[11/08/2021] Lena Smart hace una propuesta perfecta para ser un CISO.
Habla de la multitud de buenas oportunidades en el campo y señala la plétora de retos interesantes que conlleva el papel.
Habla de las sólidas relaciones que ha forjado como CISO, y no duda en comentar los altos niveles de confianza que existen entre ella, su equipo y los demás ejecutivos.
También le gusta poder establecer una estrategia de seguridad, y saber que la organización la apoya mientras hace lo necesario para aplicarla.
"La responsabilidad recae en mí. Creo que eso es lo que me da satisfacción", comenta Smart, que en el 2019 se convirtió en la primera CISO de MongoDB -su tercer puesto de jefe de seguridad-.
No es sorprendente que el entusiasmo de Smart y el amor profesado por su trabajo no sea universal entre los líderes de seguridad. El nivel de satisfacción frente a la insatisfacción varía de una encuesta a otra; algunos informes indican que los CISO están abrumadoramente satisfechos con su trabajo, mientras que otros han descubierto cierto descontento significativo.
Satisfacción de los CISO: En cifras
La encuesta sobre salarios, habilidades y estrés de los profesionales de la ciberseguridad en el 2020 de la empresa de tecnología de seguridad Exabeam descubrió que el 96% de los encuestados estaban satisfechos con su función y sus responsabilidades, y el 87% estaban satisfechos con su salario y sus ingresos. El estudio de referencia sobre la remuneración y el presupuesto de los CISO en el 2020 de IANS Research y la práctica de ciberseguridad de Caldwell Partners también descubrió que la gran mayoría de los CISO están satisfechos en sus puestos.
Sin embargo, en el lado opuesto, el informe 2021 Voice of the CISO de la empresa de tecnología de seguridad Proofpoint descubrió que el 57% de los CISOs creían que las expectativas sobre su función eran excesivas, y casi la mitad no creían que sus organizaciones los posicionaran para tener éxito.
Pero estos informes son solo el comienzo de la narración, que arroja luz sobre lo que hace que el puesto sea emocionante y satisfactorio o, por el contrario, lo que lo hace frustrante e insatisfactorio, y cómo cada lado de esa división puede afectar positiva o negativamente a la capacidad de una organización para protegerse y atraer el talento necesario para hacerlo.
Por supuesto, hay trabajadores felices e infelices en cualquier función a todos los niveles y por todo tipo de razones, pero hay algunos puntos comunes en lo que aporta satisfacción a los CISO que son realmente informativos, tanto sobre la función como sobre las personas que se sienten atraídas por ella.
Un sentido de propósito
"Creo que la seguridad es, en cierto modo, una vocación. Si encuentra su vocación y un lugar en el que encaja, no hay nada mejor que eso", sostiene George Finney, CISO de la Universidad Metodista del Sur en Dallas, fundador y CEO de Well Aware Security y autor de Well Aware: Domina los nueve hábitos de ciberseguridad para proteger tu futuro.
Para Finney, al igual que para muchos jefes y personal de seguridad, la variedad de retos que le plantea el trabajo es parte de lo que le mantiene comprometido con su función. "Cada día hay algo nuevo; eso es muy emocionante -también lo dicen todos los responsables de seguridad- y el hecho de que no nos limitemos a una parte del negocio y trabajemos con todo el mundo", anota Finney. Y, al igual que otros líderes de éxito, Finney disfruta de las partes del trabajo orientadas a las personas: establecer contactos con otros CISO y formar parte de la comunidad de ciberseguridad, así como ayudar a sus empleados a crecer y ascender en los rangos de seguridad. Pero uno de los factores más importantes de la satisfacción laboral de Finney, y de otros CISO con los que hemos hablado, es la forma en que su función marca la diferencia.
"Me encanta ser capaz de desmontar un problema y encontrar una buena solución para él y encontrar esas soluciones reales que realmente funcionen para evitar que ocurran cosas malas", indica Finney.
El veterano jefe de seguridad Ryan Gurney dice que la capacidad de "mitigar el riesgo para la empresa" está directamente relacionada con su satisfacción laboral. "Siempre sentí que tenía lo que necesitaba y que podía hacer lo que tenía que hacer", señala.
De hecho, la encuesta de Proofpoint concluye que tener un claro sentido de propósito para ayudar a la sociedad (44%) y la responsabilidad de elaborar una respuesta utilizando la tecnología, las personas y/o los procesos para hacer frente a la evolución de los riesgos (44%) son las principales razones para la satisfacción laboral de los CISO.
Finney se refiere directamente a estos puntos, diciendo: "Quiero estar en un papel en el que pueda marcar la diferencia. Eso es lo que me motiva a levantarme de la cama por la mañana".
Dejando su huella
Para Andy Ellis, antiguo CSO, incluido en el 2021 en el Salón de la Fama de los CSO de CSOonline, y ahora socio operativo de YL Ventures, la misión es clave.
"La misión fue la parte más satisfactoria, sin duda, para mí, y tengo pruebas anecdóticas de que es lo mismo para otros, que puede ver cómo puede cambiar el mundo", comenta. "Creo que eso es lo que todo el mundo quiere: Quieren saber que han dejado una huella en el mundo, aunque nadie lo sepa".
