¿Por qué es tan difícil cubrir el puesto de CISO?
El CISO es una especie difícil de encontrar en nuestros días. En especial, se precisa encontrar un profesional que combine en dosis equilibradas perfil técnico y de negocios. Además, las empresas no tienen claro cuánto están dispuestas a invertir para cubrir con solvencia esta función.
Está claro que las organizaciones viven en constante amenaza de recibir un nuevo y virulento ataque a sus sistemas TI. Sin embargo, la escasez de profesionales especialistas en seguridad, y la carencia de métricas apropiadas para tomar una decisión solvente, está lastrando las estrategias de seguridad de muchas organizaciones.
¿Cómo hacer frente a este doble desafío? CIO.com ha hablado con varias empresas de selección de directivos para hacerse una idea de lo que demanda ahora el mercado y de los obstáculos que hay que superar para contratar y retener talento.
El mercado está evolucionando rápidamente, quizás demasiado, señalan estos expertos. Y, a diferencia del CIO, que está sometido a indicadores clave de rendimiento, ahorro de costes y otros puntos de referencia, existen pocos indicadores que permitan evaluar el desempeño del CISO.
Además, hay una mayoría de empresas que todavía no invierten lo suficiente en seguridad TI. Todavía estamos centrados en la reducción de costes, en hacer más con menos, lo que no es bueno para la inversión en seguridad, aseguran estos mismos especialistas.
Y eso que las estadísticas indican que los mensajes de phishing han aumentado un 30% este año y un 23% el pasado, según datos de Verizon que también asegura que el tiempo que tardamos en detectar un ataque sigue subiendo.
Expertos en contratación de directivos TI, como Chris Patrick, CIO global en Egon Zehnder, recomiendan contratar a un CISO que capaz de diseñar una arquitectura de seguridad pero que también sepa explicársela claramente a la alta dirección. Debe entender los problemas y saber qué datos es importante proteger, además estar familiarizado con las analíticas que detectan intrusiones y otras tecnologías emergentes.
Al final, también se trata de una elección que tiene que ver con la cultura. Hay profesionales que prefieren llegar después de que haya sucedido un “incendio”, porque la empresa estará más mentalizada y dispuesta a invertir. Otros, en cambio, prefieren construir una arquitectura de seguridad desde cero.
En todo caso, no se debe dejar toda la responsabilidad de la seguridad corporativa que descanse en los hombros del CISO, sino construir una cultura interna que se complemente con la contratación de un profesional que se ajuste a esa mentalidad de seguridad de nuestra organización, aconsejan los especialistas.
