stock.adobe.com

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

El agotamiento en la posición de CISO causa una alta tasa de rotación

La naturaleza del rol de CISO puede pasar factura, dicen los veteranos de la industria, con la frustración y el estrés que contribuyen a las altas tasas de rotación y al agotamiento. Aprenda cómo hacer que funcione.

John Masserini ha tenido una larga y distinguida carrera como CISO de alto perfil, trabajando primero para Dow Jones, luego en la Bolsa Internacional de Valores de Miami y ahora en Millicom Telecommunications en Miami. Pero, en un momento, se sintió tan agotado que dijo que dejó la industria tecnológica por un año para administrar una estación de servicio.

El agotamiento de la posición CISO es algo real, dijo Masserini. «Cuando regresé, estaba decidido a nunca volver a ponerme así».

La investigación del Enterprise Strategy Group (ESG) sugiere que, en promedio, un CISO dura solo dos o cuatro años en el trabajo antes de pasar a otra posición, y muchos señalan el agotamiento de la ciberseguridad como uno de los principales impulsores de la rotación de CISO. En otro informe, de la firma de seguridad Nominet, el 88 % de los CISO informaron estar «moderadamente o tremendamente estresados», y el 48 % dijo que el papel ha afectado negativamente su salud mental.

«Nos levantamos todos los días listos para luchar para proteger a nuestra empresa», dijo Masserini. «Y cuando no hay recursos adecuados, la mayoría de los CISO intervendrán y llenarán los vacíos».

Eso inevitablemente pasa factura, según Jinan Budge, analista principal de Forrester Research que estudia el agotamiento de la ciberseguridad a nivel ejecutivo. Budge dijo que la mayoría de los CISO toman muy en serio su responsabilidad social hacia sus organizaciones, clientes y la sociedad en general. Pero, a menudo, carecen de los recursos y el apoyo necesarios para mantener seguras a sus empresas. Eso lleva a muchos a trabajar más duro y por más horas, sacrificando su propio bienestar por un trabajo que rápidamente se vuelve insostenible.

«Hay una C en CISO [en referencia a la C-Suite o gerencia], pero no siempre tienen el mandato ejecutivo, el presupuesto o el apoyo que esperan que venga con el título», dijo Budge. «Es una locura. Esa es una dinámica muy difícil. Imagine que va a dormir todas las noches con todas estas cosas de las que preocuparse».

Thomas Johnson, ahora CISO de ServerCentral Turing Group, un proveedor de colocación, nube y recuperación de desastres con sede en Chicago, recordó los desafíos que enfrentó mientras era CISO en un banco durante la crisis financiera de 2008.

«Estábamos perdiendo dinero a un ritmo increíble y no querían gastar un dólar en seguridad de la información», dijo Johnson. «De repente, veo que nuestro perfil de riesgo aumenta. Es un lugar precario en el que estar».

Agregó que convencer a los tomadores de decisiones para que inviertan en seguridad sigue siendo uno de los desafíos más difíciles que enfrenta un CISO. De acuerdo con una investigación realizada por ESG, los profesionales de seguridad informaron la falta de apoyo organizacional como uno de los principales contribuyentes al agotamiento de la posición CISO y la rotación resultante; el reclutamiento por parte de otras compañías que ofrecen mejores paquetes de compensación también contribuye a la rotación de los CISO. Con base en esa investigación, Jon Oltsik, analista principal sénior de ESG, instó a las juntas a: a) invertir en educación continua en ciberseguridad para el liderazgo corporativo; y, b) establecer relaciones sólidas y formalizadas con sus CISO.

«Eso podría significar que reporten a los CEO en lugar de a los CIO», agregó. «Pero los CISO deben tener un asiento en la mesa y estar incluidos en la planificación comercial desde el principio».

John Masserini

Con el apoyo organizativo adecuado, el trabajo de CISO es difícil, concordó Budge y Oltsik. Sin él, es un ejercicio inútil, y el CISO comienza a sentirse como un chivo expiatorio mirando el barril de una brecha inevitable.

«Es solo cuestión de tiempo antes de que se pierda demasiado sueño, se sufra demasiado estrés o se produzca una brecha importante», dijo Masserini.

Y otro CISO muerde el polvo.

Encontrar el CISO correcto para el trabajo correcto

El puesto de CISO es un desafío único, ya que evolucionó rápidamente de un rol puramente técnico a uno que también requiere capacidades sofisticadas de gestión y comunicación. Los desafíos del CISO, incluidas las diversas demandas del trabajo, pueden llevar a los CISO en muchas direcciones diferentes, lo que agrava el agotamiento de la posición de CISO.

