La ciberseguridad se está convirtiendo, por fin, en un asunto de importancia para los directivos de las organizaciones y tiene cada vez un papel más importante en la toma de decisiones estratégicas. Y así debe ser, ya que el riesgo cibernético es un riesgo básico con el potencial de hacer o deshacer una organización. Tan es así que es el principal fundamento que subyace a las nuevas normas reguladoras en Estados Unidos, por ejemplo.
Este reconocimiento de la importancia de la ciberseguridad, por otro lado, trajo más presión sobre los CISO (Chief Information Security Officer), sin que necesariamente tengan el reconocimiento y la recompensa adecuados. El resultado: aumento del estrés, el agotamiento y la insatisfacción. El 75% de los CISO están dispuestos a cambiar de trabajo, —ocho puntos porcentuales más que hace un año—, y solo un 64% está satisfecho con su función —una caída del 10% con respecto al año anterior—.
Esta situación representa un riesgo adicional para la ciberseguridad dentro de las organizaciones, y abordar estas cuestiones debería ser una prioridad urgente.
Un papel cada vez más estresante
Los CISO siempre han tenido un trabajo estresante, y entre las causas más recientes de este estrés se encuentran:
- El aumento de los niveles de ciberamenazas, que deja a muchas organizaciones en modo de alerta permanente.
- La escasez de competencias en el sector, que deja a los equipos clave sin personal suficiente.
- Excesiva carga de trabajo debido a las crecientes exigencias de las gerencias y altos mandos.
- Falta de recursos y financiación adecuados
- Carga de trabajo que obliga a los CISO a trabajar muchas horas y cancelar vacaciones
- La transformación digital, que sigue ampliando la superficie de ciberataques corporativos
- Requisitos de cumplimiento que siguen creciendo con cada año que pasa
No es de extrañar que una cuarta parte (24%) de los líderes mundiales de TI y seguridad hayan admitido automedicarse para aliviar el estrés. Los crecientes niveles de este padecimiento, aumentan las probabilidades de agotamiento y/o jubilación anticipada, y podrían conducir a una mala toma de decisiones (como se señala en este estudio, por ejemplo), así como afectar a las habilidades cognitivas y a la capacidad de pensar racionalmente.
De hecho, se ha sugerido que incluso la anticipación de un día estresante puede afectar a la cognición; alrededor de dos tercios (65%) de los CISO admiten que el estrés laboral ha comprometido su capacidad de rendimiento en el trabajo.
Mayor escrutinio legal, normativo e interno sobre los CISO
A la base de estrés por las características del puesto, se le ha sumado en los últimos meses un mayor escrutinio normativo, legal y por parte de los consejos de administración. Es relevante, en este sentido, detallar estos tres acontecimientos recientes que lo grafican:
- Mayo de 2023: El ex CSO de Uber, Joe Sullivan, fue condenado a tres años de libertad condicional tras ser declarado culpable de dos delitos graves relacionados con su papel en un intento de encubrimiento de una mega brecha de 2016. Sus partidarios afirman que fue el chivo expiatorio del entonces CEO Travis Kalanick y del abogado interno de Uber Craig Clark, con Sullivan explicando que Kalanick había firmado su controvertido pago de 100.000 dólares a los hackers.
- Octubre de 2023: Por primera vez, la SEC acusó al CISO de SolarWinds, Timothy Brown, de minimizar o no revelar el riesgo cibernético mientras exageraba las prácticas de seguridad de la firma. La denuncia hace referencia a varios comentarios internos realizados por Brown y alega que no resolvió o elevó estas graves preocupaciones dentro de la empresa.
- Diciembre de 2023: Entran en vigor las nuevas normas de información de la SEC, que obligan a las empresas que cotizan en bolsa a informar de los incidentes cibernéticos “importantes” en un plazo de cuatro días hábiles a partir de la determinación de la importancia. Las empresas también tendrán que describir anualmente sus procesos de evaluación, identificación y gestión de riesgos y el impacto de cualquier incidente. Y tendrán que detallar la supervisión del riesgo cibernético por parte del consejo de administración y su experiencia en la evaluación y gestión de dicho riesgo.
No es solo en Estados Unidos donde está aumentando la supervisión reglamentaria: la nueva directiva NIS2, cuya transposición a la legislación de los Estados miembros de la UE está prevista para octubre de 2024, impone al consejo la responsabilidad directa de aprobar las medidas de gestión del ciberriesgo y supervisar su aplicación.
Los miembros de la alta dirección también pueden ser considerados personalmente responsables si se demuestra su negligencia en caso de incidentes graves.
Según el analista de Enterprise Strategy Group (EST) Jon Oltsik, la creciente presión que estas medidas están ejerciendo sobre los CISO está dificultando su labor principal de responder a las amenazas y gestionar los riesgos cibernéticos. Un estudio reciente de ESG revela que tareas como trabajar con la junta directiva, supervisar el cumplimiento de la normativa y gestionar un presupuesto están haciendo que el papel del CISO deje de ser técnico para orientarse al negocio. Al mismo tiempo, la creciente dependencia de TI para impulsar la transformación digital y el éxito empresarial se ha vuelto abrumadora. La encuesta afirma que el 65 % de los CISO han considerado dejar su puesto debido al estrés.
Conclusiones para los CISO y las juntas directivas
La conclusión es que si los CISO están luchando para hacer frente a la carga de trabajo, y con miedo a represalias regulatorias e incluso responsabilidad penal por sus acciones, es probable que tomen peores decisiones cotidianas. Muchos podrían incluso abandonar el sector. Esto tendría un impacto enormemente negativo en un sector que ya sufre escasez de personal cualificado.
Pero no tiene por qué ser así. Hay cosas que tanto los consejos de administración como sus CISO pueden hacer para aliviar la situación:
- Los consejos deberían evaluar la salud mental, la carga de trabajo, los recursos y las estructuras de información de los CISO para optimizar su eficacia y evitar bajas por motivos de salud. Largos periodos sin un CISO a tiempo completo, afecta a la estrategia de seguridad.
- Los consejos de administración deberían remunerar a sus CISO en consonancia con el elevado riesgo que su función conlleva en la actualidad.
- Es esencial un compromiso regular entre el consejo y el CISO, con líneas de información directas al CEO si es posible. Esto ayudará a mejorar la comunicación entre ambos y a elevar la posición del CISO de acuerdo con sus responsabilidades.
- Los consejos deberían proporcionar a sus CISO un seguro de directores y funcionarios (D&O ) para ayudar a aislarlos de riesgos graves.
- Los CISO deben permanecer en el sector que aman y asumir mayores responsabilidades en lugar de huir de ellas. Pero también deben recordar que su papel es asesorar y proporcionar contexto al consejo. Deje que otros tomen las decisiones importantes.
- Los CISO deben priorizar siempre la transparencia y la apertura, especialmente con los reguladores.
- Los CISO deben ser conscientes de lo que hacen circular internamente y asegurarse de que las decisiones polémicas o las peticiones de la alta dirección se registran siempre por escrito.
Para optimizar la estrategia de ciberseguridad, los consejos deberían empezar por reevaluar cuál quieren que sea el papel del CISO. El siguiente paso es asegurarse de que el profesional de la ciberseguridad que ocupe ese puesto tenga suficiente apoyo y suficiente recompensa para querer quedarse allí.