[17/02/2022] El texto del CISO fue breve pero revelador: "nunca más quiero un rol operativo”, afirmó, llegando al teléfono de Jeff Pollard en diciembre, mientras los equipos de seguridad se apresuraban a lidiar con la última amenaza en los titulares, Log4j.
"Es un CISO eficaz con una larga trayectoria en el cargo, pero su mentalidad era 'vamos a pasar por esto de nuevo'. Estaba hablando del esfuerzo hercúleo que sabía que él y su equipo tendrían que hacer. Nadie quería volver a pasar por eso. Y fue algo así como, 'hasta aquí llegué'”, afirma Pollard, vicepresidente y analista principal de Forrester Research.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
La mayoría de los trabajadores -la mayoría de las personas, para tal caso- han tenido ese sentimiento en un momento u otro; los estudios actuales están descubriendo, de hecho, que muchas personas se sienten abrumadas y desgastadas por la pandemia y todas las perturbaciones que ha traído.
Los CISO también están sintiendo esas tensiones.
Mire las cifras del informe Lost Hours de Tessian, una empresa de software de seguridad. Encuestó a 300 CISOs de Estados Unidos y el Reino Unido y descubrió que semanalmente, en promedio, los CISOs trabajan 11 horas adicionales a las que tienen asignadas por contrato, y el 10% trabaja de 20 a 24 horas extra por semana. Además, descubrió que el 42% ha perdido días festivos como el Día de Acción de Gracias o Navidad, el 40% ha perdido vacaciones familiares debido al trabajo, y el 59% de los CISOs afirman que, debido al estrés, luchan por desconectarse siempre del trabajo una vez que terminan la jornada laboral.
"El agotamiento del CISO es definitivamente un problema. Es un problema incluso más ahora que en el pasado, ya que nos encontramos en tiempos sin precedentes, con escasez de personal, personas que trabajan desde casa, y el aumento de las amenazas no solo a nivel nacional sino internacional. Todo esto se combina con el hecho de que el panorama de la seguridad se está expandiendo a un ritmo geométrico”, afirma Thomas Johnson, CISO de Deft, empresa proveedora de servicios y asesoría de TI.
"Es difícil para los CISOs mantenerse al día con todas las tecnologías y productos, comprender todas las amenazas, reportar las métricas a la gerencia ejecutiva y al directorio, mientras intentan mantener la cordura y la comprensión de que su programa nunca será perfecto, y siempre habrá algunas puertas que nunca estarán completamente cerradas”.
Sin duda, debería haber preocupación a nivel personal por los trabajadores (incluidos los CISO) que han llegado al punto de agotamiento; es apropiado y correcto preocuparse por el bienestar de los demás.
También hay razones organizativas -razones del personal, por así decirlo- preocupantes, ya que cualquier empleado saturado puede no estar llevando su mejor desempeño al trabajo. Como Josh Yavor, el propio CISO de Tessian, pregunta: "si los CISOs están experimentando este nivel de agotamiento, ¿cuál es el impacto para sus organizaciones y cuál es el impacto para los demás humanos con los que trabajan?”
Y agrega: "este no es un llamado para sentir pena por las personas que trabajan como CISOs, sino que es un llamado para analizar más a fondo cómo estamos ejecutando los programas de seguridad y si somos conscientes de las circunstancias que permitimos que ocurran en situaciones donde el agotamiento es generalizado”.
Lo que está en juego
El agotamiento del CISO puede afectar a las organizaciones de múltiples maneras, afirma Ed Bellis, cofundador y CTO de Kenna Security, una empresa de Cisco; también es ex CISO y autor de un artículo del 2020 titulado I was a CISO for six years -Here's why burnout is such a problem.
"Los CISOs no son personas especialmente delicadas; hay muchas personas que sufren agotamiento, incluidas las personas encargadas de informar a ese puesto, y eso es parte del problema, pero lo que es diferente para los CISOs es el impacto del agotamiento”, afirma Bellis.
Él y otros afirman que el agotamiento puede conducir -y lo hace- a un abandono prematuro del puesto, menor compromiso hacia otros ejecutivos y una disminución en su capacidad para liderar su propio equipo. Eso se suma a cualquier costo personal que un CISO pueda sufrir como resultado del agotamiento.
El informe Tessian enumeró otras consecuencias que surgen cuando los CISOs se encuentran sobrecargados. TI descubrió que los CISOs, en respuesta al pedido de que enumeraran en qué no dedican suficiente tiempo, afirmaron
- contratar talento (36%),
- asistir a reuniones no departamentales (38%),
- comunicarse con los clientes (35%),
- investigar nuevas actualizaciones y tendencias de la industria (36%),
- e invertir en su propio desarrollo profesional (38%).
El 2021 State of Access Report, titulado The Burnout Breach, del fabricante de software 1Password, también identificó un problema de agotamiento en la profesión de seguridad. Encontró que
- El 84% de los profesionales de seguridad encuestados afirmaron sentirse agotados,
- El 10% de los profesionales de seguridad afirmaron que están "completamente desprotegidos” y que "hacen lo mínimo en el trabajo” debido al agotamiento,
- El 44% de los profesionales de seguridad afirmaron estar considerablemente agotados y el 19% de los que solo están algo agotados afirmaron que las reglas y políticas de seguridad "no valen la pena el esfuerzo”.
Bellis y otros enfatizan el contexto aquí: en tiempos de crisis, muchos CISOs y profesionales de seguridad mantienen un alto nivel de desempeño para ellos y sus equipos, lidian con mucho estrés, además de otros desafíos cotidianos -al igual que sus pares en otros roles ejecutivos y en otras posiciones en el departamento.
