La clave de la “empatía” en el rol del nuevo CISO

Seguridad

Sergio Pedroche, country manager de Qualys para España y Portugal, explica el lado humano de la figura del CISO y su relación con el resto de personas que forman su equipo.

La escalada de ciberataques es algo que ya viene sucediendo desde hace años, pero que se ha visto agravado en todo el mundo con la crisis sanitaria vinculándose, entre otros factores, a la explosión en el uso de dispositivos digitales, el aumento del tráfico web o el consumo de Internet. Concretamente, un estudio publicado en el primer trimestre de 2021 señalaba que el número de ciberataques había crecido un 125% en España en el último año, alcanzando la cifra de 40.000 ataques diarios.

Más allá de las cifras, lo cierto es que, en estos últimos meses, todo el mundo ha oído hablar de ciberataques de gran envergadura como el que afectó al Servicio Público de Empleo Estatal (SEPE), debido al ransomware Ryuk; también el ciberataque a Phone House o el dirigido a la empresa de servicios en la nube ASAC que afectaba a varios ayuntamientos (Fuenlabrada, Oviedo…) o al Tribunal de Cuentas, por mencionar solo algunos ejemplos recientes.

Y en este contexto de proliferación de ciberataques, cada vez más dirigidos y sofisticados muchos se preguntan acerca de los profesionales que se hallan en la primera línea de defensa: ¿Están los equipos de la seguridad preparados para esta escalada real y creciente? ¿Están cualificados y tienen las habilidades necesarias para hacer frente a las nuevas ciberamenazas?

La realidad es que es innegable que existe en todo el mundo una carencia o déficit de profesionales suficientemente experimentados y con las cualidades necesarias para contener este tipo de amenazas. Y es que, en líneas generales, a pesar de que la figura del CISO ha ascendido como posición dentro de las organizaciones, se percibe aún en muchos casos la falta de ciertas habilidades en su rol. Ahora se pide a los CISO con mentalidad técnica que salgan de sus zonas de confort llenas de lógica y se conviertan en orientadores para los nuevos talentos, inspirando y dando forma a la próxima generación de profesionales de la ciberseguridad. Pero para lograrlo, ¿Qué nuevas habilidades tendrán que desarrollar?

El hecho es que las personas no son robots, ni herramientas, ni equipos, ni números. Ver a un equipo de seguridad únicamente como empleados desempeñando un grupo de tareas es una perspectiva unidimensional que puede ser contraproducente. Comprender a cada individuo, su historia, talentos e inclinaciones, es el primer paso hacia la construcción de un equipo cohesionado en el que se pueda confiar para emitir juicios rápidos, algo clave en ese oscuro horizonte que se visualiza cuando surge una ciberamenaza.

Coeficiente Intelectual frente a Inteligencia Emocional

Equipar a quienes toman las decisiones con las herramientas adecuadas es, por supuesto, un elemento esencial. El planteamiento de políticas y normas corporativas al más alto nivel también es útil. Pero poder predecir cómo reaccionarán las personas en un momento crítico, cómo aprovecharán la tecnología e interpretarán estas políticas, puede ser igualmente importante.

Durante años, hemos pensado en esta guerra cibernética como una batalla de ingenio entre buenos y malos, en función de la capacidad intelectual de cada cual. Y, en muchos aspectos, lo es. Pero a medida que las labores de seguridad se han trasladado a la sala de juntas y ha aparecido la figura del CISO, los equipos de seguridad han evolucionado sensiblemente. Ahora, su líder suele ser un capitán general en un centro de mando, en lugar de un oficial en las trincheras. A medida que el panorama de amenazas se intensifica, los CISO deben regresar a las trincheras y desarrollar su inteligencia emocional. Necesitan vincularse adecuadamente con sus equipos para formar un grupo de profesionales que pueda reaccionar con eficacia ante las amenazas.

Uno de los principales problemas para lograr este modelo es que un especialista en seguridad tiende a ser una figura individualista, más parecido a un cazarrecompensas que a un soldado. Cuando son efectivas, estas personalidades se promueven correctamente, pero a menudo se ven empujadas a roles que requieren de un perfil extrovertido. El cazarrecompensas debe pasar a ser motivador, mentor y crítico para el desempeño.

Cerrando brechas

La atracción y retención de talentos en seguridad es algo que quita el sueño a muchos responsables de Recursos Humanos en todo el mundo debido a esta brecha de habilidades que existe en el ámbito de la ciberseguridad. La inteligencia emocional (llamémosla “empatía”) entre los CISOs puede desempeñar un papel importante también en su retención porque tratarlos como expertos en ciberseguridad con un mero conjunto de habilidades especializadas, pero sin rostro, los desmotivará y conducirá a una mayor rotación.

Por lo tanto, el CISO eficaz debe abanderar la empatía y acercarse a cada analista como un individuo. Debe descubrir cómo le gusta trabajar a ese analista, qué enfoques adopta para sus funciones y cómo esto puede encajar con la política establecida. Para aprovechar al máximo las habilidades de un profesional de la seguridad, es vital averiguar cómo se siente acerca de las diferentes políticas y procedimientos, y trabajar con él para introducir herramientas y flujos de trabajo que le faciliten la vida.

La automatización es parte de todo esto, pero sólo una porción. El objetivo real es dar forma al rol de modo que los talentos del individuo se aprovechen al máximo de su potencial. La IA es una herramienta potente capaz de identificar alrededor del 90% de las amenazas antes de que puedan causar daño, pero se necesitan profesionales humanos capacitados para el porcentaje restante. El CISO emocionalmente inteligente debe asegurarse de que cada miembro del equipo esté preparado para reconocer las marcas distintivas dentro de los datos que justifiquen una mayor investigación y para tomar el curso de acción más sabio si se encuentra alguna amenaza.

La gente primero

Aquí es donde entrarán en juego las relaciones que ha construido el CISO. Un equipo vacilante, por ejemplo, es aquel que no tiene confianza en el respaldo de su superior. Es necesario garantizarles que pueden actuar, y que cuando lo hagan, sea con sensatez. Y esta cercanía también hará que aumenten las probabilidades de que le llegue al CISO la información más vital. Es mucho más probable que un empleado no técnico que comete un error se acerque a un responsable de seguridad agradable y con empatía que a uno intratable o distante.

El entorno creado por los operativos de seguridad con empatía es vital para el éxito de las organizaciones en la nueva era digital. El año pasado, las empresas se apresuraron a utilizar entornos más complejos para sobrevivir. El nuevo CISO con inteligencia emocional y empatía aceptará que se cometerán errores, pero que todas las personas implicadas en los equipos de seguridad serán parte de la solución.

Lea también :