Las historias del sector de la ciberseguridad son por todos conocidas: siempre hay compañeros que se interponen en el camino recto de la estrategia. Y, los CISO también saben de ellas. Uno recuerda a un empleado talentoso que hizo exactamente lo que se requería, pero nada más. No llegó muy lejos, ya que finalmente sus jefes le dejaron marchar. Este es solo un ejemplo de cómo acabar con su carrera. Pasando por alto los comportamientos que no son éticos ni legales, podemos encontrar 12 rasgos comunes que los líderes de seguridad dicen que impiden avanzar en su carrera:
Creer que la seguridad es el objetivo final
“El mayor problema que he visto son las personas que piensan que la seguridad es lo más importante. Entran con esa actitud y no ven cómo tienen que habilitar el negocio”, aseguró James Carder, CSO de LogRhythm. En cambio, aseveró, es necesario colaborar con los equipos de negocio para comprender sus objetivos y luego ser un facilitador, no un obstáculo. “La seguridad es una profesión que tiene muchos estándares, regulaciones y marcos, pero muchas veces tratamos de implementarlos de manera ciega, en lugar de intentar implementarlos en el contexto corporativo”, añadió Russ Kirby, CISO de ForgeRock.
Quedarse atascado
De manera similar, Kirby ha visto a los profesionales de ciberseguridad estar tan enfocados en sus propios objetivos que alienan a otros departamentos que, de otra manera, querrían trabajar juntos para encontrar una solución. Puso de ejemplo un escenario en el que el personal de seguridad quería cambiar la longitud mínima de la contraseña de una aplicación de ocho caracteres a más de 20. El equipo de TI la rechazó, explicando que podrían llegar a 12, pero que cualquier otra cosa requeriría mucho tiempo y dinero. La gente de seguridad se aferró, negándose a dar marcha atrás en su demanda y generando un mal ambiente y reputación tras mostrarse irracionales en el proceso. “Esta actitud significa que esa unidad debe ser evitada y perdieron oportunidades que de otro modo se les habrían presentado”.
Actuar como el más inteligente de la sala
No hay duda de que el campo de la seguridad atrae a muchas mentes brillantes. Pero nadie debería creer que son los únicos inteligentes, y ciertamente no deberían actuar de esa manera. Lise Stewart, directora del Centro de Desempeño Individual y Organizacional de EisnerAmper, dijo que este es un problema común. Entrenó a un joven empleado cuyos ejecutivos creían que tenía potencial, pero su arrogancia lo detuvo. “Suspiraba profundamente cuando la gente no entendía de qué estaba hablando. Era muy rápido a la hora de criticar y siempre tenía una palabra negativa para los demás, así que aunque sus habilidades técnicas eran buenas, parecía alguien en quien no se podía confiar”. La brillantez solo te lleva hasta cierto punto. “Mucha gente cree que son sus habilidades técnicas las que les llevarán al éxito. Eso no es cierto y solo ocurre en unos pocos casos”.
Ser demasiado tímido
Katie Cassarly, directora asociada de Servicios Profesionales en el Heinz College de la Universidad Carnegie Mellon, dijo que ve a algunos especialistas, en especial los más jóvenes, que carecen de la confianza necesaria para ascender de rango. “Piensan que no son lo suficientemente buenos o talentosos. Es posible que no sepan cómo hablar o estar desacuerdo con un jefe o un compañero, aunque podrían arrojar luz que podría resolver un problema o mitigar el riesgo”. El tiempo y la experiencia pueden ayudarlos a ganar confianza.
Perder la calma
La mayoría de los entornos de trabajo cuentan con mucha presión, y los equipos de seguridad muchas veces tienen un estrés adicional. Todos los sienten así, expresó Stewart, pero nadie suele ayudar a los que se desvían por la frustración. “Alguien que grita y agrava el problema al perder la calma tiende a dañar su propia reputación y su carrera”. Además, apostilló, los compañeros querrán evitar a los miembros de un equipo con un comportamiento tan alienante, dejándolos fuera de proyectos clave.
