Los seis atributos que los empleadores buscan en los nuevos CISO

¿Está buscando su próximo puesto como CISO, preferiblemente uno con más paga, mejores beneficios y más responsabilidades o respeto en el trabajo? Si es así debe saber qué habilidades y cualidades buscan los posibles empleadores de sus CISO para maximizar sus posibilidades de obtener el trabajo de sus sueños. Estos son los seis principales atributos que los reclutadores dicen que las organizaciones buscan en un CISO. Preste atención.

Experiencia previa en el puesto

En la actualidad, los empleadores esperan que los nuevos CISO aporten una gran cantidad de habilidades a sus puestos. Según Burke Autrey, socio y director ejecutivo de la firma de reclutamiento de talentos de TI Fortium Partners, las organizaciones buscan candidatos experimentados que hayan servido como CISO "varias veces en múltiples empresas". En sus puestos anteriores, sus deberes deberán haber cubierto aspectos como la "gobernanza, cumplimiento, monitoreo/detección de amenazas y respuesta a incidentes como líder", dice. Dichos CISO también habrán adquirido experiencia en la gestión de "presupuestos, recursos humanos, interacción entre ejecutivos y juntas directivas, y responsabilidades de enlace de seguros y aplicación de la ley".

“Nuestros clientes están buscando experiencias pasadas con situaciones comprometidas o violadas y cómo las manejaron, dónde pudieron haberse perdido algo, cómo reaccionaron y cómo reforzaron las defensas de sus empresas”, coincide Michael Piacente, socio gerente y co-fundador de la firma de búsqueda de ejecutivos Hitch Partners. Al mismo tiempo, muchas empresas más pequeñas están dispuestas a considerar dar a los profesionales de seguridad sus primeros trabajos de CISO, siempre que tengan “las habilidades necesarias”.

Experiencia en seguridad de productos

“La primera habilidad más importante, sin duda, es un conocimiento profundo de la seguridad de las aplicaciones y los productos”, asegura Piacente. “Esta es la capacidad de colaborar a un nivel técnico muy profundo con los equipos de ingeniería y desarrollo de productos”. Esto es especialmente relevante para las empresas de tecnología. “La mayoría de nuestros clientes se encuentran en empresas de software disruptivas de alto impacto en las que el cumplimiento de la seguridad de sus productos o aplicaciones, la habilitación del cliente y la contratación son clave para el éxito de su plataforma”, dice Piacente. “La seguridad en su mundo no es solo una necesidad o un elemento de casilla de verificación, sino una característica de su plataforma real”.

Capacidad para anticipar el riesgo regulatorio y de amenazas

Otra habilidad imprescindible, señalan, consiste en tener conocimientos sobre gobernanza, riesgo y cumplimiento. “Las empresas quieren un CISO que comprenda los matices de llevar a una empresa por el camino de certificaciones como ISO o SOC2, FedRAMP o NYDFS”, explica Piacente. “Un posible CISO debe haber pasado por estos ciclos completos para comprender los matices de lo que su empresa necesita frente a lo que no necesita”. Así, en términos más generales, las organizaciones quieren CISO que puedan trabajar en una filosofía de mitigación de riesgos anticipada. “Dichos CISO saben qué problemas se avecinan con respecto a la seguridad del producto, los requisitos de cumplimiento y las posibles amenazas”.

Generar confianza entre clientes y socios

Los aspirantes a CISO también deben poder demostrar que pueden ayudar a los equipos de ventas y marketing de la empresa a infundir confianza en la seguridad de sus productos y servicios. En este sentido cabe mencionar que se puede pedir a los CISO que completen cuestionarios que los clientes o socios envían para examinar las prácticas de seguridad de la empresa, por ejemplo.

