Analistas de Gartner han presentado los resultados de una encuesta sobre la eficacia de los Chief Information Security Officers (CISO) en 2020 en el transcurso de la Cumbre de Seguridad y Gestión de Riesgos de Gartner 2020, que se realizó de manera virtual en América y la región de Europa, Medio Oriente y África (EMEA).
El resultado de la encuesta es revelador: sólo el 12% de los CISO se consideran altamente efectivos. Lo que dio pie a Sam Olyaei, director de investigación de Gartner, declarara que “los CISO de hoy en día deben demostrar un nivel de efectividad más alto que nunca. A medida que se profundiza en el impulso hacia lo digital, los CISO se encargan de apoyar un conjunto de decisiones de riesgo de información en rápida evolución, al tiempo que se enfrentan a una mayor supervisión por parte de los reguladores, los equipos ejecutivos y las juntas directivas. Estos desafíos se ven agravados por la presión que Covid-19 ha ejercido sobre la función de seguridad de la información para que sea más ágil y flexible”.
La Encuesta de Gartner sobre la eficacia del CISO en 2020 se realizó entre 129 jefes de funciones de riesgo de la información, en todos los sectores y a escala mundial, en enero de 2020. La medida de la eficacia de un CISO, según Gartner, está determinada por su capacidad para ejecutar un conjunto de resultados en las cuatro categorías de liderazgo funcional, prestación de servicios de seguridad de la información, gobernanza a escala y capacidad de respuesta de la empresa.
La puntuación de cada encuestado en cada categoría se sumó para calcular su puntuación de eficacia general. Gartner define como “CISO efectivos” a aquellos que obtuvieron una puntuación en el tercio superior de la medida de efectividad de los CISO.
Los CISO de mayor rendimiento demuestran 5 comportamientos clave
De los factores que influyen en la eficacia de los CISO, Gartner reveló cinco conductas que diferencian significativamente a los de alto rendimiento de los de bajo rendimiento. En promedio, cada uno de estos comportamientos es dos veces más frecuente en los que tienen un mejor rendimiento que en los que tienen un peor rendimiento.
“Una clara tendencia entre los CISO de alto rendimiento está demostrando un alto nivel de proactividad, ya sea para mantenerse al tanto de la evolución de las amenazas, comunicar los riesgos emergentes a las partes interesadas o contar con un plan formal de sucesión”, declaró Olyaei. “Las OISI deberían dar prioridad a este tipo de actividades proactivas para aumentar su eficacia”, aseveró.
En la encuesta también se comprobó que los CIO con mejores resultados se reúnen regularmente con tres veces más partes interesadas que no son de TI que las que sí lo son. Dos tercios de estos líderes se reúne al menos una vez al mes con los líderes de las unidades de negocios, mientras que el 43% se reúne con el CEO, el 45% con el jefe de Marketing y el 30% con el jefe de Ventas.
“Los CISO han construido históricamente relaciones fructíferas con los ejecutivos de TI, pero la transformación digital ha democratizado aún más la toma de decisiones en materia de seguridad de la información”, añadió Daria Krilenko, directora senior de Investigación de Gartner. “Los CISO eficaces vigilan de cerca la evolución de los riesgos en toda la empresa y desarrollan relaciones sólidas con los propietarios de ese riesgo: los altos directivos de las empresas fuera de la TI”.
Los CISO efectivos son mejores para manejar el estrés
La encuesta también encontró que los CISO altamente efectivos manejan mejor los factores de estrés en el lugar de trabajo. Sólo el 27% de los CISO de mayor rendimiento se sienten sobrecargados con alertas de seguridad, en comparación con el 62% de los de menor rendimiento. Además, menos de un tercio de los mejores trabajadores sienten que se enfrentan a expectativas poco realistas de las partes interesadas, en comparación con la mitad de los CISO con peor desempeño.
“Dado que el papel de los CISO es cada vez más exigente, los líderes de seguridad más eficaces son aquellos que pueden manejar los factores de estrés a los que se enfrentan diariamente”, afirmó Olyaei. “Acciones como mantener una clara distinción entre el trabajo y el no trabajo, establecer expectativas explícitas con las partes interesadas y delegar o automatizar tareas son esenciales para que los CISO puedan funcionar a un alto nivel”, concluyó.