Llegar a la cima de una industria conlleva nuevas presiones; después de todo, un gran poder conlleva una gran responsabilidad. En el caso del director de seguridad de la información (CISO), este aparentemente sería el rol definitivo al que muchos aspirarían: puede permitir el control presupuestario, la creación de políticas y estrategias, la gestión de personas y, potencialmente, un puesto en el consejo. Sin embargo, cuando llegas allí, ¿a quién le pides ayuda? ¿Quién te guía hasta el puesto más alto y te aconseja cuando llegas allí? ¿A quién le pides consejo sobre qué hacer, especialmente en caso de incidente? Estas preguntas me vinieron a la mente mientras escuchaba al ex CISO de Uber Joe Sullivan hablar en la conferencia Black Hat Europe el pasado diciembre, cuando dijo que los profesionales aspirantes a menudo lo contactan para pedirle orientación cuando solicitan empleos. Después de todo, un profesional de la seguridad con la experiencia de una de las mayores infracciones de todos los tiempos, incluido el trato con la Comisión Federal de Comercio y el despido del CEO, debería ser una buena caja de resonancia para saber qué funciona y qué no. EspañolPequeña libreta negra de seguidores Sin embargo, no todos los aspirantes a CISO tienen el número de móvil de Sullivan, así que ¿estamos proporcionando suficiente apoyo e incluso oportunidades de tutoría a quienes dan sus pasos hacia el puesto más alto? Jitender Arora, CISO de Deloitte, ha compartido sus pensamientos sobre la progresión profesional en una serie de publicaciones de LinkedIn y, con una carrera en liderazgo de seguridad dentro de los servicios financieros, añade que también se le acercan personas que quieren ser CISO. En declaraciones a Computer Weekly, Arora compara el papel de CISO con el de un atleta que entrena todo el año para adquirir las habilidades, la fuerza y ​​la resistencia mental necesarias para pasar por una competición. «En un trabajo de CISO, esa prueba puede suceder mañana o en dos años, pero tienes que estar preparado para liderar a la gente y liderar la función, pero ser capaz de manejar el estrés que conlleva», dice. En última instancia, ser un líder de seguridad no se trata solo de aprender habilidades de seguridad, sino también habilidades para la vida y el hecho de que «no hay dos días iguales y trae consigo mucho estrés». Arora dice que esto se reduce a la preparación, cómo vas a estar (física y mentalmente) y cómo te vas a cuidar a ti mismo para poder cuidar a todos los que te rodean. Esto nos lleva al punto de a quién preguntar cuando las cosas no van bien y necesitas buscar consejo. Arora dice que se ha inspirado en las personas en las que ha trabajado, y puedes encontrar líderes que te inspiran en la forma en que hablan y explican algo. «La inspiración está a nuestro alrededor, y debemos tomar nota de la inspiración», dice. Señala que oirás algo dicho o tendrás una experiencia, ya sea buena o mala, y puedes diseccionarlo después para entender lo que se hizo y se dijo para entender qué se aprendió de eso y en base a lo cual puedes actuar. Construir relaciones Bronwyn Boyle, CISO en PPRO, admite que ha sido «muy afortunada» trabajando en varios roles de riesgo y seguridad de servicios financieros, y lo atribuye a poder construir relaciones con personas con las que ha trabajado de cerca. «Siempre estás aprendiendo de quienes vinieron antes que tú. «Es muy tranquilizador tener esa opción disponible», dice, admitiendo que también está dispuesta a transmitir conocimientos. En su carrera hasta ahora, Boyle dice que una de las cosas más positivas sobre la industria de la seguridad cibernética es que la comunidad de CISO es muy solidaria, y señala a varios mentores que la han ayudado. Siempre estás aprendiendo de quienes vinieron antes que tú. Es muy tranquilizador tener esa opción disponible Bronwyn Boyle, PPRO «Creo que es muchísimo para los nuevos CISO entender, y tener personas dispuestas a brindarte apoyo, ya sea como respaldo para brindar orientación y ser una caja de resonancia, es absolutamente invaluable», dice. «Estoy muy interesada en devolver el favor, así que he ayudado a los nuevos CISO en lo que funcionó para mí y lo que no funcionó». Boyle admite que cada persona tiene sus propias experiencias individuales, pero hay temas temáticos en los que escuchar voces, opiniones y perspectivas es realmente útil. Como dice Arora, habrá situaciones para las que no te puedas preparar, y Boyle habla sobre cómo lidiar con un ciberataque en un rol anterior de CISO: dice que, independientemente de lo que hayas intentado planificar con anticipación, puedes terminar en situaciones en las que estés preparado y otras en las que los