La presión del CISO en el desempeño de su trabajo, un factor a tener en cuenta para su salud mental

La próxima gran amenaza para la seguridad corporativa podría no ser una nueva cepa de malware o tácticas y técnicas innovadoras de los atacantes. Podría ser la propia salud mental del CISO.

En los últimos 20 años he trabajado como CISO para empresas de diferentes sectores. Durante este tiempo, y además de asumir la responsabilidad de protegerlas frente a una amplia franja de ciberamenazas, he comprobado -de primera mano- el estrés que esta labor produce. Es más, en conversaciones recientes con algunos especialistas de seguridad, he constatado que esta fatiga es un problema sistémico. El rol de CISO es uno de los más exigentes a nivel interno, y la función de seguridad se encuentra al borde de la crisis, inducida por este estado de tensión.

Qué es lo que distingue a la función de CISO

Sin duda, el departamento de seguridad no es el único que se encuentra bajo presión. Otros ejecutivos y trabajadores asumen cargas elevadas y a veces irreales. Pero lo que hace única la función del CISO es su relativa novedad; la mayoría de los puestos de trabajo en una empresa moderna han existido durante décadas, y se encuentran bastante bien concretados. Sin embargo, la labor de seguridad corporativa es un poco como el salvaje oeste. Desde el CISO y hacia abajo, en toda la jerarquía, las atribuciones de seguridad son nuevas en relación con otros muchos cargos corporativos. Esto genera que el CISO, a menudo, termine asumiendo la carga de todo lo que podría ir mal en relación con la presencia digital de una organización. Lo que le da un papel de asombrosa amplitud.

Si los datos de los consumidores se viesen comprometidos, el CISO podría ser responsable de todas las implicaciones de cumplimiento, servicio al cliente y daño a la marca derivadas de ello. Lo mismo ocurriría si se realizasen pagos fraudulentos, en cuyo caso las consecuencias financieras podrían recaer sobre él; o si la infraestructura tecnológica resultase dañada o los procesos se viesen interrumpidos a consecuencia de un ransomware u otro ataque. Del mismo modo, las consecuencias de las acciones realizadas por los empleados, como la introducción de datos corporativos en un sistema basado en la nube, o la vulneración de los sistemas por algún tipo de amenaza nueva y previamente desconocida; una vez más, recaerían sobre el CISO.

Realmente, los incidentes individuales de ciberseguridad tienen el potencial de hacer fracasar los planes estratégicos de una organización. Pero la mayoría de los CISOs no cuentan con un plan concreto para proteger a su organización de las innumerables amenazas a las que podrían enfrentarse. Ni tan siquiera disponen de una descripción estándar de sus atribuciones. En una empresa, el control de acceso puede ser competencia del CISO, mientras que en otra puede recaer sobre el departamento de redes. Por todo ello, cada CISO se encuentra solo para determinar las mejores formas de asegurar una infraestructura que evoluciona rápidamente contra el panorama de amenazas que también avanza vertiginosamente.

Expectativas externas

A esta realidad, se suma el hecho de que la alta dirección puede no tener unas expectativas muy reales sobre el modo en que los responsables de seguridad deben proteger los datos y las aplicaciones corporativas. Para ellos, la seguridad es como una ecuación matemática, y el CISO es capaz de identificar todas las posibles brechas y luego cerrarlas, responder de forma inmediata a cada duda que pueda surgir o conocer todas las medidas de seguridad implantadas para proteger los cientos de aplicaciones y herramientas que se han acumulado durante décadas. Algo fácil de plantear, cuando la realidad es que salvaguardar una infraestructura corporativa amplia y dinámica es todo menos sencillo.

A la presión ejercida por el equipo ejecutivo se suman también las expectativas de los clientes, y no solo en cuanto a la entrega puntual de productos y servicios, sino también en lo que respecta a la privacidad y la confidencialidad de los datos. Esto último, además, puede suponer una barrera entre la eficacia del departamento de seguridad y los ingresos de la empresa. Y, por supuesto, también está el entorno normativo. Se espera que muchos CISOs demuestren la seguridad de su organización en áreas específicas a muchas agencias reguladoras relevantes.

Por último, no hay que pasar por alto el sentimiento de responsabilidad sobre el bien común o de un país. Desde los oleoductos hasta las oficinas gubernamentales y las instalaciones sanitarias, el ransomware puede paralizar las infraestructuras críticas. Por ello, y de repente, la seguridad nacional también está en la agenda del CISO. Un terreno para el que no ha sido formado pero que no puede ignorar.

Implicaciones para la salud mental

Desde el punto de vista de la salud mental, la combinación de estos factores está cobrándose un alto precio. Sin embargo, los responsables de seguridad no tienen acceso a la estructura de apoyo que otras organizaciones sujetas a altos niveles de estrés, como las fuerzas militares, han construido durante siglos. Están solos. Puede reclamar personal, tecnología u herramientas adicionales, pero solicitar apoyo en materia de salud mental es diferente. Esta reivindicación podría ser percibida como una falta de competencia o de capacidad para realizar su trabajo.

No obstante, dejar que los problemas de salud mental se agraven podría derivar en consecuencias nefastas, tanto a nivel corporativo como formativo. Los futuros CISOs podrían no cursar la carrera de seguridad para evitarlos, lo que agravaría la escasez de personal que ya existe en esta área. Otro efecto muy alarmante tiene que ver con el alto consumo de alcohol y de medicamentos como arma para luchar contra el cansancio. A principios de 2019, antes de la pandemia, Forbes publicó los resultados de una encuesta en la que 1 de cada 6 CISOs admitía haber recurrido a estas opciones para lidiar con el estrés del trabajo. Un CISO poco alerta es un gran riesgo para la seguridad.

Qué hacer al respecto

Sin duda, las empresas deben enfrentarse a esta crisis de salud mental, tanto para garantizar una respuesta sensata cuando la seguridad corporativa está en juego como para crear y competir por los mejores talentos de seguridad. La alta dirección debe reconocer el nivel de presión al que se encuentran sometidos los CISOs y sus equipos a diario, promoviendo un equilibrio saludable entre la vida laboral y personal de seguridad. También, deben asegurar un entorno corporativo que permita a los CISOs solicitar y participar en el apoyo a la salud mental, con la implantación y financiación de programas de apoyo que doten a estos responsables de herramientas sencillas para gestionar el estrés, sin penalizaciones.

Aquellos de nosotros que no tenemos miedo a hablar, y que no nos sentimos intimidados por los riesgos para nuestras carreras, deberíamos hacerlo. Tenemos un papel que desempeñar para educar a los directores generales sobre esta crisis que se avecina. Hay que recordar a los altos ejecutivos que deben dirigirse a sus CISOs de forma proactiva, sin juzgarles. Los directores generales deben reconocer que este trabajo es duro y que muchos CISOs y personal de seguridad se enfrentan a preocupaciones legítimas a la hora de hablar sobre los problemas de salud mental. Nuestros compañeros -y nuestra profesión- necesitan que corramos la voz.

Shamla Naidoo, CSO, Jefe de Estrategia e Innovación en la Nube, Netskope