Los líderes de TI en el Reino Unido e Irlanda son cada vez más conscientes del valor que los directores de seguridad de la información (CISO) dedicados pueden ofrecer a sus organizaciones, y el 73% ahora dice haber desempeñado ese puesto, un aumento interanual del 35%, con un 15%. Planeando contratar entre ahora y 2026.
Sin embargo, según los nuevos datos publicados hoy por Fastly, el operador de plataformas de nube perimetral, los líderes de TI aún no comprenden completamente el papel del CISO. Si bien el 35% cree ahora que los CISO son cruciales para mantener a las empresas a salvo de las amenazas cibernéticas, el 27% dijo que estaban ahí esencialmente para actuar como chivos expiatorios en situaciones difíciles.
Un número similar, el 23 %, consideró que a los CISO se les estaba dando demasiada responsabilidad legal y operativa, lo que podría crear un conflicto con otros departamentos, y el 39 % creía que necesitaban tener un conocimiento profundo de todas las áreas de TI, no solo cibernéticas. seguridad, aunque esto fue menor que en 2022.
Además, el 24 % creía que los CISO estaban sobrecargados de trabajo y mal pagados, pero el 18 % creía que el puesto ofrecía una mala relación calidad-precio.
“Afrontando (y tratando de planificar) desafíos de ciberseguridad sin precedentes en 2024, las empresas del Reino Unido han consolidado sus esfuerzos para contratar a un profesional capaz de hacerse cargo de la estrategia de ciberseguridad”, dijo Marshall Erwin, CISO de Fastly. “Sin embargo, nuestros datos sugieren que todavía existe confusión sobre lo que realmente implica el papel del CISO. Esta disparidad de opinión resalta cómo ha evolucionado el papel en los últimos años, particularmente con los desafíos a las posturas de seguridad de las organizaciones y el creciente panorama de amenazas”.
Dijo que tradicionalmente los CISO se habían limitado a TI y la gestión de riesgos, pero ahora la percepción de su función está estallando, y los líderes de seguridad están pasando a ser vistos como líderes empresariales responsables de la dirección estratégica de las estrategias cibernéticas empresariales, que pueden ser donde surge la incomprensión.
“Dentro de dos años, la mayoría de las empresas del Reino Unido e Irlanda habrán ocupado el puesto de CISO”, afirmó Erwin. “Para que funcionen eficazmente, existe claramente la necesidad de que las organizaciones desarrollen una mayor comprensión del papel entre los departamentos de TI”.
Problema perenne
Las desconexión entre lo que realmente hacen los CISO y lo que sus organizaciones esperan de ellos se han convertido en un problema constante a medida que aumenta la prominencia del rol, y la comunicación entre los líderes de seguridad y otras partes de la empresa con menos conocimientos (en particular los directorios de las empresas) es un obstáculo frecuente para lograr más comprensión.
Otro informe reciente compilado por Ninjio, un especialista en capacitación, pruebas e informes cibernéticos, estableció tres pasos clave que los CISO deben tomar para tomar la iniciativa e intentar cerrar esta brecha mejorando la educación en seguridad.
Los datos de Ninjio revelaron que el 58% de los CISO tenían dificultades para comunicar un lenguaje técnico de una manera que los altos directivos pudieran entender, por lo que el primer paso para remediar esto es presentar conceptos cibernéticos esenciales en un lenguaje inteligible. En particular, los CISO pueden confiar en las consecuencias de los ciberataques en el mundo real, apoyándose en los costos financieros, la amenaza de pérdida de clientes, el daño a la reputación de la marca, etc.
Dado que casi el 75% de las infracciones exitosas involucran un elemento humano, los CISO también deberían intentar aprovechar las herramientas de evaluación de la seguridad cibernética (CSAT), implementándolas estratégicamente para mostrar a los líderes empresariales (y también a los empleados regulares) qué tácticas pueden usarse contra ellos. actores amenazantes y empoderarlos para que hagan más por sus propias espaldas.
El tercer paso es priorizar la rendición de cuentas para generar un apoyo sostenible para la seguridad en la organización. Dado que el panorama de amenazas evoluciona constantemente, la concienciación sobre la seguridad no puede tratarse como un ejercicio de marcar casillas, y muchas personas en el lado receptor pueden olvidar rápidamente lo que han aprendido. El refuerzo y las pruebas constantes pueden ayudar a solucionar este problema.
“El objetivo final de cualquier programa de concientización sobre seguridad cibernética es establecer una cultura de seguridad cibernética”, dijo el director ejecutivo de Ninjio, Shaun McAlmont. “De mi experiencia como líder ejecutivo en las industrias de educación y seguridad, he aprendido dos aspectos importantes para lograr la aceptación a nivel de la junta directiva: articular claramente el objetivo final y luego explicar cómo se mide el progreso y el éxito.
“Hemos visto un aumento reciente en las juntas directivas que priorizan la seguridad general de sus empresas; y a medida que aumentan sus inversiones en seguridad cibernética, el trabajo del CISO es ayudarlos a utilizar los recursos de la mejor manera posible”, dijo.