Los CISO luchan por alcanzar el estatus de C-Suite incluso cuando las expectativas se disparan

A los CISO se les pide cada vez más que asuman las responsabilidades de lo que normalmente se consideraría un rol de C-suite, pero sin ser considerados ni tratados como tales en muchas organizaciones, según muestra una nueva encuesta realizada a 663 ejecutivos de seguridad.

La encuesta fue realizada por IANS en colaboración con Artico Search y encuestó a los CISO sobre una variedad de temas relacionados con sus trabajos, sus responsabilidades, apoyo administrativo y otros temas.

Un 75% de ellos dijo que está buscando un cambio de trabajo.

Las expectativas para el rol de CISO han cambiado

Las respuestas mostraron que las expectativas sobre el papel del CISO han cambiado drásticamente en las organizaciones de los sectores público y privado debido, entre otras cosas, al mayor escrutinio por parte de los reguladores y a las crecientes demandas de responsabilidad por violaciones de seguridad.

Como ejemplo, la reporte de encuesta señaló normas como las adoptadas por el Securities and Exchange Commission (SEC) en julio pasado que exigen que las empresas que cotizan en bolsa informen todos los incidentes materiales de seguridad dentro de los cuatro días posteriores a la ocurrencia del incidente. Otro ejemplo es la emisión del Departamento de Servicios Financieros del Estado de Nueva York (NYDFS) nuevos requisitos de ciberseguridad para empresas de servicios financieros.

"Los reguladores ahora responsabilizan a los CISO por la transparencia e incluso el fraude en nombre de sus organizaciones", dice el informe de IANS y Artico. Existe una expectativa creciente de que el CISO desempeñe principalmente una función de gestión de riesgos empresariales, con una voz clara en las reuniones de liderazgo ejecutivo y una línea directa de comunicación con el CEO y la alta dirección. Sin embargo, "a pesar de que las expectativas del rol se elevan al nivel C, los CISO luchan por ser vistos como tales, y el rol de CISO con frecuencia no forma parte del equipo de liderazgo senior".

La encuesta mostró, por ejemplo, que si bien más del 63% de los CISO tienen un puesto de vicepresidente o director, sólo el 20% están en el nivel C-suite a pesar de tener "jefe" en su título. En el caso de organizaciones con ingresos de más de mil millones de dólares, esa cifra es aún menor, del 1%. Desde el punto de vista de los informes, un preocupante 15% de los CISO están al menos en dos o más niveles organizacionales alejados del CEO y la C-suite. Sólo el 90% interactúa trimestralmente con el consejo de administración de su empresa. Una cuarta parte interactúa con la junta solo una o dos veces al año, el 50% se reúne con la junta exclusivamente de forma ad hoc y el 12% informa que no tiene ningún contacto con la junta.

Falta de orientación para la responsabilidad del CISO

En muchos casos, los CISO que quieren una orientación clara sobre riesgos por parte de su junta directiva no la obtienen. Apenas más de un tercio (36%) describió que su junta directiva les ofrecía una visión lo suficientemente clara de los niveles de tolerancia al riesgo de su organización como para poder actuar en consecuencia.

"La evolución del rol del CISO en los últimos años se ha acelerado dramáticamente", dice Nick Kakolowski, director de investigación de IANS. A medida que las organizaciones digitalizan cada vez más sus operaciones, los CISO están asumiendo más responsabilidades y se han convertido en propietarios de facto del riesgo digital, afirma. "[Pero] las organizaciones no han descubierto cómo apoyarlas y empoderarlas a medida que crece el alcance de su función".

En los últimos años ha aumentado la preocupación dentro de la comunidad de CISO sobre las crecientes expectativas en torno al puesto, incluso cuando su capacidad para cumplir esas expectativas se ha mantenido prácticamente sin cambios. Incidentes como el de octubre pasado en el que la SEC acusó al CISO de SolarWinds, Tim Brown, de fraude y fallas de control interno sobre la violación de 2020 en la empresa, y donde un juez sentenciado ex CISO de Uber Joe Sullivan a tres años de libertad condicional por una infracción de 2016, han alimentado esas preocupaciones. Si bien existe cierto debate sobre si las acciones contra los ejecutivos de seguridad en estos incidentes estaban justificadas, muchos han argumentado que es injusto responsabilizarlos solos por las violaciones.

Sesgo histórico contra la seguridad como función de nivel C

Una de las razones por las que muchas organizaciones todavía no perciben el papel de los CISO como parte de la alta dirección es el sesgo histórico, dice Kakolowski. "Los CISO tienden a ser percibidos (a menudo injustamente) como expertos en tecnología que no pueden hablar el idioma de la empresa", afirma, y ​​añade que a menudo tienden a aislarse en lo que respecta al desarrollo de habilidades. Los esfuerzos allí suelen centrarse en las capacidades técnicas y el liderazgo de equipos, más que en el desarrollo de habilidades ejecutivas.

Algo de esto también es inercia. Las organizaciones grandes y complejas necesitan tiempo para adaptarse a los nuevos desafíos y cambios organizacionales.

"El mayor desafío es la lucha por encontrar la alineación entre los CISO y el resto de la alta dirección", dice Kakolowski. "Los líderes empresariales están empezando a tomar conciencia del riesgo de subutilizar a los CISO como ejecutivos de negocios, y existe una oportunidad para que los CISO demuestren su capacidad para ofrecer valor a la organización más allá del back office".

Elevar el rol del CISO al lugar que le corresponde, en la alta dirección, puede tener muchos beneficios, sostiene Kakolowski. Ser parte de la alta dirección brinda a los CISO una mejor conciencia y visibilidad sobre hacia dónde se dirige la organización, y les facilita la colaboración con otras partes interesadas en la gestión de riesgos digitales.

"Esto posiciona al CISO para adelantarse al riesgo, reduciendo así la fricción que puede surgir al mitigar los riesgos", señala.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket