Por qué los CISO tienen los trabajos de liderazgo más estresantes | Tech,Discourse,discourse,daily-discourse,discourse-staff,security,cybersecurity,generative-ai,changing-workplace-big-bet

Cuando Chad Kliewer trabajaba como gerente de seguridad de la información en un sistema hospitalario, el trabajo se volvió tan estresante que su cabello no sólo se volvió gris, sino que comenzó a caerse, dice. Durante su carrera, experimentó lo que ahora considera ataques de pánico inducidos por la presión y el trabajo. El trabajo incluía llamadas telefónicas a todas horas del día, relacionadas con cortes de computadoras o problemas de cumplimiento de HIPAA, y lo dejaba enviando mensajes a sus compañeros de trabajo cuando estaba fuera de la oficina y de vacaciones.

Recuerda que se despertó a las 3 de la madrugada y un médico lo llamó desde el hospital rural donde no había Internet. El médico no pudo enviar los resultados de una tomografía computarizada a un radiólogo y Kliewer recuerda que dijo: «No sé si debería poner a este paciente en un helicóptero o enviarlo a casa». Kliewer era el principal y único guardia de seguridad. “No soy médico de urgencias, pero los médicos de urgencias dependen de mis servicios”.

Un estrés inmenso ha infectado los cerebros de los CISO (directores de seguridad de la información) con malware y están buscando ponerle fin. El mandato típico de un CISO dura sólo de 18 a 26 meses, en comparación con casi cinco años para otros puestos gerenciales, según un informe de la firma de investigación y editorial Cybersecurity Ventures. La mitad de los CISO dicen que el alcance de su trabajo se ha vuelto inmanejable y casi el 70% dice que están dispuestos a cambiar de trabajo o incluso dejar su rol de CISO por completo durante el próximo año, según un informe de la firma de investigación de seguridad IANS.

El puesto conecta el lado técnico complejo de una empresa y sus objetivos comerciales, desde las finanzas hasta los recursos humanos y las operaciones diarias. Se les considera el Ministerio del No, que frena la adopción de la IA mientras los trabajadores administrativos introducen datos confidenciales en sistemas no autorizados, recurriendo a la IA en la sombra en nombre de la eficiencia. Su papel ha crecido en las últimas tres décadas, exigiéndoles que cumplan con una lista cada vez mayor de requisitos regulatorios, comparecer cada vez más ante miembros de juntas directivas que rara vez hablan en términos tecnológicos y combatir las crecientes amenazas de la IA mientras aprovechan su potencial para hacer que los trabajadores sean más eficientes. Hacen todo esto exponiéndose a una posible responsabilidad personal en caso de violaciones de seguridad.

No es de extrañar que los líderes de seguridad empresarial hayan llegado a sus límites. Los CISO de las grandes empresas se enfrentan a una presión cada vez mayor, mientras que no hay suficientes personas trabajando en esta función para atender a las pequeñas y medianas empresas. Dado que se espera que las pérdidas por delitos cibernéticos se dupliquen de 6 billones de dólares en 2021 a 12 billones de dólares en 2031, según estimaciones de Cybersecurity Ventures, esto significa que más amenazas amenazan no solo nuestros lugares de trabajo, sino también a las empresas que poseen nuestros datos personales como clientes.

Se espera que los CISO «asuman funciones operativas, estratégicas, de gestión de riesgos y de personal», explica Martin Whitworth, CISO retirado. «Es suficiente para cansar a cualquiera».

El primer CISO fue nombrado a mediados de la década de 1990 en Citicorp, y el nuevo rol nació en respuesta a un hackeo. Hoy en día, se estima que 35.000 personas trabajan como CISO, a menudo en puestos más jóvenes dentro de la alta dirección. Algunas empresas, normalmente pequeñas empresas o nuevas empresas, contratan CISO divididos, que trabajan sólo a tiempo parcial para varias empresas. Otros dependen de los CISO virtuales disponibles para obtener ayuda. Su trabajo comenzó como el principal responsable de defenderse contra las amenazas de ciberseguridad. Pero en los últimos años, el mandato se ha ampliado, al igual que los riesgos cibernéticos que enfrentan las empresas, y sus recursos no siempre siguen el ritmo. En la era de la IA en constante evolución, la seguridad se ha vuelto más compleja y requiere más estrategias. Pero no existe un campo de entrenamiento real para el lado diplomático y comercial del trabajo, me dicen los CISO, después de haber pasado sus carreras dominando la tecnología en un trabajo que a menudo está aislado del trabajo por el que la empresa es públicamente conocida.