El puesto de CISO es una de las pocas funciones que realmente permite obtener esos resultados tangibles, añade Ellis.
"Cuando esas cosas malas no le ocurren a su organización, y la razón por la que no lo hicieron es porque hizo un cambio [en la postura de seguridad], eso es muy satisfactorio", añade.
De hecho, las encuestas a los CISO y las entrevistas a los responsables de seguridad revelan temas generales que se corresponden con la observación de Ellis. Los resultados indican que los CISO que se sienten satisfechos en sus funciones y con su trabajo son aquellos que tienen la autoridad para establecer la estrategia; la autonomía, los recursos y los equipos para perseguir sus objetivos de la manera que creen que es mejor; y la confianza de otros en toda la organización para cumplir los objetivos.
"Para mí, eso es lo fundamental que hay que buscar: la alineación con lo que uno cree que es su trabajo y lo que la empresa cree que es su trabajo", anota Ellis.
Semillas de descontento
Por supuesto, casi todo el mundo, incluso los CISO más satisfechos, tienen partes de su trabajo que no les gustan y han pasado por problemas importantes, a veces desagradables, a lo largo de su carrera. Han tenido, por ejemplo, frustrantes disputas con colegas sobre inversiones y estrategias. Algunos han tenido que enfrentarse a infracciones. Pero en general dicen estar satisfechos con su capacidad para hacer su trabajo con éxito.
Esto contrasta con los CISO que en los estudios y en las anécdotas compartidas expresan una insatisfacción y frustración continuas.
La encuesta de la IANS enumeró las tres principales causas de insatisfacción de los CISO: presupuesto insuficiente, falta de apoyo organizativo y desarrollo profesional inadecuado.
Por su parte, el informe CISO Stress Report: Life inside the Perimeter, One Year On de la empresa británica de registro de nombres de dominio Nominet, reveló que el 88% de los CISOs dicen estar moderadamente o muy estresados, y que casi todos los CISOs -alrededor del 95%- trabajan más de sus horas contratadas. Además, el 48% afirma que el estrés excesivo afecta a su salud mental y el 35% a su salud física.
Los responsables de seguridad afirman que los CISO que conocen y que están más descontentos con su trabajo son aquellos que no son vistos como pares ejecutivos dentro de sus organizaciones, que deben luchar por los recursos necesarios y que aún no cuentan con el apoyo necesario para asegurar adecuadamente la empresa.
"Muchos no están en la sala de juntas como los otros niveles C, y escucho esta frustración de muchos que no están recibiendo el apoyo de la dirección", indica Gurney, que anteriormente dirigió la seguridad en dos empresas de tecnología y ahora es CISO en residencia en YL Ventures.
Esto, a su vez, puede limitar la capacidad, o la voluntad, de un CISO de tolerar las continuas tensiones del trabajo -su ataque 24/7 de ciberataques, la naturaleza a veces ingrata del puesto, las luchas para reclutar suficiente talento cualificado.
"Esperan formar parte del proceso de toma de decisiones, pero no es así. No están necesariamente alineados con el director general y el consejo de administración, por lo que se encuentran en medio de esta tensión", indica Ellis.
Esto lleva a algo más que a un CISO insatisfecho; puede llevar a una rotación más frecuente en el papel en la organización, y en última instancia puede traducirse en una postura de seguridad subóptima.
Ellis y otros afirman que no han visto a los CISO eludir sus obligaciones o desentenderse en tales situaciones. Sin embargo, señalan que estos CISOs se enfrentan a más desafíos en la construcción de una operación de seguridad eficaz y sostenible, y tienen mayores obstáculos para atraer y retener a los mejores talentos debido a la falta de alineación y la falta de apoyo general.
Sin embargo, los responsables de seguridad subrayan que los CISO no son impotentes incluso en esas situaciones. Por el contrario, pueden trabajar para cultivar mejores relaciones con sus colegas ejecutivos; abogar por la inclusión en la planificación estratégica y en las conversaciones para la toma de decisiones; y aprender a comunicar más eficazmente las necesidades de seguridad en términos de riesgos empresariales.
"Hay que tener una buena historia, y tiene que ser comprensible y relacionable", señala Smart.
Finney tiene un pensamiento similar, diciendo: "Cuando hay desacuerdos, tengo que preguntarme si he hecho bien mi trabajo para contar la historia, porque si están entendiendo la imagen, entonces mi trabajo debería ser fácil".
Los líderes de seguridad experimentados también dicen que los CISO insatisfechos pueden necesitar hacer una introspección y considerar si realmente quieren el papel ejecutivo; si estarían más satisfechos en otros puestos, como los que aprovechan sus habilidades técnicas en lugar de las de gestión; o si están en la posición correcta, pero trabajan en la empresa equivocada.
Después de todo, añaden, la gran demanda de expertos en seguridad significa que cambiar de trabajo es siempre una opción. No hay razón para quedarse en un lugar que no es el adecuado.
Basado en el artículo de Mary K. Pratt (CSO) y editado por CIO Perú