazgo, puede fomentar una cultura que priorice la seguridad, empoderar a sus equipos y hacer que su organización y usted mismo sean más resilientes.
Fuente: https://securityboulevard.com/2024/06/its-a-hard-time-to-be-a-ciso-transformational-leadership-is-more-important-than-ever/amp/