El experto en ciberseguridad y CISO de servicios al cliente de Oracle, Brennan P. Baybeck, cree que una de sus primeras responsabilidades es la construcción de un equipo humano con éxito. “Si te rodeas de gente excelente, asegúrate de que tengan lo que necesitan, como programas de capacitación o buenos presupuestos. De este modo se consiguen altas cotas de ciberseguridad”, aconseja.
Este enfoque requiere muchos recursos de desarrollo, así como planificación y dirección de carrera para que los miembros puedan desarrollar mejor sus habilidades y tengan la combinación correcta de responsabilidades. Sin estos ingredientes, la seguridad sufre.
“Un equipo insatisfecho derivará en luchas internas, infelicidad y agresiones”, asegura un informe de la consultora Forrester. “Esto no sólo cultivará un entorno desagradable, sino que también tiene el potencial de arruinar la reputación del departamento, socavar su integridad y poner en riesgo a toda la organización”. Entones, ¿qué pueden hacer, de manera concreta, los CISO para contrarrestar este escenario?
Acelerar el avance profesional
Los CISO que quieran retener el talento y maximizar la experiencia de su personal deben programar revisiones de desempeño con más frecuencia, explica Nick Rowe, director de operaciones y responsable del negocio de consultoría de NCC Group North America. “Los ciclos de revisión tradicionales no tienen sentido en un mundo acelerado como el que vivimos, particularmente para los miembros más jóvenes de los equipos”.
Los trabajadores de seguridad suman constantemente nuevas habilidades a su haber a medida que se mantienen al día en las demandas profesionales y corporativas, y los más jóvenes avanzan a un ritmo particularmente rápido. Como resultado, los empleados perfeccionan su experiencia, y por lo tanto su comerciabilidad, más ágilmente que sus colegas de otros departamentos. Por eso, explica Rowe, los CISO deben reconocer este rápido desarrollo con promociones, reasignaciones y aumentos.
Crear un elenco de apoyo
Los equipos de seguridad sólidos necesitan más que puestos de ciberseguridad; también necesitan roles de apoyo como expertos en operaciones comerciales, reclutadores y gerentes de proyectos, tal y como enumera Baybeck. El experto cree que la creación de estos roles es estratégico y él mismo ha visto el valor de este enfoque “quitando responsabilidades a personas que no deberían haberlas tenido” y contratando personal para que se encargue de la gestión de proyectos y operaciones. Dice que este movimiento le dio tiempo a su equipo para concentrarse en sus tareas principales.
“La administración de riesgos es un flujo interminable de cosas que suceden, por lo que obtener ayuda, ya sea a través de los recursos corporativos existentes o invirtiendo en nuevos, ayuda al equipo a ser lo más productivo posible. Invertir en automatización y mejora de procesos también ayuda a impulsar la eficiencia y productividad”.
Crear equipos que reflejen mejor a la sociedad
“Un equipo diverso maximiza la capacidad de una organización para llevar la innovación a sus esfuerzos y actúa como un multiplicador de fuerza para la capacidad de una empresa para combatir las amenazas digitales”, expresa un informe de InfoSec, que señala que los CISO ven la diversidad como una ventaja competitiva y una solución a la creciente escasez de talento.
“Si buscas al mismo tipo de personas que hemos tenido durante los últimos 25 años no habrá éxito ni en el entorno actual ni en el futuro”, confirma Baybeck. “Se necesitan diferentes puntos de vista y experiencias”. El experto dice que está trabajando en crear más diversidad en su departamento tomando medidas específicas, como exigir a los contratadores que lancen una amplia red de candidatos, redactar descripciones de puestos diseñadas para atraer a un grupo más amplio de solicitantes potenciales y asociarse con una variedad de organizaciones para ampliar su alcance.
Contratar y cultivar habilidades no técnicas
Los equipos de seguridad más sólidos están compuestos por miembros con un conjunto diverso de habilidades, según Deborah Golden, directora de Deloitte & Touche. “Tener a las mismas personas con el mismo pensamiento tratando de resolver problemas no llevará al éxito. Es necesario tener muchos tipos diferentes de disciplinas para abordar mejor la complejidad de los ciberataques y de los negocios en general”.
Clar Rosso, director ejecutivo de ISC, una asociación profesional y de capacitación en seguridad, también aconseja a los CISO que contraten trabajadores por sus capacidades de pensamiento analítico, crítico y creativo, así como por sus habilidades de resolución de problemas, o que cultiven esas habilidades en su personal existente.
Construir jugadores de equipo fuertes y resistentes
La formación es fundamental para que los profesionales de ciberseguridad se mantengan al día con las demandas en rápida evolución de su trabajo. El 91% de los profesionales encuestados por ISSA y ESG están de acuerdo en que mantenerse al día con sus habilidades es fundamental para proteger a sus empresas. Sin embargo, el 59% dijo que los requisitos del trabajo a menudo se interponen en el camino.
Los autores del informe emitieron una advertencia para los CISO en este punto: “Esta brecha de capacitación está aumentando silenciosamente los riesgos cibernéticos de su organización. Para abordar esto, hay que impulsar a la empresa, asegurándose de que cada miembro del personal incluya un amplio horario de formación y recursos de manera continua”.
Mostrar al equipo una visión
Las grandes empresas tecnológicas y las empresas emergentes tienen la reputación de crear visiones que inspiran a sus trabajadores y los unen para impulsar objetivos comunes. Los CISO deben cultivar una cultura similar centrando sus equipos en la misión de la organización y sus objetivos generales. “Necesitan construir una cultura y un propósito; tiene que haber una razón para la organización de la seguridad”, dice Rowe. “Es importante hablar de eso. Como profesionales de la seguridad, la hacemos porque nos gusta, pero también porque queremos marcar la diferencia”.
Dejar que los miembros del equipo sepan qué hay para ellos
Crear una visión para el departamento de seguridad que esté vinculada a la estrategia empresarial ayuda a que el equipo se mueva en la misma dirección, pero Rowe cree que es igual de fundamental que los CISO muestren a sus trabajadores lo que les aporta como individuos. “Los profesionales de la seguridad saben lo valiosos que son y la demanda que tienen, y hay presión para aprovechar eso. Por lo tanto, junto con la construcción de objetivos, visión y cultura, los CISO deben poder delinear a las personas cómo es su futuro en la empresa y cómo pueden aprovechar lo que la organización tiene para ofrecer y cómo puede llevarlos al siguiente nivel de su carrera donde sea que vayan”.
Mary K. Pratt, CIO.com