“Muchos de nuestros clientes son empresas de software que buscan CISO con la capacidad de administrar una operación de TI corporativa, incluidas aplicaciones, tecnología comercial, infraestructura, todo”, dice Piacente. “Si bien los CISO tradicionalmente se han asociado con un cierto nivel de atención al cliente y a los socios, los últimos tres años han mostrado un rápido aumento e intensidad en esta parte del alcance”. Y es que “aproximadamente el 80% de nuestras búsquedas incluyen algún tipo de alcance de habilitación de clientes y socios”.

Certificaciones, MBA, experiencia en informática

Muchos empleadores considerarán las certificaciones al contratar CISO. Según Autrey, los CISO tradicionales con experiencia técnica o de ingeniería a menudo habrán obtenido certificaciones específicas de seguridad como CISSP, CISA o CISM. Sin embargo, a medida que evoluciona el rol de CISO, los líderes de seguridad basados ??en riesgos y técnicos híbridos son evaluados más por su experiencia, presencia ejecutiva y habilidades en la sala de juntas que por sus conocimientos técnicos y certificaciones. Muchos CISO consideran que el tema de las certificaciones es una buena educación continua incluso si no obtienen la certificación. Los empleadores pueden querer discutir las certificaciones y la educación continua como un elemento de capacitación.

Así, cuando se trata de títulos generales, “la informática es, sin duda, la pieza principal que los empleadores buscan en la mayoría de los CISO", recuerda Piacente. “Cuando se trata de nuestros clientes, muchos de los CISO que han contratado en realidad comenzaron como desarrolladores e ingenieros de software, por lo que tienen experiencia en ciencias de la computación”. Piacente señala que para las empresas de software basadas en la nube con las que trabaja su formulario, los CISO tienden a tener una disciplina más profunda en torno a la ingeniería de software o antecedentes técnicos o de desarrollo relevantes. “En el lado de la certificación, también puedo ver esa lógica”, dice. “Sin embargo, ni una sola búsqueda en la que colocamos un CISO en más de cinco años tenía un requisito estricto para ningún tipo de certificación. En el espacio nativo de la nube, simplemente no es una alta prioridad, pero sin duda tiene sentido con otros arquetipos de CISO”. 

Muchos empleadores también quieren que sus CISO tengan maestrías en administración de empresas (MBA). “Esto puede sorprender a la gente, pero la razón por la que los empleadores quieren que sus CISO tengan un MBA se debe a la elevación del rol del CISO en los últimos tres a cinco años, con ellos desempeñando un papel más importante en los asuntos comerciales generales y reportando a la junta directiva”. Así, si bien un MBA “no es fundamental para ser contratado como CISO, ciertamente es útil”.

Habilidades interpersonales y sociales

Dada la necesidad de que los CISO trabajen de manera constructiva con otros en la empresa, los empleadores buscan personas con sólidas habilidades interpersonales y sociales. Esto significa mostrar “calma bajo presión, resolución frente a un desafío a su autoridad y la capacidad de traducir amenazas e impactos en lenguaje comercial”, según apunta Autrey. Los CISO de hoy también necesitan un rasgo de personalidad clave: empatía. “Empatía con su organización interna, sus socios externos y clientes potenciales”, dice Piacente. “También deben comprender que no todos entienden la seguridad como ellos y poder hablar con estas personas de manera positiva usando términos que entiendan”.

Además, los empleadores quieren que sus CISO puedan establecer planes, objetivos y plazos realistas para sus departamentos, y poder explicarlo todo en términos claros y no técnicos. “La audiencia con la que tiene que trabajar el CISO es extremadamente variada, desde ventas hasta marketing, el consejo general y legal hasta finanzas”. “Si intenta lidiar con la seguridad cibernética simplemente tratando de 'construir un muro' alrededor de la empresa sin tener en cuenta las necesidades de otras personas, sus colegas no lo respetarán. De hecho, intentarán evitarlo. Pero si trabaja con ellos en la creación de soluciones de ciberseguridad que les permitan hacer su trabajo mientras logran un menor nivel de riesgo, aquí es donde radica el éxito”.