“Lo que te trae a la mesa no necesariamente te hace efectivo”, dice Joe Silva, ex CISO y director ejecutivo de la empresa de seguridad Spektion. “O llegas a la mesa, pero luego te das cuenta de que es la mesa de los niños”, porque los CISO generalmente se sientan en un peldaño más abajo en la escala corporativa, debajo de los líderes senior como los directores ejecutivos.

El mandato típico de un CISO dura aproximadamente 18 meses, en comparación con los casi cinco años de otros puestos directivos.

Una encuesta realizada en 2024 entre 500 CISO de todo el mundo realizada por la empresa de ciberseguridad Trellix encontró que el 72% de los encuestados están preocupados por su futuro en este rol debido a la expansión de responsabilidades, como los requisitos regulatorios (que van desde la privacidad de la atención médica, como HIPAA, hasta el sector financiero) y una creciente carga de trabajo diaria para hacer cumplir las medidas de seguridad. «Todo el mundo quiere responsabilizar al CISO», dice Ron Green, exjefe de seguridad de Mastercard. En 2023, la Comisión de Bolsa y Valores acusó a la empresa de software SolarWinds de fraude después de que un ciberatacante vinculado a Rusia insertara un código malicioso en el software de SolarWinds, que luego la empresa entregó a sus clientes, incluidas agencias del gobierno federal y miles de empresas. La SEC también nombró al CISO de SolarWinds, Tim Brown, en la denuncia, buscando impedir que Brown se desempeñe como funcionario y director. La SEC abandonó el caso a finales del año pasado, pero proporciona un ejemplo escalofriante de cómo los CISO podrían ser personalmente responsables de un error de la empresa.

El trabajo del CISO «se ha disparado a este rol que es tan intenso», dice Matt Hillary, CISO de la empresa de software de inteligencia artificial Drata. «Podemos, literalmente, hacer de todo y aún así omitir algo o descuidar algo». Hillary dice que estaba atrapado en el perfeccionismo. Al principio de su mandato, dice que tuvo que cambiar su forma de pensar, reconociendo el costo mental que le había supuesto tratar de alcanzar un estándar imposible de riesgo cero en un mundo de riesgos infinitos. A menudo, dice que establecerá metas y objetivos trimestrales para su equipo, pero luego se enfrentarán a nuevos riesgos o incendios inesperados que apagar. Hillary dijo que tenía que encontrar formas de evitar que esto resultara en una falla, al mismo tiempo que comunicaba claramente a la empresa que el equipo no puede combatir todos los riesgos de seguridad. “Necesitaba comprender que existe una importante zona gris que debe existir” y que la perfección no es posible.

Con responsabilidades cada vez mayores, el 84% de los CISO cree que el trabajo debería dividirse en dos roles distintos: una persona que se encarga de los aspectos técnicos y otra que se centra en las preocupaciones comerciales, según la encuesta de Trellix. Algunas empresas ya han tomado este camino, contratando directores de confianza para que asuman los aspectos proactivos y comunicativos de su función, mientras que los CISO son responsables de la ciberdefensa. Algunos CISO creen que los problemas podrían resolverse si discutieran las decisiones comerciales antes, para reflejar sus crecientes responsabilidades. «Nos centramos en algo más que seguridad», afirma Rinki Sethi, CISO de la empresa de seguridad en la nube Upwind Security. «Hay muchas cosas en las que la gente no sabe a qué pertenecen y son entregadas a los guardias de seguridad».

Varios CISO de alto nivel han abandonado el campo. El año pasado, Phil Venables, CISO de Google Cloud, dejó su puesto para convertirse en socio de riesgo, terminando cuatro años en Google y dos décadas en seguridad en Goldman Sachs. El exjefe de seguridad de T-Mobile renunció en 2023 y pasó a la inversión ángel. El exdirector de ciberseguridad de la Agencia de Seguridad Nacional se jubiló y luego empezó a trabajar en una empresa. Cuando los CISO se van, su partida puede afectar al equipo de TI. A menudo no hay un segundo al mando dispuesto a asumir el lado humano del papel. «Muchos de ellos no están muy expuestos a estas conversaciones y dinámicas políticas», dice Silva. «Por lo tanto, la seguridad se puede sobrescribir».

Kliewer comenzó lo que él llama su viaje de recuperación como CISO hace unos cuatro años y ahora enseña ciberseguridad en Western Governors University. «He pasado por estrés y he decidido que he llegado a este punto de mi vida en el que el estrés ya no vale la pena», dice. El estrés laboral amenaza con desplazar a los CISO, justo cuando los riesgos y oportunidades de la IA hacen que la ciberseguridad sea aún más crucial.

Amanda Hoover es corresponsal senior de Business Insider y cubre la industria tecnológica. Escribe sobre las empresas más importantes y las tendencias tecnológicas.