CISOs y el por qué cambian de trabajo con cierta frecuencia

Los CISOs a menudo ofrecen un rendimiento subóptimo y tienen una vida útil corta. Las organizaciones a menudo tienen la culpa de ambos resultados.

Por Jon Oltsik | Original de IDGN

Ser un CISO es un trabajo duro. Debe equilibrar constantemente los requisitos empresariales, tecnológicos y reglamentarios con cosas como el comportamiento de los empleados y los adversarios.  

Puede ser una superestrella, crear un programa de seguridad cibernética de clase mundial y seguir las mejores prácticas, brindando una protección excepcional para la organización.  

A pesar de esta excelencia, un solo empleado puede hacer clic en un enlace web malicioso, compartir una contraseña o configurar incorrectamente un activo lo cual lleva, directamente a un ciberataque exitoso. 

Por supuesto: cuando eso sucede, es SU culpa.

Sí, los CISOs tienen grandes responsabilidades. ¿Cómo están lidiando con esta carga?  No muy bien, según una investigación de ESG y la asociación de seguridad de sistemas de información (ISSA).  

Los datos revelan que el 57% de los profesionales de ciberseguridad creen que el CISO de su organización es solo algo efectivo, no muy efectivo o nada efectivo.

El desempeño del CISO depende de la situación

Leyendo entre las líneas la investigación, parece que el rendimiento de CISO de LackLuster es, a menudo situacional y crea muchos de los churcos que vemos por los que los Cisos se mueven de trabajo a trabajo. 

Utilizando la investigación de ESG / AISS, podemos cavar simultáneamente tanto en el rendimiento subóptimo como en el desgaste de los CISOs. 

Cuando se le preguntó por qué los CISOs tienden a cambiar de trabajo cada dos o cuatro años, los profesionales de la seguridad respondieron de la siguiente manera:

• 33% cree que los CISOs cambian de trabajo cuando se les ofrece una mayor compensación en otra organización. Se trata de los Benjamins en muchos casos, que pueden no tener nada que ver con el desempeño laboral o la satisfacción. Escuché muchos ejemplos de CISOs que se ofrecen hasta un 40% más para seguir adelante. Es difícil decir que no, por lo que le incumbe a los  CEOs, boards y HR recordar que los CISOs fuertes son las capturas más atractivas. Siempre habrá pretendientes por lo que la C-Suite debe monitorear el paisaje de contratación y evaluar continuamente lo que puede hacer para mantener feliz al que es exitoso.
• 31% cree que los CISOs cambian de trabajo cuando su organización actual tiene una cultura que no enfatiza la ciberseguridad. Claramente, su desempeño laboral está altamente correlacionado con la cultura de la ciberseguridad. Si no está allí, los empleados ejecutarán Amok, la seguridad se pegará a las aplicaciones en la implementación de la producción, y el equipo de seguridad permanecerá en modo de emergencia, lo cual no es exactamente un entorno de trabajo saludable. Los jefes del área de ciberseguridad pueden influir en la cultura, pero son los CEOs (y HR) quienes deben impulsar el cambio cultural.Si esto no está sucediendo, los CISOs no pueden hacer sus trabajos y deben dirigirse a las salidas.
• 29% cree que éstos ejecutivos cambian de trabajo cuando el presupuesto de seguridad cibernética no se corresponde con el tamaño de su organización. El dinero no puede comprar el amor, pero cuando se gasta sabiamente, puede ayudar a reforzar la protección de la seguridad cibernética. No me malinterpretes. El CISO puede y debe administrar así como maximizar los gastos, pero lo que puede hacer tiene límites.  Un programa de seguridad con fondos insuficientes crónicos indica una brecha de comunicación (es decir, los CISOs no pueden explicar adecuadamente lo que necesitan y por qué lo necesitan) o, más probablemente, una brecha filosófica (es decir, los directores ejecutivos y las juntas no creen que la organización sea un objetivo). De cualquier manera, el CISO no pueden convertir el agua en vino y tienden a buscar pastos “más verdes” desde una perspectiva situacional y presupuestaria.
• 27% cree que los CISOs cambian de trabajo cuando no son un participante activo en la dirección ejecutiva y la junta. Hay un patrón aquí. Cuando el CISO no está comprometido con los ejecutivos y la junta, las decisiones comerciales evitan cosas como la gestión de riesgos cibernéticos o el modelado de amenazas. Los CISOs son percibidos como el “Dr. No” y, por ello, no puede proteger adecuadamente el negocio, mientras que el equipo de ciberseguridad vive en un estado constante de extinción de incendios. Los CISOs tienden a dejar atrás este escenario de “no se puede ganar”.
• 25% cree que el CISO cambian de trabajo cuando su organización trata la política la ciberseguridad como un cumplimiento regulatorio. Hola, 2006 llamando. La mayoría de las organizaciones se han movido para comprender la diferencia entre las cajas de verificación de ciberseguridad y los cumplimiento sólidos. Por desgracia, algunos no. Este es un asesino potencial de carrera, por lo que los CISOs inteligentes se mueven rápidamente a partir de las empresas centradas en el Cumplimiento.

Banderas rojas de búsqueda de empleo para los CISOs

Para ser descaradamente obvio, el éxito y la titularidad del CISO están altamente correlacionados con las decisiones de gestión ejecutiva en sus organizaciones.  

Si bien estoy seguro de que los CISOs obtienen una imagen optimista de los headhunters, los gerentes de recursos humanos y los ejecutivos durante el proceso de entrevista, los ejecutivos de seguridad inteligentes probablemente sepan si tienen alguna posibilidad de éxito en las primeras semanas.  

En ese momento, las dudas suelen ir seguidas de actualizaciones de currículums y planes de desarrollo profesional.

Durante su proceso de búsqueda de empleo, los CISOs también deben estar atentos a las señales de alerta.  

Si una organización ha tenido varios CISOs en los últimos cinco años, es posible que sus predecesores hayan encontrado más dinero en otros lugares.  

Alternativamente, tal vez los obstáculos culturales, presupuestarios y de gestión hacen que las organizaciones sean una “tierra de nadie” para el CISO.  Caveat emptor.