El papel del director de seguridad de la información (CISO) se encuentra en un estado de cambio, con dinámicas cambiantes, como niveles crecientes de riesgo y amenaza, regulación y cumplimiento más estrictos, lo que hace que un papel que alguna vez fue un nicho sea crucial para la empresa de hoy en día, y alterando la naturaleza fundamental del trabajo.
Eso es según un informe recientemente publicado producido por Marlin Hawk, una firma global de asesoría de liderazgo y búsqueda de ejecutivos, que tomó la temperatura de casi 500 de los principales CISO del mundo en las Américas, Europa y Asia-Pacífico (APAC).
Algunos de los hallazgos más significativos de la tercera reunión anual de Marlin Hawk Informe de investigación de CISO global incluyen un cambio en las calificaciones subyacentes, un crecimiento en la contratación interna y una disminución en las tasas de rotación de CISO.
“Los CISO de hoy están asumiendo el manto de las responsabilidades que tradicionalmente han recaído únicamente en el CIO, que es actuar como la puerta de entrada principal desde el departamento de tecnología hacia el negocio más amplio y el mercado externo”, dijo James Larkin, socio gerente de Marlin Hawk. .
“Este alcance cada vez mayor requiere que los CISO sean comunicadores expertos con la junta, el negocio en general, así como con el mercado de accionistas y clientes. Al prosperar en los conjuntos de habilidades ‘más suaves’ de comunicación, liderazgo y estrategia, los CISO ahora están estableciendo los nuevos estándares de la industria de hoy y, predigo, progresarán hasta convertirse en los directores de la junta del mañana”.
La investigación encontró que el rol del CISO se estaba volviendo más agnóstico de la industria, con el 84% de los encuestados habiendo trabajado en múltiples sectores, con la expectativa de que aporten más amplitud de liderazgo al rol.
Como tal, el 36% de los CISO que informaron con un título de posgrado dijeron que tenían un título superior en administración o gestión de empresas, pero en realidad fue un 10% inferior al informe anterior y, en contraste, el 61% de los CISO ahora cuentan con un título superior en administración o gestión de empresas. una competencia en ciencia, tecnología, ingeniería o matemáticas (STEM), un 15 % más que en 2021.
“Diría que no debería tener el título de CISO si no está defendiendo activamente a su organización; tiene que estar en las trincheras”, dijo Yonsy Núñez, CISO de Jack Henry Associates, un proveedor de servicios tecnológicos para el sector financiero. sector, que fue entrevistado para el informe.
“También siento que en los últimos ocho a 10 años, el rol de CISO se ha convertido en un rol de CISO-plus: CISO más ingeniería, CISO más seguridad física, CISO más resiliencia operativa o CISO más seguridad de producto. Como resultado, hemos visto varios CISO que han hecho un gran trabajo con ciberseguridad, centros de fusión, SOC y liderazgo. Esto ha allanado el camino para que la oficina de CISO se convierta en un habilitador de negocios y también en una función de tecnología transformadora”.
Kevin Brown, vicepresidente senior y CISO de la firma de servicios de TI SAIC, agregó: “Tenemos más de 100 países en este momento con su propia legislación de privacidad de datos, lo que hace que hacer negocios globales de manera compatible sea más complicado de lo que solía ser. Como resultado, en la mayoría de las organizaciones estamos viendo una conexión más estrecha y un espíritu de colaboración entre los oficiales de datos, los CISO, los equipos legales y de marketing.
“Los CISO deben conocer todas las prioridades de estos diferentes sectores de la empresa, de modo que puedan tenerlas en cuenta al redactar políticas; es un trabajo más complejo de lo que solía ser”.
Mientras tanto, alrededor del 62 % de los CISO globales dijeron que fueron contratados por otra empresa, lo que indica un ligero aumento en el número de contrataciones internas: 38 % en comparación con el 36 % del año pasado. Las tasas de rotación laboral también estaban disminuyendo, ya que el 45 % de los CISO llevaban menos de dos años en su puesto actual, un 8 % menos año tras año, aunque sigue siendo bastante alto.
Larkin de Marlin Hawk sugirió que esto puede ser el resultado de juntas, reguladores y accionistas que exigen mejores controles de seguridad, mejor gestión de riesgos y más personas y departamentos enfocados en cibernética, lo que significa que hay más opciones para la sucesión interna a medida que más personas con las habilidades relevantes comienzan a aparecer en toda la organización.
“Ahora los candidatos están siendo promovidos internamente al rol de CISO de riesgos de TI, gestión de riesgos operativos, auditoría de TI, riesgos y controles tecnológicos, entre otros”, dijo Larkin.
“Esto no solo les brinda a los reguladores más tranquilidad de que hay varios pares de ojos en esto a nivel de liderazgo, sino que también ha aumentado enormemente el tamaño del grupo de talentos de sucesión y está ayudando a preparar para el futuro la industria de la seguridad de la información en su conjunto. .”
La alta tasa de rotación entre los CISO podría reflejar varios factores, uno de los más impactantes probablemente sea el hecho de que muchas contrataciones de CISO se realizan a raíz de un incidente, lo que lleva a decisiones aceleradas y posiblemente a una falta de escrutinio y diligencia debida en el proceso de contratación. Pero también hay otros problemas en juego, como explicó Shamoun Siddiqui, CISO del gigante minorista estadounidense Nieman Marcus Group.
“Primero, su conjunto de habilidades no está a la altura, y la empresa los expulsa silenciosamente”, dijo Siddiqui. “Debido a la demanda extremadamente alta de líderes de seguridad, a menudo los colaboradores individuales son elevados al rol de CISO y se ven abrumados en cuestión de meses.
“En segundo lugar, tienen una tarea insuperable con expectativas poco realistas y falta el apoyo de sus pares y de la dirección de la empresa. La empresa puede estar hablando de la seguridad cibernética, pero puede no ser lo suficientemente progresista como para convertirla en una prioridad.
“Tercero, simplemente se sienten atraídos por una mejor oferta de otro lugar. Hay tal escasez de profesionales y líderes de seguridad que las empresas siguen ofreciendo salarios y beneficios cada vez más altos a los CISO”.
Dado el mercado actual de candidatos en el que los CISO tienen la mayoría de las tarjetas, garantizar que los líderes cibernéticos duren más de 18 a 24 meses depende de una serie de factores, dijo Larkin.
“Los gerentes de contratación deben abordar dos problemas cuando se trata de retener a sus líderes cibernéticos nuevos y existentes”, dijo. “Los CISO deben pasar por un proceso de evaluación más sólido para evaluar la longevidad, el compromiso y la afiliación cultural con la organización. Debe estar seguro de que estarán en esto a largo plazo y que harán lo correcto para el negocio. Entonces debe preguntarse: ¿cómo vamos a retener a nuestro número dos, que acaba de perder el puesto principal?
“Ampliar sus responsabilidades, darles exposición en la junta y convertirlos en el CISO adjunto de facto puede ayudar. Es importante recordar que el CISO puede haber sido elegido por la junta, pero no necesariamente por el equipo. Es importante ponerlos de acuerdo, y rápidamente”.
El informe de Marlin Hawk también exploró la brecha de diversidad perpetua en la seguridad de la información y descubrió que los niveles superiores de la profesión siguen siendo mayoritariamente blancos y masculinos. Solo el 13 % de los CISO encuestados eran mujeres y solo el 20 % eran personas de color. El camino hacia una mayor diversidad en el liderazgo cibernético será largo y requiere un cambio hacia la construcción de una cartera diversa en la etapa más temprana posible de la carrera de un profesional cibernético, dijeron los encuestados.