El agotamiento de los CISOs supone un gran problema para el sector global de la ciberseguridad, ya que personal experimentado está dejando su trabajo porque siente que le impone exigencias abrumadoras sin estar del todo preparado.

En España, más de la mitad de CISOs encuestados en el informe Voice of the CISO 2022, elaborado por la empresa líder de ciberseguridad y cumplimiento normativo Proofpoint, han afirmado que las expectativas de compañeros y superiores sobre sus funciones son excesivas.

“La ciberseguridad se ocupa constantemente de controlar riesgos, conseguir objetivos y gestionar recursos en un entorno hostil, así que no es difícil entender por qué los CISOs pueden llegar a un punto en el que sienten que han llegado a su límite de cansancio y estrés”, explica Andrew Rose, CISO residente de Proofpoint en EMEA. “Aunque la función de un líder siempre es dirigir, hay muchas maneras de hacerlo, y no todas son igual de estresantes”.

Liderazgo con objetivos y posibilidad de adaptación

Uno de los principales retos a los que se enfrentan los CISOs es que cualquier sobrecarga puede mermar su capacidad para pensar estratégicamente. A menudo, esto puede atribuirse a su participación en aspectos más operativos, como responder ante incidentes, hacer seguimiento de los problemas o tratar nimiedades de algunas decisiones de seguridad.

Desde Proofpoint se recomienda que a un líder se le den tanto unos objetivos claros como licencia para adaptarse y ajustarse en función de las circunstancias. Eso haría que los CISOs se distanciasen de la primera línea de fuego, mejorando así su calidad de vida, y que su personal tenga libertad de operar independientemente dentro de ciertos límites.

“Para conseguir esto habría que gestionar tanto hacia arriba como hacia abajo. Por un lado, aliviar la presión del CIO, COO o CEO que requiere actualizaciones constantes sobre los temas en curso, tal vez mediante la creación de un calendario con el que el personal pueda organizarse. Y, por otro, establecer unos parámetros de acción independiente y escalada, apoyar las relaciones del personal en toda la empresa y permitirle actuar con autoridad. No son objetivos fáciles, pero sin ellos el CISO se verá continuamente en situaciones que aumentan su estrés y que no corresponden con su estatus de directivo”, subraya Andrew Rose.

Asignación de recursos

En la labor de CISO es muy importante también cómo se gestionan los recursos, ya que mantener una fuerza de reserva dará mayor flexibilidad y evitará situaciones difíciles.

Si pasa algo diferente a lo planeado o a las expectativas, cosa que suele ocurrir, el líder responsable tiene la obligación de reasignar los recursos previamente adjudicados. Esto puede tener múltiples efectos negativos: los trabajadores necesitan cambiar su enfoque, hace falta cierto tiempo de reajuste, se debilitan las iniciativas existentes y se estresa a los empleados alejándoles de sus especialidades para cubrir una necesidad inmediata.

Según explica el CISO residente de Proofpoint para EMEA, “si se utilizan todos los recursos en el día a día, no habrá nada guardado que esté disponible para hacer frente al cambio, abordar incidentes inesperados o pensar estratégicamente”. “Además, si la energía y el tiempo de un directivo se dedican a las exigencias inmediatas de su cargo, solo le quedarán sus días libres para relajarse; y esa reserva es vital tanto a nivel de equipo como a nivel individual”.

Tomarse en serio el autocuidado y la capacitación del personal

Si un líder de ciberseguridad quiere disfrutar de una larga carrera, tiene que aprender a gestionar el estrés. Para ello, puede guiarse por las siguientes recomendaciones:

· Un CISO debe capacitar al personal a su cargo para que sea más independiente. Dar las herramientas y la confianza que necesita para que sus empleados actúen según los intereses de la organización, y luego darles espacio para aprender asumiendo la responsabilidad de sus propias percepciones y acciones. De esta forma, se construirá un equipo mucho más capaz y se podrá identificar a futuros líderes.

· Si un directivo no permite que se le asignen constantemente tareas operativas, puede utilizar ese tiempo que se ahorre para iniciativas de desarrollo personal, tareas de concienciación y para establecer relaciones que refuercen la capacidad de su equipo en futuros retos.

· Por último, no hay que subestimar la importancia de cuidar su propio bienestar físico y mental. Lo más probable es que las largas horas de trabajo, las estresantes presentaciones y el mantenimiento de la seguridad de la empresa pasen factura. Por tanto, es recomendable tomarse un tiempo fuera de la oficina y realizar actividades no relacionadas con el trabajo, como por ejemplo hacer ejercicio.