Más sin rodeos: es claro que no todos los CISOs están en el punto de agotamiento ni se dirigen hacia allí, a pesar de lo desafiante de sus trabajos.
Y también señalan que muchos de los que se encuentran en tales situaciones a menudo reconocen la necesidad de pasar a otras posiciones.
"La cantidad de estrés asociado con el puesto de CISO ha causado una alta tasa de rotación sin precedentes; muchos CISOs han dejado sus puestos corporativos y pasado a un rol de CISO virtual y consultoría menos estresante”, señala Maurice Stebila, presidente y fundador de CxO InSyte, un centro de información de ciberseguridad basado en la web, y ex CISO de Harman by Samsung.
De hecho, Matt Aiello, socio de la firma de búsqueda de ejecutivos Heidrick & Struggles y líder de su práctica de ciberseguridad global, afirma que descubre que los CISOs se sienten atraídos por los desafíos y prosperan al resolver problemas. Él describe a los CISOs como muy orientados a la misión que asumen, sabiendo de antemano que este rol implica altos niveles de presión y riesgo.
"Diría que el agotamiento es un buen tema para discutir, pero también lo es el hecho de que los CISOs no se agotan fácilmente”, agrega.
Preparar el escenario para el agotamiento
Sin embargo, Aiello también reconoce que, en ciertas circunstancias, sí ve que el agotamiento se apodera de los CISOs. Un ejemplo de esto es cuando, posterior a una filtración de datos, tienen que liderar organizaciones a través de una recuperación prolongada, o liderar programas transformadores en varios roles consecutivos.
"Después afirman: 'quiero hacer algo diferente', pero aun así no estoy seguro llamar a eso agotamiento. Podría ser que algunos ejecutivos estén buscando roles que se adapten mejor a sus fortalezas. También podríamos observar que los CISOs quieren tomarse un tiempo libre, lo cual no es raro para los ejecutivos en otras áreas también”, añade Aiello.
Bellis y otros no están en desacuerdo con esas observaciones, pero aún ven que algunos líderes de seguridad se encuentran en situaciones que les han imposibilitado avanzar -donde enfrentan expectativas poco realistas, insuficiencia de recursos y fuegos constantes con y sin descanso a la vista.
Rebecca Wynn, una CISO veterana, afirma que ha visto organizaciones que tienen requisitos para sus líderes de seguridad que están "más allá de lo humanamente posible, donde nadie puede cumplir con las expectativas. No quieren ningún nivel de riesgo”.
"Son esos CISOs los que sienten que nadan cuesta arriba, que no ganan terreno y que no tienen el apoyo de la organización”, afirma Jonathan Brandt, director de Prácticas Profesionales e Innovación de la asociación profesional de gobernanza de TI, ISACA, y autor de la publicación de enero del 2022, Finding Calm Amid Chaos: Improving Work-Life Balance.
Al mismo tiempo, esas organizaciones no dan crédito a la función de seguridad por los éxitos que logra, ni otorgan a su CISO la autoridad ejecutiva total que debería acompañar el nivel de responsabilidad asignado a la función.
Wynn afirma que ella misma sintió una sensación de agotamiento en un puesto anterior, lo que la impulsó a hacer cambios tanto profesionales como personales; pasó a una nueva empresa, se volvió más atenta a la alimentación saludable y buscó más momentos para recargar energías.
Deténgalo antes de que comience
Un CISO que va en ruta hacia el agotamiento puede encontrar que la mejor solución para la situación es encontrar un nuevo puesto en otro lugar, afirma Wynn. Actualmente, ella trabaja en Click Solutions Group, donde se desempeña como estratega de ciberseguridad, CISO virtual y asesora de privacidad para clientes.
Wynn y otros afirman que creen que los CISOs, sus equipos y, en última instancia, sus organizaciones estarían bien atendidos al abordar los escenarios que, con mayor frecuencia, causan agotamiento en los rangos de seguridad y luego crear estructuras más sostenibles. Eso significa identificar lo que no funciona en el programa de seguridad, el liderazgo y/o la cultura y luego encontrar formas de solucionarlo.
"El trabajo del CISO es asegurarse de que el equipo pueda realizar todo su trabajo de forma sostenible”, afirma Yavor.
Él y otros afirman que requiere que los CISOs ayuden a sus colegas ejecutivos y sus directorios a comprender qué capacidades pueden ofrecer de manera realista en función de los recursos que se les asignan, y cómo esos elementos se correlacionan con el perfil y la postura de riesgo de la organización.
"Se trata de establecer las expectativas de seguridad correctas con el resto de la organización y poder decir: 'no puedo hacer estas cosas con estos recursos y las restricciones bajo las que operamos, y ser exitoso y sostenible a la vez'”, afirma Yavor.
Si la organización no puede aceptar esa relación recurso-riesgo, entonces los CISOs deben sentirse empoderados para retroceder, discutir los límites de lo que ellos y su equipo pueden ofrecer y los recursos necesarios para reducir el riesgo a un nivel organizacionalmente aceptable, sin rebasar los límites de aquellos que ocupan puestos de seguridad.
Pollard afirma que los CISOs están mejor posicionados para tener esas conversaciones ahora que nunca.
"Los últimos años han elevado la importancia de la seguridad y el reconocimiento de esa importancia”, agrega, "y, como resultado, ahora los líderes de seguridad realmente tienen mucha credibilidad y están obteniendo más de lo que quieren”.
Basado en el artículo de Mary K. Pratt (CSO) y editado por CIO Perú
Puede ver también: