Los CISO, como cualquier otro ejecutivo senior, enfrentan riesgos todos los días. Debido a que los líderes de ciberseguridad son responsables de salvaguardar algunos de los activos más valiosos de sus organizaciones, hay mucho en juego. Un CISO que se prepara inadecuadamente para cualquiera de esos riesgos o los maneja mal, probablemente será despedido -como ha sido el caso en recientes incidentes de alto perfil.
Las siguientes son acciones, o inacciones, que indican fallas que son motivo de despido para los CISO.
1) Incapacidad de prevenir una violación de datos con un daño financiero o reputacional significativo
Como muestran las recientes infracciones de Equifax y Yahoo, las empresas pueden sufrir daños graves a sus reputaciones por dichos incidentes. Cuando una brecha de seguridad monumental genera pérdidas financieras y un alto nivel de publicidad negativa, es difícil que los CISOs no carguen con toda la responsabilidad/sean culpados.
Es muy probable que una violación resulte en un despido si la empresa puede demostrar que el CISO cometió una negligencia al instalar los parches más recientes, o no pudo actualizar el entorno de datos de la organización para lidiar con las amenazas más recientes instalando los firewalls apropiados en el centro de datos, en oficinas remotas, o en el perímetro de la red, señaló Laura DiDio, analista principal de Information Technology Intelligence Consulting (ITIC).
“A veces, despedir a un CISO en este escenario es simplemente una acción superficial. Una compañía tiene que mostrar al público que está tomando medidas”, añadió Sean Curran, director principal y líder nacional de la práctica de ciberseguridad de la firma de consultoría West Monroe Partners. “Otras veces, un CISO era realmente negligente, no estaba preparado y, no tenía un plan sólido para responder y recuperarse de incidentes, un plan que habría limitado el impacto. Encontramos que con demasiada frecuencia el foco está solamente en la protección”.
Una violación de datos “suele ser el despido más publicitado porque esta es noticia y puede afectar a mucha gente”, indicó Zach Burns, reclutador ejecutivo de la firma de investigación de seguridad Stratus Search. “En una organización, un CISO debe asumir la responsabilidad por cada persona que contrata. Por lo tanto, los despidos pueden llevarse a cabo incluso si la violación de datos no fue directamente atribuible al CISO”.
2) Asumir demasiada responsabilidad por el riesgo y no comunicar el riesgo a los demás
Los CISO que asumen toda la responsabilidad de la organización con respecto a las decisiones sobre el riesgo, ponen en riesgo sus trabajos. En este caso, el CISO define lo que la empresa tolerará y lo que no tolerará desde un punto de vista de seguridad, riesgo y cumplimiento -en lugar de ser el facilitador de la comunicación, señaló Curran.
“Demasiadas personas de seguridad piensan que soportan la carga de la organización y que el conocimiento ‘técnico’ está más allá del negocio”, anotó Curran. “Como resultado, no comunican el riesgo, sofocando la capacidad de la administración de decidir cuánta inversión deben hacer para enfrentar el riesgo”.
Un CISO “debe ser capaz de articular soluciones de riesgo y seguridad para un consejo directivo o altos ejecutivos que no estén familiarizados con la seguridad, para que puedan tomar decisiones informadas sobre la tolerancia al riesgo”, indicó Curran. “Al hacer esto, el CISO toma la carga de ser el único responsable de cualquier vacío de seguridad”.
El CISO debe trabajar en todos los departamentos para tener una estrategia de seguridad efectiva, añadió Burns. “Es fundamental que esta persona se comunique efectivamente con los altos dirigentes y otros miembros de la organización. La falta de comunicación efectiva en toda la organización puede dar como resultado un bajo rendimiento, no solo de los miembros del equipo bajo el CISO, sino también de los departamentos adyacentes”.
