CISOs, estos 6 atributos son los preferidos por los empleadores 

Estas son las cualidades y habilidades clave que los reclutadores deben buscar si el objetivo son los directores de seguridad, CISOs.

Por James Careless | Original de IDGN

 

¿Está buscando su próximo CISO, preferiblemente uno con más paga, mejores beneficios y más responsabilidades/respeto en el trabajo?  

Luego, debe saber qué habilidades y cualidades buscan los posibles empleadores de sus CISOs contratados para maximizar sus posibilidades de obtener el trabajo de sus sueños.  

A medida que aumenta la importancia del rol del director de seguridad de la información, también lo hacen las expectativas de las organizaciones contratantes.  

Estos son los seis principales atributos que los reclutadores dicen que las organizaciones buscan en los CISOs actuales.

1.- Experiencia previa de CISOs (probablemente)

Los empleadores de hoy esperan que los nuevos directores de seguridad aporten una gran cantidad de habilidades a sus puestos. 

Según Burke Autrey, socio y director ejecutivo de la firma de reclutamiento de talentos de TI Fortium Partners, las organizaciones buscan candidatos experimentados que hayan servido como CISOs “varias veces en múltiples empresas”.  

Según dijo, en sus puestos anteriores, sus deberes debe haber cubierto: 

• Gobernanza
• Cumplimiento
• Monitoreo/detección de amenazas 
• T respuesta a incidentes como líder

Destacó también que dichos CISOs también deben haber adquirido experiencia en la gestión de: 

• Presupuestos
• Recursos humanos
• Interacción entre ejecutivos y juntas directivas
• Responsabilidades de enlace de seguros 
• Y aplicación de la ley

“Nuestros clientes están buscando experiencias pasadas con situaciones comprometidas o violaciones y cómo las manejaron, dónde se perdieron de algo, cómo reaccionaron y cómo reforzaron las defensas de sus empresas después”, coincide Michael Piacente, socio gerente y  co-fundador de la firma de búsqueda de ejecutivos Hitch Partners.  

Al mismo tiempo, muchas empresas más pequeñas están dispuestas a considerar dar a los profesionales de seguridad su primer trabajo como CISO, siempre que tengan las habilidades necesarias.

2.- Experiencia de CISOs en seguridad de productos

En este sentido, Piacente destaca cuáles es el orden de preferencia. La jerarquía. 

“La habilidad más importante, sin duda, es un conocimiento profundo de la seguridad de las aplicaciones y los productos. Esta es la capacidad de colaborar a un nivel técnico muy profundo con los equipos de ingeniería y desarrollo de productos”, asegura Piacente.  

Esto es especialmente cierto para las empresas de tecnología.  

“La mayoría de nuestros clientes se encuentran en empresas de software disruptivas de alto impacto, en las que el cumplimiento de la seguridad de sus productos/aplicaciones, la habilitación del cliente y la contratación son clave para el éxito de su plataforma”, dice Piacente.  

En este sentido, destaca que, para estas organizaciones, la seguridad no es solo una necesidad o un elemento de casilla de verificación, sino una característica de su plataforma rea.

3.- Capacidad para anticipar el riesgo regulatorio y de amenazas

Otra habilidad imprescindible para un director de seguridad TI es tener conocimientos sobre gobernanza, riesgo y cumplimiento.  

Piacente enfatizó que las empresas quieren un CISO que comprenda los matices de llevar a una empresa por el camino de certificaciones como: 

• ISO o SOC2
• FedRAMP 
• O NYDFS [Departamento de Servicios Financieros de Nueva York]  

“Un posible CISO debe haber pasado por estos ciclos completos para comprender los matices de lo que su empresa necesita frente a lo que no necesita”, dice.

Aseguró el experto reclutador que, en términos más generales, las organizaciones quieren CISOs que puedan trabajar en una filosofía de mitigación de riesgos anticipada.  

“Dichos CISOs saben qué problemas se avecinan con respecto a la seguridad del producto, los requisitos de cumplimiento y las posibles amenazas”, explicó Piacente. 

4.- Capacidad para generar confianza en clientes y socios

Los aspirantes a CISO también deben ser capaces de demostrar que pueden ayudar a los equipos de ventas y marketing de la empresa a infundir confianza en la seguridad de sus productos y servicios.  

De hecho, se suele pedir a los CISOs que completen cuestionarios que los clientes o socios envían para examinar las prácticas de seguridad de la empresa, por ejemplo.  

Destacó que muchos de sus nuestros clientes son empresas de software que buscan un CISO con la capacidad de administrar una operación de TI corporativa, incluidas: 

• Aplicaciones
• Tecnología comercial
• nfraestructurao

“Todo”, dice Piacente. 

