Tres de cada cuatro CISO están abiertos a un cambio de trabajo
Además, los CISO que han dicho estar satisfechos con su actividad y su compañía han disminuido durante este periodo en 10 puntos, hasta el 64%, según un informe de IANS Research y Artico Search.
Muchos CISO están pensando en cambiar de empleo debido a una creciente ansiedad por las nuevas demandas para su puesto de trabajo, según un informe elaborado por IANS Research y Artico Search. El mismo pone de manifiesto que el 75% de estos están abiertos a un cambio, lo que supone un aumento de ocho puntos porcentuales con respecto al estudio del año anterior.
Además, los CISO que han dicho estar satisfechos con su actividad y su compañía han disminuido durante este periodo en 10 puntos, hasta el 64%. “La satisfacción había aumentado constantemente durante los últimos años, pero no fue así durante el ejercicio anterior”, dice Nick Kakolowski, director de investigación de IANS. “La presión sobre este rol aumentó enormemente con las nuevas reglas de la SEC y los CISO fueron considerados personalmente responsables de las infracciones.
A finales de julio, la SEC anunció que las empresas públicas debían revelar cualquier incumplimiento material dentro de los cuatro días hábiles posteriores al descubrimiento de que el incidente tenga un impacto material. “El fallo de divulgación ha sacudido el liderazgo en ciberseguridad en múltiples industrias”, asevera Devin Ertel, CISO de Menlo Security. “Dado el lenguaje relativamente vago del fallo, los CISO están nerviosos acerca de cómo las regulaciones afectarán a su trabajo y si podrán ser procesados, ya que es de conocimiento común que el impacto total de una infracción puede tardar meses, o incluso años, en darse a conocer después de la investigación”.
Pesimismo en los foros
Kakolowski dice que, aunque ha aumentado la presión sobre los CISO, las recompensas no: “Las empresas todavía no han descubierto cómo elevar su figura en el negocio y compensarla en consecuencia. El trabajo es cada vez más difícil y, simplemente, las recompensas todavía no están ahí”.
“El entorno que rodea a los CISO es extremadamente turbulento en este momento y su exposición individual a demandas está en su punto más alto. Enfrentan a un peligro real de ser acusados o demandados por cosas fuera de su control”, añade Patrick Arvidson, director de estrategia de Interpres.
De la encuesta de IANS se desprende claramente que la dinámica no favorece al CISO, observa Padraic O'Reilly, fundador y director de innovación de CyberSain, creador de una plataforma automatizada de gestión de riesgos y cumplimiento. “Presupuesto limitado y responsabilidad máxima: no es una gran fórmula”, afirma. “Los incentivos entre todos los jugadores han estado y siguen estando desalineados. Los CISO han sido puestos en una especie de limbo ejecutivo: muy poco acceso al departamento legal o al director financiero, exposición a la junta directiva de manera intermitente y no de ninguna manera establecida. Cuando ingresas a los foros de CISO, hay más que un poco de pesimismo. El informe lo dice; muchos tienen un pie fuera de la puerta”.
Los CISO deben asumir el riesgo digital
El informe también señaló que a pesar de tener responsabilidades de nivel C, los CISO tienen problemas para lograr ese tipo de reconocimiento dentro de sus organizaciones. Encontró que solo el 20% de todos los CISO y el 15% de los CISO de empresas públicas son considerados ejecutivos de nivel C, y solo el 50% interactúa con la junta directiva trimestralmente. "Lo que estamos viendo es una mayor necesidad de que los CISO asuman el riesgo digital", dice Kakolowski. “La empresa lo necesita y está pidiendo a los CISO que asuman ese rol. Pero para que los CISO puedan hacerlo, necesitan exposición a una gama más amplia de unidades de negocio y exposición a nivel de junta directiva”.
“Los CISO deberían poder articular el papel de lo cibernético como parte de la estrategia comercial de una empresa. Les cuesta hacerlo si tienen que informar a través de otra organización y su verdadero mensaje puede terminar siendo filtrado o diluido”, agrega Michael Mestrovich, CISO de Rubrik, una empresa global de software de respaldo y seguridad de datos.
CISO y juntas directivas: descubran cómo hablar el idioma de los demás.
Otro hallazgo del informe es que los CISO no tienen el tiempo que necesitan con las juntas directivas. El ochenta y cinco por ciento de los CISO en la encuesta indicaron que su junta directiva debería ofrecer una guía clara sobre la tolerancia al riesgo de su organización para que el CISO actúe, pero sólo el 36% encontró que ese era el caso. “Estamos viendo que algunas juntas directivas están resolviendo esto y son efectivas allí, pero en general, hay una falta de visibilidad a nivel de la junta directiva (los CISO no informan consistentemente a la junta directiva) o los CISO y las juntas no han descubierto cómo hablar el idioma de los demás”, dice Kakolowski.
Basado en su experiencia como CISO y ahora consultor, Brian Betterton de GuidePoint Security sostiene que los CISO no reciben suficiente orientación de las juntas directivas. "A menos que sea una organización madura que comprenda y gestione el riesgo dentro de un marco de gestión de riesgos que defina estas cosas, un CISO puede necesitar ser muy proactivo para tener estas discusiones, tal vez incluso iniciarlas", afirma.
