El mas efectivo oficiales jefes de seguridad de la información (CISO) demuestran una capacidad excepcional para ejecutar en función de cuatro métricas clave: liderazgo funcional, prestación de servicios de seguridad de la información, gobernanza escalada y capacidad de respuesta empresarial, pero solo el 12% de ellos cumple la calificación según los cuatro criterios, según los nuevos datos presentados por Gartner en su anual Cumbre de Seguridad y Gestión de Riesgos.
Gartner llevó a cabo un estudio global de los jefes de las funciones de riesgo de la información en enero de 2020 para construir una escala de efectividad de CISO, con la puntuación de cada encuestado en comparación con las cuatro métricas sumadas para calcular una calificación general, con el tercio superior definido como efectivo.
“Los CISO de hoy deben demostrar un mayor nivel de efectividad que nunca”, dijo el director de investigación de Gartner, Sam Olyaei. “A medida que el impulso hacia lo digital se profundiza, los CISO son responsables de respaldar un conjunto de decisiones de riesgo de la información en rápida evolución, al mismo tiempo que enfrentan una mayor supervisión por parte de los reguladores, equipos ejecutivos y juntas directivas.
«Estos desafíos se ven agravados por la presión que Covid-19 ha ejercido sobre la función de seguridad de la información para que sea más ágil y flexible».
Gartner también identificó cinco comportamientos que son dos veces más frecuentes en los CISO de alto rendimiento que en los de bajo rendimiento.
Dijo que los CISO más eficaces inician constantemente debates sobre la evolución de las normas de seguridad cibernética para adelantarse a las amenazas; priorizar mantener a los responsables de la toma de decisiones de su organización al tanto de los riesgos actuales y futuros; participar de forma proactiva en la búsqueda y seguridad de la tecnología de seguridad emergente; implementar planes de éxito formales y viables; y definir el apetito por el riesgo de su organización mediante la colaboración con los responsables de la toma de decisiones.
Olyeai dijo que una tendencia clara entre los de mejor desempeño era la capacidad de demostrar altos niveles de proactividad, ya sea para mantenerse al tanto del panorama de amenazas, comunicar los riesgos emergentes a las partes interesadas o implementar planes formales. “Los CISO deberían priorizar este tipo de actividades proactivas para impulsar su efectividad”, dijo.
Gartner también descubrió que los principales CISO se reunieron con tres veces más partes interesadas fuera de la función de TI de la organización que partes interesadas dentro de ella. Dos tercios de las empresas con mejor desempeño dijeron a sus encuestadores que se reunían al menos una vez al mes con diferentes líderes de unidades de negocios, con un 43% reuniéndose con su CEO, un 45% con prospectos de marketing y un 30% con prospectos de ventas.
Daria Krilenko, directora senior de investigación de Gartner, dijo que esto era evidencia de que las tendencias de transformación digital más amplias estaban democratizando la toma de decisiones en torno a la seguridad de la información.
“Los CISO efectivos vigilan de cerca cómo evolucionan los riesgos en la empresa y desarrollan relaciones sólidas con los propietarios de ese riesgo: los líderes empresariales senior fuera de TI”, dijo.
El estudio también encontró que los CISO más efectivos eran más hábiles para manejar el estrés tanto dentro como fuera del lugar de trabajo. La fatiga de las alertas es un término con el que muchos estarán familiarizados, pero solo el 27% de los profesionales de seguridad con mejor desempeño dijeron que se sentían sobrecargados con las alertas de seguridad, en comparación con el 62% de los clasificados en la parte inferior.
Además, menos de un tercio de los de mejor desempeño dijeron que sentían que enfrentaban expectativas poco realistas de otras partes de la organización, en comparación con la mitad de los de peor desempeño.
“A medida que el rol de CISO se vuelve cada vez más exigente, los líderes de seguridad más efectivos son aquellos que pueden manejar los factores estresantes que enfrentan a diario”, dijo Olyaei.
“Acciones como mantener una clara distinción entre trabajo y no trabajo, establecer expectativas explícitas con las partes interesadas y delegar o automatizar tareas son esenciales para permitir que los CISO funcionen a un alto nivel”.