Llegar a la cima de una industria conlleva una nueva serie de presiones; después de todo, un gran poder conlleva una gran responsabilidad.
En el caso del director de seguridad de la información (CISO), este aparentemente sería el rol fundamental al que muchos aspirarían: puede permitir el control presupuestario, la creación de políticas y estrategias, la gestión de personas y, potencialmente, un puesto en la junta directiva.
Sin embargo, cuando llegas allí, ¿a quién le pides ayuda? ¿Quién te guía hasta el puesto más alto y te aconseja cuando llegues allí? ¿A quién le pide consejo sobre qué hacer, especialmente en caso de un incidente?
Estas preguntas me vinieron a la mente mientras veía al ex CISO de Uber, Joe Sullivan, hablar en la conferencia Black Hat Europe en diciembre pasado, cuando dijo que los aspirantes a profesionales a menudo se comunican con él para pedirle orientación al solicitar empleo.
Después de todo, un profesional de la seguridad con experiencia en una de las mayores infracciones de todos los tiempos, incluido el trato con la Comisión Federal de Comercio y el despido del director ejecutivo, debería ser una buena caja de resonancia para lo que funciona y lo que no.
Pequeño libro negro de seguidores.
Sin embargo, no todos los aspirantes a CISO tienen el número de móvil de Sullivan, entonces, ¿estamos brindando suficiente apoyo e incluso oportunidades de tutoría para quienes están dando sus pasos hacia el puesto más alto?
Jitender Arora, CISO de Deloitte, ha compartido sus pensamientos sobre la progresión profesional en una serie de publicaciones de LinkedIn y, con una carrera en liderazgo de seguridad dentro de servicios financieros, agrega que también se le acercan personas que quieren ser CISO.
En declaraciones a Computer Weekly, Arora compara el papel del CISO con el de un atleta en el que entrenas todo el año para adquirir las habilidades, la fuerza y la resiliencia mental necesarias para superar una competición.
“En un puesto de CISO, esa prueba puede ocurrir mañana o dentro de dos años, pero hay que estar preparado para liderar a las personas y liderar la función, pero ser capaz de manejar el estrés que esto conlleva”, dijo. dice.
En última instancia, ser un líder en seguridad no se trata sólo de aprender habilidades de seguridad, sino también habilidades para la vida, y el hecho de que “no hay dos días iguales y eso trae consigo mucho estrés”.
Arora dice que esto se reduce a la preparación, cómo serás (física y mentalmente) y cómo te cuidarás para poder cuidar de todos los que te rodean.
Esto lleva al punto de saber a quién preguntar cuando las cosas no van bien y es necesario buscar consejo. Arora dice que se ha inspirado en las personas en las que ha trabajado y que puedes encontrar líderes que te inspiran en la forma en que hablan y explican algo.
“La inspiración nos rodea por todas partes y debemos tomar nota de ella”, afirma. Señala que escucharás decir algo o tendrás una experiencia, ya sea buena o mala, y luego podrás analizarla minuciosamente para comprender lo que se hizo y dijo y lo que se quitó de ello y sobre lo que puedes actuar.
Construyendo relaciones
Bronwyn Boyle, CISO de PPRO, admite que ha tenido “muy suerte” al trabajar en varios roles de seguridad y riesgo de servicios financieros, y lo atribuye a poder establecer relaciones con personas con las que ha trabajado estrechamente. “Siempre estás aprendiendo de aquellos que te precedieron. Es muy tranquilizador tener esa opción disponible”, afirma, admitiendo que también tiene muchas ganas de transmitir conocimientos.
En su carrera hasta el momento, Boyle dice que una de las cosas más positivas sobre la industria de la seguridad cibernética es que la comunidad CISO la apoya mucho y señala a varios mentores que la han ayudado.
Siempre estás aprendiendo de aquellos que te precedieron. Es muy tranquilizador tener esa opción disponible.
Bronwyn Boyle, PPRO
“Creo que es muchísimo para los nuevos CISO entenderse, y tener personas que estén dispuestas a brindarle apoyo, ser ese respaldo para brindar orientación y ser una caja de resonancia, es absolutamente invaluable”, dice. “Estoy muy interesado en retribuir, por lo que he ayudado a los nuevos CISO en lo que funcionó para mí y lo que no funcionó”.
Boyle admite que cada persona tiene sus propias experiencias individuales, pero hay temas temáticos en los que escuchar voces, opiniones y perspectivas es realmente útil.
Como dice Arora, habrá situaciones para las que no puedes prepararte, y Boyle habla de lidiar con un ataque cibernético en un rol anterior de CISO: dice que independientemente de lo que hayas estado tratando de planificar con anticipación, puedes terminar. en casos en los que estás preparado y en otros en los que los eventos pueden suceder simultáneamente, lo que puede resultar bastante abrumador.