eventos pueden suceder simultáneamente, lo que podría ser bastante abrumador. CISO experimentados Con esto en mente, es importante considerar a quién recurres cuando las cosas van mal, suponiendo que cuando llegues al puesto de CISO, no te den una libreta negra de contactos, tanto desde una perspectiva de liderazgo como a quién recurrir cuando necesites ayuda. Aquellos líderes que se han abierto camino en las filas y han tenido la oportunidad de trabajar con CISO más experimentados, serán los más endurecidos y podrán sobrevivir a un incidente. Lisa Ventura, fundadora de Cyber ​​Security Unity, dice que tener un CISO experimentado como mentor puede pagar dividendos, ya que son una mina de oro de experiencia y conocimiento: «Muchos CISO a menudo también tienen un entrenador ejecutivo y tener uno puede ayudarlos a desarrollar habilidades de liderazgo y comunicación. Estos son cruciales para navegar en la sala de juntas y poder interactuar con la alta gerencia”. Ventura agrega que un CISO exitoso cultivará una red de asesores de confianza y aprovechará la experiencia de mentores, pares y expertos de la industria: “Esto los ayudará a navegar por las complejidades de su función y tomar decisiones informadas que mantengan seguras a sus organizaciones”. Boyle dice que los mentores pueden ayudar con las preguntas comunes que tendrá en sus primeros roles. En última instancia, si hay una brecha donde las personas necesitan asesoramiento, y existe la sensación de que ser visto pidiendo ayuda es un signo de debilidad, debemos reducir eso asegurando que haya tutoría y apoyo. Boyle citó los grupos sociales de CISO, donde se pueden mantener conversaciones y las personas nuevas en su vertical de la industria pueden hacer nuevas conexiones y obtener asesoramiento. “Para los incidentes cibernéticos que afectan a varias organizaciones, la comunidad de seguridad suele ser una fuente invaluable de asesoramiento y apoyo”, dice. “Lo vi durante Log4Shell y nuevamente con el reciente ataque a ThreatViewer”. Otro lugar donde se puede obtener orientación y tutoría es a través de espacios seguros. Thomas Odams es director ejecutivo de RANT Communities, que ofrece eventos de Chatham House Rule. Dice que trabajar en ciberseguridad, especialmente en un puesto de liderazgo, es un puesto solitario en muchas empresas. “Cuando se tiene la tarea de mantener las joyas de la corona a salvo y ser consciente de las vulnerabilidades y los riesgos, encontrar un espacio seguro para compartir las mejores prácticas y, lo que es más importante, el espíritu de equipo con personas que desempeñan funciones similares en otras organizaciones, es esencial para sobrevivir y prosperar en esta industria”, dice. Agrega que la actitud de saber que no estás solo con este problema, acompañada de una oleada de alivio, es una reacción común después de compartir estas experiencias. Odams dice que siempre se ha defendido el “intercambio honesto, abierto e informal entre nuestros miembros”, y sus eventos suelen contar con el apoyo de nuestra comunidad de CISO, que recomienda a los miembros de su equipo que participen en eventos específicos con temas relevantes para sus proyectos actuales, lo que les permite beneficiarse de la sabiduría colectiva de sus pares experimentados. No muestres signos de debilidad Arora dice que nunca se ha encontrado con “una sola persona que haya dicho que no” cuando le pides consejo, ya que “están muy felices de compartir su sabiduría, ya que tienen un ángulo tan amplio y una visión diversa, y saben lo que es bueno”. Arora reconoce que el problema de pedir ayuda se considera un signo de debilidad, y existe un miedo persistente de que si pides ayuda, “quedarás expuesto porque se activa el síndrome del impostor”. Dice que pedir consejo y ayuda debería ser un esfuerzo honorable, y que la gente tiene miedo de pedir ayuda como de pedir retroalimentación, pero eso es parte de ser un CISO. No se trata de no saber, se trata de aprender. Añade que es por eso que se sintió impulsado a compartir consejos en LinkedIn, ya que la gente no habla de cosas fundamentales. “Todo el mundo lucha; no me digas que un CEO de una empresa de Fortune 500 no tiene sus signos de debilidad y dice: ‘Solo espero no haber cometido un error y haber tomado una decisión que le costará a esta empresa una cantidad significativa de dinero’”. La creación de redes es una parte fundamental de cualquier carrera y es importante ofrecer apoyo y que las comunidades sean abiertas y acogedoras. Con este factor humano abierto y preparado para ofrecer asesoramiento, podríamos intentar superar algunos de los problemas más comunes en la estrategia de ciberseguridad: ¿qué hacer cuando sucede lo peor?