En esta entrevista de Help Net Security, Chris Mixter, vicepresidente y analista de Gartner , analiza el dinámico mundo de los CISO y cómo sus funciones han evolucionado significativamente a lo largo de los años. Describe las habilidades críticas para los CISO en 2024, aborda los desafíos que enfrentan y subraya la importancia de alinear las expectativas empresariales con las demandas de protección de la información.
¿Cómo ha evolucionado el papel del CISO en los últimos años, especialmente a la hora de afrontar desafíos y liderar con visión?
Gartner observa cuatro etapas de evolución en los CISO en cada organización: gerente de controles -> propietario de las decisiones de riesgo -> facilitador confiable -> y creador de valor. Cada etapa se basa en la etapa anterior, por lo que no posicionamos ninguna de estas etapas como “mala” o “inmadura”, sino más bien como requisitos previos y contribuyentes al desempeño en la siguiente etapa también. Regularmente comparamos la eficacia de los CISO y la mayoría de los CISO se identifican a sí mismos como en las etapas de «propietario de las decisiones de riesgo» o «facilitador confiable». La mayoría de los CISO han evolucionado más allá de ser simplemente gerentes de control y el papel de «creador de valor» todavía está enrarecido.
Ahora, cuando se analizan esas etapas de cómo han evolucionado las funciones de los CISO, la mejor descripción es que la función sigue siendo una «molécula inestable». Las descripciones de funciones de los CISO varían enormemente en cuanto a antigüedad, alcance, línea jerárquica y responsabilidad. Ahora bien, “molécula inestable” no pretende ser un término peyorativo, sino simplemente una descripción de la realidad. Y no debería sorprendernos: después de todo, el rol de director de seguridad de la información en realidad no surgió hasta mediados de los años 1990. Mientras que los líderes financieros han tenido (y esto no es una hipérbole) más de mil años para ordenar sus competencias, el papel del CISO aún se encuentra en sus primeras etapas. También es de esperar una variación en las funciones, dado que los requisitos de ciberseguridad varían entre empresas y agencias gubernamentales, por lo que esperamos ver cierta variación en las funciones de los CISO.
Sin embargo, ser una molécula inestable crea problemas para los CISO… Por un lado, los diferencia de otros ejecutivos de nivel C con los que se espera que interactúen. Hay niveles muy bajos de variación en los roles de líderes de nivel C comparables, como CHRO, CFO, jefes de ventas, marketing, etc., por lo que a menudo es difícil para los pares del CISO realizar un seguimiento de «precisamente lo que el CISO hace y hace». No lo hago. Una de las realidades más dolorosas para los CISO hoy en día es una desconexión continua entre las expectativas de la empresa/agencia para su CISO y lo que el CISO realmente tiene la tarea y los fondos para cumplir. La manifestación actual más visible de esa desconexión es la incertidumbre (tanto de la alta dirección en general como de los propios CISO) en torno al papel del CISO en el apoyo al cumplimiento de su empresa con las reglas de divulgación actualizadas de la SEC , pero hay muchos otros ejemplos.
Para llegar a las etapas de facilitador confiable y creador de valor, los CISO deben concentrarse como un láser en cerrar la brecha entre las expectativas empresariales y lo que el CISO es realmente capaz (¡y financiado!) de ofrecer.
En su opinión, ¿qué habilidades son las más críticas que deben desarrollar los CISO en 2024?
El mundo está inundado de opiniones sobre las habilidades que deberían desarrollar los CISO. ¡Mi preferencia siempre es confiar en los datos!
La investigación sobre la eficacia de los CISO de Gartner identifica 14 comportamientos y mentalidades como esenciales para los CISO. Anualmente, más de 200 CISO aportan sus datos de desempeño y comportamiento a este análisis, y la última edición mostró que los cinco principales son: iniciar debates sobre normas en evolución para mantenerse a la vanguardia de las amenazas, participar proactivamente en la protección de tecnologías emergentes, dedicar tiempo regular a profesionales actividad de desarrollo, establecer relaciones con tomadores de decisiones de alto nivel fuera del contexto de los proyectos y definir el apetito de riesgo a través de la colaboración con tomadores de decisiones de negocios de alto nivel.
Obviamente, la mente se dirige a «descubrir los riesgos y oportunidades en la IA» cuando uno lee «participar proactivamente en la seguridad de las tecnologías emergentes», pero la mayoría de las preguntas que recibo de los CISO se relacionan con el desafío de construir relaciones fuera del contexto de los proyectos. y problemas. Por ejemplo, nuestra evaluación comparativa muestra claramente que el compromiso regular con los directores financieros y jefes de ventas es un diferenciador de los CISO más efectivos, pero parte de por qué es un diferenciador es que dicho compromiso es poco común en la comunidad de CISO y, casi siempre, está relacionado con los objetivos centrales. temas de seguridad.
Los CISO eficaces van más allá de “cómo hacer que su función sea más segura” para crear valor bidireccional, y eso significa la necesidad de comprender verdaderamente cuáles son las prioridades del CFO y del CSO. Alerta de spoiler: sus mayores prioridades no son, ni deberían ser, la ciberseguridad.