CISO experimentados
Con esto en mente, es importante considerar a quién recurrir cuando las cosas van mal, suponiendo que cuando llegue al puesto de CISO, no se le dará una libreta negra de contactos, tanto desde una perspectiva de liderazgo como a quién recurrir cuando necesitado de ayuda.
Aquellos líderes que se hayan abierto camino en los rangos y hayan tenido la oportunidad de trabajar con CISO más experimentados serán los más endurecidos y podrán sobrevivir a un incidente.
Lisa Ventura, fundadora de Cyber Security Unity, dice que tener un CISO experimentado como mentor puede generar dividendos, ya que es una mina de oro de experiencia y conocimiento: “Muchos CISO a menudo también tienen un entrenador ejecutivo y tener uno puede ayudarlos a desarrollar liderazgo y comunicación. habilidades. Estos son cruciales para navegar en la sala de juntas y poder interactuar con la alta dirección”.
Ventura añade que un CISO exitoso cultivará una red de asesores confiables y aprovechará la experiencia de mentores, pares y expertos de la industria: “Esto les ayudará a navegar las complejidades de su función y tomar decisiones informadas que mantengan seguras a sus organizaciones”.
Boyle dice que los mentores pueden ayudar con las preguntas comunes que tendrá en sus primeros roles.
En última instancia, si hay un vacío en el que las personas necesitan asesoramiento y existe la sensación de que ser visto pidiendo ayuda es un signo de debilidad, debemos reducirlo garantizando que haya tutoría y apoyo. Boyle citó los grupos sociales de CISO, donde se pueden mantener conversaciones y personas nuevas en su industria vertical, hacer nuevas conexiones y obtener consejos.
“En el caso de incidentes cibernéticos que afectan a múltiples organizaciones, la comunidad de seguridad suele ser una fuente invaluable de asesoramiento y apoyo”, afirma. “Lo vi durante Log4Shell y nuevamente con el reciente compromiso de ThreatViewer”.
Otro lugar donde se puede obtener orientación y tutoría es a través de espacios seguros. Thomas Odams es director general de RANT Communities, que ofrece eventos Chatham House Rule. Dice que trabajar en seguridad cibernética, especialmente en una posición de liderazgo, es un puesto solitario en muchas empresas.
“Cuando se nos asigna la tarea de mantener seguras las joyas de la corona y ser conscientes de las vulnerabilidades y riesgos, encontrar un espacio seguro para compartir las mejores prácticas y, lo que es más importante, espíritu de cuerpo con quienes desempeñan funciones similares en otras organizaciones, es esencial para sobrevivir y prosperar en esta industria”, afirma.
Añade que la actitud de saber que no eres el único que tiene este problema, acompañada de una oleada de alivio, es una reacción común después de compartir estas experiencias.
Odams dice que siempre se ha defendido el “compartimiento honesto, abierto e informal entre nuestros miembros”, y sus eventos a menudo cuentan con el apoyo de nuestra comunidad CISO, quienes recomiendan a los miembros de su equipo que se unan a eventos específicos con temas relevantes para sus proyectos actuales. permitiéndoles beneficiarse de la sabiduría colectiva de sus pares experimentados.
No mostrar signos de debilidad
Arora dice que nunca se ha encontrado con “una sola persona que haya dicho que no” cuando le han pedido consejo, ya que “están muy felices de compartir su sabiduría, ya que tienen una visión muy amplia y diversa, y saben cómo es el bien”. ”.
Arora reconoce que pedir ayuda se ve como un signo de debilidad, y existe un temor persistente de que si pides ayuda, “quedarás expuesto cuando aparezca el síndrome del impostor”.
Dice que pedir consejo y ayuda debería ser un esfuerzo honorable, y que la gente tiene miedo de pedir ayuda como de pedir retroalimentación, pero eso es parte de ser un CISO. No se trata de no saber, se trata de aprender.
Añade que por eso le llevaron a compartir consejos en LinkedIn, ya que la gente no habla de cosas fundamentales. “Todo el mundo tiene dificultades; no me digan que un director ejecutivo de una empresa Fortune 500 no tiene sus signos de debilidad y dice: ‘Sólo espero no haber cometido un error y haber tomado una decisión que le costará a esta empresa una cantidad significativa de dinero’. .”
Crear redes es una parte clave de cualquier carrera y es importante que se ofrezca apoyo y que las comunidades sean abiertas y acogedoras. Con este factor humano abierto y preparado para ofrecer consejos, podríamos intentar superar algunos de los problemas más comunes en la estrategia de seguridad cibernética: ¿qué hacer cuando sucede lo peor?