Destacó que, si bien los CISOs – tradicionalmente – se han asociado con un cierto nivel de atención al cliente y a los socios, los últimos tres años han mostrado un rápido aumento e intensidad en lo referente a sus alcances

“Aproximadamente, el 80% de nuestras búsquedas incluyen algún tipo de alcance de habilitación de clientes y socios. Anticipamos que esta tendencia continuará a medida que la función de CISO se convierta en un factor de influencia y colaborador clave en todo el negocio”.

5.- Certificaciones, MBA, formación en informática

Muchos empleadores considerarán las certificaciones al contratar directores de seguridad informática. 

Según Autrey, los CISOs tradicionales con experiencia técnica o de ingeniería, a menudo, han obtenido certificaciones específicas de seguridad como: 

• CISSP (Profesional certificado en seguridad de sistemas de información)
• CISA (Auditor certificado de sistemas de información) 
• O CISM (Gerente certificado de seguridad de información)

Sin embargo, a medida que evoluciona el rol del CISO, los líderes de seguridad basados ​​en riesgos y técnicos híbridos/basados ​​en riesgos son evaluados más por su experiencia, presencia ejecutiva y habilidades en la sala de juntas que por sus conocimientos técnicos y certificaciones.  

Muchos CISOs consideran que el tema de las certificaciones es una buena educación continua, incluso, si no obtienen la certificación.  

Los empleadores pueden querer discutir las certificaciones y la educación continua como un elemento de un CISO completo.

Al respecto, Piacente afirma que, cuando se trata de títulos/certificados generales, la informática es, sin duda, la pieza principal que los empleadores buscan en la mayoría de los directores de seguridad informática. 

“Cuando se trata de nuestros clientes, muchos de los CISOs contratados, en realidad, comenzaron como desarrolladores e ingenieros de software, por lo que tienen experiencia en ciencias de la computación”, explicó.

El experto señala que, para las empresas de software basadas en la nube con las que trabaja, los CISOs tienden a tener una disciplina más profunda en torno a la ingeniería de software o antecedentes técnicos/de desarrollo relevantes.  

“En el lado de la certificación, también puedo ver esa lógica. Sin embargo, ni una sola búsqueda en la que colocamos un CISOs en más de cinco años tenía un requisito estricto para ningún tipo de certificación.  En el espacio nativo de la nube, simplemente no es una alta prioridad, pero ciertamente tiene sentido con otros arquetipos de CISO”, reconoció.  

Muchos empleadores también quieren que sus CISOs tengan maestrías en administración de empresas (MBA).  

“Esto puede sorprender a la gente, pero la razón por la que los empleadores lo  quieren se debe a la elevación del rol del CISO en los últimos tres a cinco años, con un papel más importante en los asuntos comerciales generales y reportando a la junta. Si bien tener un MBA no es fundamental para ser contratado como CISO, ciertamente es útil”, apunta Piacente.  

6.- Habilidades interpersonales y sociales

En vista de la necesidad de que los directores de seguridad informática trabajen de manera constructiva con otros en la empresa, los empleadores buscan personas con sólidas habilidades interpersonales y sociales.  

Para Autrey esto significa:

• Mostrar calma bajo presión
• Resolución frente a un desafío a su autoridad 
• Y la capacidad de traducir amenazas e impactos en lenguaje comercial

Además, los CISOs de hoy también necesitan un rasgo de personalidad clave: empatía.  

“Eso es: con su organización interna, sus socios externos y clientes potenciales. También deben comprender que no todos entienden la seguridad como ellos y poder hablar con estas personas de manera positiva usando términos que entiendan”, reitera  Piacente.  

Además, los empleadores quieren que sus CISO puedan establecer planes, objetivos y plazos realistas para sus departamentos, y poder explicarlo todo en términos claros y no técnicos.  

Considera Piacente que la audiencia con la que tiene que trabajar el CISO es extremadamente variada:

• Desde ventas hasta marketing
• El consejo general y legal 
• Hasta finanzas

Apuntó que, si el director de seguridad intenta lidiar con la misma, simplemente, tratando de ‘construir un muro’ alrededor de la empresa, sin tener en cuenta las necesidades de otras personas, sus colegas no lo respetarán.  

“De hecho, intentarán sortearlo”, asegura. “Pero si trabaja con ellos en la creación de soluciones de ciberseguridad que les permitan hacer su trabajo mientras logran un menor nivel de riesgo, entonces aquí es donde entra el éxito”.