Como se señaló anteriormente, en el nexo entre “normas en evolución” y “construcción de relaciones fuera del contexto de los proyectos”, al menos para las empresas que operan en los mercados estadounidenses, está el apoyo a los esfuerzos de la empresa para cumplir con las reglas actualizadas de la SEC. Existe un riesgo enorme de que los CISO se extiendan demasiado en este aspecto, pero también creen un valor inmenso y demuestren un verdadero liderazgo de nivel C. Entonces, en términos de desarrollo de habilidades, los CISO deben centrarse en establecer algunos límites. Si no es un directivo de la empresa, no firme el 8-K ni se deje presionar para determinar qué es la materialidad, por ejemplo.
¿Cuáles son los desafíos más importantes que enfrentan los CISO y cómo recomienda abordarlos?
Una tarea más sencilla sería enumerar los desafíos no significativos, ¡porque sería una lista mucho más corta! La naturaleza de ser un líder en ciberseguridad es que realmente no hay problemas pequeños. Uno de los CISO que respeto y del que he aprendido mucho solo tiene rojo y verde en su panel de desempeño. El amarillo, me dijo, no existe en ciberseguridad. ¡Algo está roto o no lo está! Creo que hay mucha información en esa perspectiva.
El mayor desafío para los CISO es la gestión del tiempo. Estamos muy lejos de la era de «luchar por un asiento en la mesa» en materia de ciberseguridad: la mayoría de los CISO con los que trabajo ahora están invitados, e incluso se les exige, en todas las mesas. Como era de esperar, los CISO que aumentan su eficacia son los que son despiadados con su tiempo. Que toman decisiones deliberadas sobre “con quién” y “con qué intensidad” interactúan, y delegan/automatizan todo lo demás.
Sin duda, la ciberseguridad es en gran medida una elección de estilo de vida, por lo que lo que constituye el equilibrio entre vida personal y laboral será diferente para cada CISO. Pero, tras años de análisis y experiencia, queda claro que la mayoría de los CISO llegan al trabajo creyendo que “siempre activos” es un requisito del puesto. Y uno de los legados de la era de «luchar por un asiento en la mesa» es el deseo de estar en todas partes y aportar valor en cualquier lugar que podamos. Esos comportamientos y mentalidades no escalan, lo que se evidencia en las increíbles tasas de rotación y agotamiento en el rol de CISO .
La solución, por simplista que parezca, es empezar a tratar el tiempo como su recurso más escaso. Desarrollar habilidades de gestión del tiempo de la misma manera dedicada que desarrolla otras habilidades críticas para el puesto. De hecho, una de las formas más frecuentes en que apoyo a los clientes es, después de que ven «desarrollo personal» en nuestra evaluación comparativa de eficacia del CISO, dirigiendo talleres de gestión del tiempo para ayudarlos a desarrollar esta habilidad.
¿Cómo pueden los CISO equilibrar los aspectos técnicos de la ciberseguridad con la creciente necesidad de visión empresarial?
Los CISO necesitan un profundo nivel de competencia técnica: la ciberseguridad no funciona sin conexiones masivas con la tecnología y, una vez que obtienes uno o dos niveles del CISO, ¡la tecnología lo es todo! Sólo por razones de credibilidad, el CISO necesita tener habilidades tecnológicas para poder contribuir activamente dentro de la función. Y dependiendo de su industria o tamaño de empresa, ser práctico con la tecnología puede ser una parte apropiada y necesaria del puesto. Creo que la mayoría de los CISO expertos están más allá de la mentalidad de creer que pueden ofrecer valor centrándose únicamente en ‘políticas/gobernanza’.
Al mismo tiempo, debido a que la mayoría de los CISO provienen del mundo de la tecnología y las operaciones, es muy fácil, cuando se enfrenta al mundo ambiguo y a menudo político del liderazgo, invertir demasiado en su zona de confort de la tecnología. Por esa razón, vemos un número cada vez mayor de CISO que dependen de arquitectos de seguridad senior para mantener su conexión con el mundo de la tecnología, examinando la gran cantidad de oportunidades para centrarse en el subconjunto que realmente exige atención a nivel ejecutivo. Y empoderar a sus equipos de liderazgo para que tomen más decisiones de forma autónoma para que el CISO no se vea en la posición de «elegir a cada proveedor personalmente».
Finalmente, ¿cómo visualiza el futuro del rol de CISO y para qué tendencias deberían estar preparados los profesionales en este campo?
Mi expectativa es que el rol del CISO seguirá siendo muy diverso en cuanto a competencias, estructura de informes y una variedad de otros factores. Una vez más, el rol es todavía relativamente nuevo en el contexto del liderazgo empresarial, y tanto la comprensión como la necesidad de protección de la información son muy variables entre sectores, todo lo cual significa que no es probable que veamos el rol del CISO “consolidado”. en cualquier momento.
Por lo tanto, ser implacable con su tiempo y hacer que su “Estrella del Norte” cierre la brecha entre las expectativas de su empresa y lo que es realmente necesario y posible… esos serán puntos de enfoque esenciales para todo CISO.
Fuente y redacción: Mirko Zorz / helpnetsecurity.com