Hablar de tecnología
James Stanger, evangelista en CompTIA, recordó haber comenzado a hablar sobre temas técnicos durante una de sus primeras presentaciones ante una junta directiva y luego ver sus ojos vidriosos. Es un error típico de novato, y uno del que se recuperó rápidamente al volver a un lenguaje comercial más identificable. Muchos, sin embargo, no saben o no intentan hacer ese cambio, lo que los mantiene fuera de las altas esferas. “La gente ignorará lo que dices cuando solo hablas en lenguaje técnico. Tu carrera no avanza y luego tienes que lidiar con problemas posteriores, porque nadie te escucha”.
Pegarse a uno mismo
Los profesionales de todas las disciplinas avanzan, en gran parte, ayudando a otros a hacer su trabajo y convirtiéndose en socios de confianza para sus colegas y estableciendo relaciones en todas sus organizaciones. Algunas personas encuentran fácil la creación de redes, mientras que algunos roles requieren el tipo de colaboración que ayuda a forjar esos lazos en el lugar de trabajo. Sin embargo, la función de seguridad en muchas organizaciones no se incluye con frecuencia en ninguna de esas categorías, aunque la construcción de relaciones no es menos importante en este departamento. Como resultado, estos empleados deben crear más oportunidades propias. Kimberly Roush, fundadora de All-Star Executive Coaching, sugirió que han de hacer saber a sus compañeros que está interesado en comunicarse, hacer preguntas y en aprender de los demás. “Debería hacer este tipo de cosas si quiere tener influencia más allá de su propio equipo”.
No desarrollar otras habilidades
Los profesionales de la seguridad valoran sus habilidades técnicas y certificaciones, y con razón, pero deben comprender cómo encajan en la pila tecnológica generacional de su empresa, sus objetivos, su comprensión de las amenazas de seguridad y su tolerancia al riesgo. Además, deben apoyarse en ese conocimiento a medida que avanzan en los rangos para tener éxito a nivel superior. Sin embargo, muchos no logran desarrollar esa cartera más amplia de habilidades comerciales, gestión y liderazgo.
Quedarse quieto
A veces, Carder se encuentra con especialistas en seguridad que han estado en la misma posición durante periodos prolongados. Esto no es necesariamente malo, pero plantea dudas sobre si se ha tocado techo. “Miro el crecimiento de su carrera y sé que si se han mantenido en un cierto nivel durante mucho tiempo, puede haber una razón. Busco profesionales que vean que hay espacio para crecer”.
Permanecer en seguridad
Jenai Mainkovic, CTO y CISO de Tiro Security, recibió una vez un mensaje contundente de un mentor. Le dijo que no podía entender la perspectiva empresarial, por lo que no podía comunicarse y colaborar eficazmente con los equipos de negocio. El mentor sugirió que adquiriera algo de experiencia fuera de la seguridad para ayudarla a expandir sus horizontes. Entonces, Markinovic tomó una serie de trabajos como CTO de startups, donde aprendió a ser una líder empresarial. “No estaría donde hoy estoy si no lo hubiera hecho”.
Confundir vulnerabilidades con riesgos
Muchos profesionales de la ciberseguridad consideran las prioridades y los objetivos de su equipo en términos de amenazas de seguridad, identificando vulnerabilidades que deben abordarse en lugar de verlas con un prisma más matizado, impulsado por el negocio y centrado en el riesgo. “Muchos profesionales tienden a ser de blancos y negros”, dijo Lisa Core, directora senior de Ciberseguridad en Zendesk. “No pueden ver si la vulnerabilidad también es un riesgo. Por lo tanto, deben pensar en las vulnerabilidades de una manera más amplia. Necesitan aprender a vivir con el riesgo, a entender que no es todo o nada”.
Ser táctico, pero no estratégico
Marinkovic dijo que es más probable que la mayoría de las personas de seguridad sean pensadores tácticos, trabajando a través de planes lineales para abordar problemas y necesidades. “Elaboramos planes tácticos que llamamos planes estratégicos”, dijo, y explicó que ese enfoque puede fallar tanto en las necesidades a largo plazo de la organización como en obstaculizar el crecimiento de la carrera profesional. Los directores ejecutivos y los consejos de administración quieren líderes de seguridad que puedan trabajar con ellos para diseñar una visión de futuro y comprender cómo la seguridad permite esa visión, dónde puede ayudar a moldearla y dónde podría incluso convertirse en un diferenciador.
-Mary K. Pratt, cio.com