«Estoy preocupado por la próxima generación de CISOs», dijo Oltsik. «La posición es difícil y está cambiando rápidamente».

Jon Oltsik

Agregó que los CISO a menudo fallan porque no tienen la cartera completa de habilidades necesarias para tener éxito. Y sin programas formales de capacitación en la industria, deben acumular ese conjunto de habilidades amplio y cada vez mayor en su propio tiempo y dinero.

Incluso el pedigrí profesional más impresionante no puede garantizar el éxito de un CISO. Según Budge, quienes tienen experiencia técnica a menudo encuentran que navegar en la política de la gerencia es «extremadamente estresante». Por otro lado, los CISO que provienen de entornos de gestión pueden no estar preparados para la rutina diaria de soporte operativo, dijo Tony Buffomante, director y líder de seguridad cibernética de la firma de servicios profesionales KPMG.

«Tomar esas llamadas y arreglar sistemas en medio de la noche, esa es la parte que impulsa el agotamiento», agregó.

Budge sugirió que surgen problemas cuando el CISO correcto toma el trabajo equivocado. «Muchos de nosotros estamos tan ansiosos por ese título, que en realidad no hacemos la tarea», dijo, y agregó que conoce pocos ejecutivos de seguridad que llevaron a cabo la debida diligencia adecuada antes de aceptar ofertas de trabajo.

En su investigación, Budge identificó seis tipos distintos de CISO, todos con diferentes antecedentes y habilidades: transformacional, posterior a la brecha, táctico/operativo, de cumplimiento/riesgo, de estado estable y evangelista orientado al cliente. Los CISO transformacionales, por ejemplo, tienden a ser tipos enérgicos, orientados a los negocios y con grandes deseos de cambio.

«Si eres un CISO transformador en una organización que realmente quiere que hagas el trabajo de cumplimiento, sentirás que te estás muriendo lentamente», dijo Budge. «Y habrá muchos problemas al tratar de impulsar los programas de cambio cuesta arriba».

Morey Haber, CISO del proveedor de software de seguridad BeyondTrust, dijo que los CISO de todas las tendencias deben sentir que están teniendo un impacto. Sugirió elaborar un plan estratégico, revisarlo con frecuencia y ajustarlo según sea necesario.

«Si puedes medir tu progreso, la frustración se puede manejar», dijo Haber. «Si cada día es un tiroteo, te agotarás. Ninguna cantidad de dinero, cigarros o vacaciones lo detendrán».

Autocuidado para los CISO

Budge dijo que encuentra que aquellos que esquivan con éxito el agotamiento de la posición de CISO, e incluso disfrutan activamente de su trabajo, se han comprometido con su salud mental. Toman tiempo libre, hacen ejercicio regularmente, duermen constantemente y comen de manera saludable, a pesar de las considerables presiones y demandas de sus trabajos.

Sin embargo, la investigación sugiere que son minoría. En la encuesta de Nominet, casi uno de cada dos CISO dijo que el estrés laboral ha afectado su bienestar psicológico, y el 35 % informó un impacto negativo en su salud física. Casi uno de cada cuatro dijo que había usado medicamentos o alcohol para hacer frente a su puesto.

«No hablamos lo suficiente sobre salud mental en seguridad», dijo Budge. «Necesitamos volver a lo básico y reconocer la importancia del autocuidado».

Masserini estuvo de acuerdo, instando a sus compañeros CISO a encontrar formas saludables de desconectarse, relajarse y despejar la cabeza.

«Soy un chico de playa», dijo. «Es la salvación de mi cordura. Me escapo allí tan a menudo como puedo para recargar, refrescar y tener un poco de perspectiva».

El CISO Mark Houpt ha estado en su cargo en DataBank, un proveedor de servicios de centros de datos con sede en Dallas, durante más de cinco años. Dijo que ama su trabajo, pero también se toma el tiempo de tomarse vacaciones y desconectarse.

«Si eres como yo, y eso es difícil, busca un lugar donde el teléfono no funcione», dijo Houpt. «Voy a las montañas en Montana».

Johnson, otro CISO de carrera desde hace mucho tiempo, también enfatizó la importancia de conectarse con otros en el campo. Él pertenece a un «grupo de apoyo para CISO» en Chicago, que se reúne regularmente para socializar y discutir desafíos compartidos.

«Debido a que la carga de trabajo es tan alta, muchos CISO tienden a agacharse», dijo. «Pero creo que tener esa camaradería es realmente importante desde el punto de vista de la cordura».

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close