22 de febrero de 2019, Oxford, Reino Unido – La semana pasada se dio a conocer el informe, Life Inside the Perimeter: Understanding the Modern CISO, realizado por Nominet, en donde se examina las tensiones y presiones externas e internas que enfrenta un CISO y se analiza cómo está afectando su vida personal y profesional.
El informe encuentra que cada CISO está experimentando estrés en su rol. Casi todos (91%) dicen que sufren estrés moderado o alto, y el 60% dice que rara vez se desconectan de su trabajo.
También están trabajando largas horas. El 88% de los CISO trabajan más de cuarenta horas a la semana, mientras que el 22% dice que están disponibles 24/7. El CISO de EE. UU. Es particularmente malo en la desconexión, con un 89% que dice que nunca tiene un descanso durante dos semanas o más del trabajo.
Todo esto está causando una respuesta física a un problema muy digital. Más de una cuarta parte de los encuestados (26.5%) dicen que el estrés está afectando su salud mental o física, mientras que el 23% dice que el trabajo está erosionando sus relaciones personales.
Lo más preocupante es el 17% de los CISO que admitieron recurrir a medicamentos o alcohol para lidiar con el estrés laboral.
Presión desde dentro
Solo la mitad (52%) de los CISO sienten que los equipos ejecutivos valoran al equipo de seguridad desde el punto de vista de los ingresos y la protección de la marca. De manera preocupante, casi uno de cada cinco (18%) cree que los miembros de su junta directiva son indiferentes al equipo de seguridad, o los ven como un inconveniente.
Esta falta de compromiso es preocupante, ya que solo el 60% de los CISO creen que su CEO / Presidente está de acuerdo en que un incidente es inevitable. Junto con el hecho de que casi un tercio (32%) de todos los encuestados creen que, en caso de un ataque o vulneación, perderían su trabajo o recibirían una advertencia oficial, y eso agrega una presión individual significativa dentro del negocio.
Esto es peor en el Reino Unido, ya que el 37% de los CISO creen que recibirían una advertencia o serían despedidos, en comparación con el 28% en los EE. UU.
Falta de recursos
A pesar de la conciencia sobre la omnipresencia de las amenazas cibernéticas, el 60% de los CISO encuestados admitieron haber encontrado malware en su infraestructura que había estado allí durante un período de tiempo desconocido. El tiempo promedio de descubrimiento fue de 14 días, tiempo suficiente para que los datos se filtraran y vendieran o explotaran.
Más de la mitad de los CISO (57%) creen que la falta de recursos es lo que frena una postura de seguridad efectiva, mientras que el 63% dijo que estaba luchando para reclutar a las personas adecuadas.
Haciendo eco de las presiones internas, los CISO también declararon que la falta de aceptación del problema por parte de las personas mayores es un problema, con un 65% afirmando que esto es una barrera dentro de su organización.
También hay una deficiencia presupuestaria, ya que menos de la mitad de los encuestados (43%) creen que tienen un presupuesto adecuado o muy adecuado para hacer frente a los ataques cibernéticos. Solo la mitad (51%) piensa que tiene tecnología adecuada o muy adecuada.
Entendiendo el CISO moderno
El informe busca resaltar los efectos físicos que la mayor amenaza cibernética está causando a quienes se encuentran en la zona del carbón, encargados de defender a sus organizaciones de daños financieros, legales y de reputación.
Russell Haworth, CEO de Nominet dice: “Los CISO de todo el mundo se enfrentan a crecientes presiones en medio de un panorama cibernético en rápido cambio. Los delincuentes están siempre buscando formas de explotar vulnerabilidades y no discriminan a las empresas que atacan. Todo el mundo es un objetivo «.
Haworth continúa: «No es de extrañar que los CISO se enfrenten al agotamiento. Muchos carecen de apoyo dentro de sus organizaciones y los líderes empresariales de alto nivel deben enfrentar los hechos: las amenazas son reales y los CISO deben recibir los recursos y el apoyo para enfrentarlos. Si no, el consejo debe enfrentar las consecuencias «.
“El riesgo no solo es personal para un CISO, sino también para la reputación ganada por la empresa. El creciente costo económico también es una tendencia preocupante: un informe reciente estimó que el costo de la ciberdelincuencia global fue de $ 600 mil millones en 2017. Con ese costo es probable que aumente en el futuro. «Todos debemos trabajar más arduamente y de manera cooperativa, para mitigar las pérdidas potenciales al contar con la estrategia, las herramientas y los recursos adecuados para prevenir las brechas en primer lugar».
El Dr. Dimitrios Tsivrikos, un psicólogo de negocios y profesor de University College London, dice: “Es de suma importancia que abordemos el estrés organizativo y se debe prestar mayor énfasis a los CISO. Como grupo de empleados, se enfrentan a una presión abrumadora. Los errores en su juicio, causados por un estrés excesivo relacionado con el trabajo, pueden tener efectos perjudiciales sobre los datos comerciales y personales «.
El Dr. Tsivrikos continúa: “Además, las personas que están estresadas en el trabajo a menudo tampoco viven sus mejores vidas en privado. A la mayoría de nosotros nos resulta difícil suprimir las presiones del trabajo y, de hecho, se extienden a nuestra vida privada. Esto plantea importantes amenazas al bienestar personal relacionadas con la salud ya que las personas confían en el alcohol y otros comportamientos no constructivos para relajarse y encontrar alivio a esas presiones «.
Sobre la investigación
Nominet encargó a Osterman Research, encuestar 408 CISOs que supervisan la seguridad de organizaciones con un promedio promedio de 8,942 empleados. Comprende 207 empresas en los EE. UU. Y 201 en el Reino Unido, repartidas en una amplia gama de sectores. El objetivo era recopilar y analizar un conjunto de datos lo suficientemente grande como para sacar conclusiones válidas de las opiniones, comportamientos y mentalidad de quienes toman decisiones de seguridad cibernética en grandes organizaciones.