3) Incapacidad de lograr o mantener el cumplimiento
En función de la naturaleza de la empresa y de los datos que necesitan protección, los CISO deben demostrar la debida diligencia con respecto al cumplimiento de las leyes estatales y federales. “Deben existir sistemas de informes en los que el CISO pueda confirmar que todos los sistemas están adecuadamente actualizados y protegidos”, afirmó Robert Siciliano, experto en Ciberseguridad de Hotspot Shield.
Muchas empresas deben cumplir con las obligaciones reglamentarias incluso para ofertar en ciertos contratos o, proporcionar bienes o servicios a sus clientes. “Si no obtienen la certificación, hay un impacto monetario significativo en los resultados financieros de la compañía”, añadió Curran.
Si no mantienen el cumplimiento y un auditor interno/externo encuentra una gran brecha, eso puede conducir a costos de remediación no planeados y no presupuestados que obligan a la empresa a lidiar con los problemas del año pasado en lugar de mejorar el futuro. “Este espiral luego se hace más difícil de escapar, a menos que [los CISOs] sean agentes de cambio, que rara vez es el caso o no estarían en esta posición”, anotó Curran.
El cumplimiento, especialmente en la era digital, donde las redes están cada vez más interconectadas y las empresas comparten datos con sus clientes, proveedores o socios comerciales “es un gran problema”, añadió DiDio. “Las regulaciones de cumplimiento son cada vez más estrictas, complejas y numerosas con cada mes que pasa”.
Las regulaciones varían según la industria, el estado, el país y otros factores, y normalmente el trabajo de los CISOs y, otros líderes de seguridad y TI es trabajar con abogados internos o expertos legales externos para garantizar que sus organizaciones cumplan con las leyes de cumplimiento normativo, anotó DiDio.
4) Conducta poco profesional
Al igual que con cualquier otro tipo de función laboral, el despido podría ser el resultado de una conducta no profesional del CISO. También podría suceder si un empleado que trabaja directamente para el CISO actúa de manera no profesional. “Si el CISO no corrige y aborda el comportamiento inapropiado, como el acoso sexual, esto puede llevar al despido del CISO”, indicó Burns.
El comportamiento poco profesional puede incluir acciones como tweets inapropiados o opiniones cuestionables expresadas en las redes sociales. “El CISO es un miembro muy visible de la organización y debe tener cuidado al publicar opiniones”, señaló Burns. “Cualquier opinión controvertida expresada por el CISO puede dar una mala imagen de la empresa y puede resultar en un despido”.
5) Incapacidad de entregar confiabilidad y tiempo de actividad/funcionamiento
“El tiempo es dinero”, indicó DiDio. “Los sistemas, redes y dispositivos de conectividad están sujetos a fallas. Si el tiempo de inactividad persiste durante un período de tiempo significativo, puede ser costoso en términos de pérdidas monetarias. Asimismo, puede interrumpir las operaciones, disminuir la productividad de los trabajadores e impactar negativamente a los socios comerciales, clientes y proveedores de la organización.
“Un corte de seguridad de cualquier duración significativa también puede ser una pesadilla de relaciones públicas y dañar la reputación de la empresa, causando la pérdida de tratos y negocios”, comentó DiDio. “La confiabilidad y el tiempo de actividad van de la mano con un plan integral y detallado de respaldo y recuperación de desastres, que también incluye un acuerdo interno de nivel operacional que designa una cadena de mando en caso de cualquier tipo de interrupción del servicio”.
Todas las organizaciones deben tener un plan de recuperación de desastres que incluya una lista detallada de a quién contactar en organizaciones de proveedores, en la nube y proveedores de servicios externos, señaló DiDio. “El CISO también debe saber qué estipulan los contratos de la compañía, así como el tiempo de respuesta de los vendedores, la nube y los proveedores de servicios de terceros para responder y frustrar los incidentes de seguridad, y rastrear a los piratas informáticos”, finalizó.
-Bob Violino, CSOOnline.com – CIOPeru.pe