Dada la importancia estratégica de la transformación digital, el liderazgo de la seguridad de IT es un papel realmente importante. ¿Qué es lo que hace al CISO por antonomasia?
Sólo un 12% de los directores de seguridad de la información (CISO) sobresalen en las cuatro categorías del «Índice de efectividad de CISO», según el último estudio de mercado mundial de Gartner.
Los analistas de Gartner presentaron los hallazgos de su encuesta global y discutieron los rasgos clave de los CISO con mejor desempeño durante la reciente «Cumbre de Gestión de Seguridad y Riesgos».
¿Qué es lo que hace al CISO por antonomasia?
«Los CISO de hoy deben demostrar un mayor nivel de efectividad que nunca.» Esto lo dijo Sam Olayei, director de investigación de Gartner. «A medida que se profundiza el impulso hacia lo digital, los CISO son responsables de respaldar un conjunto de decisiones de riesgo. A la vez, se enfrentan a una mayor supervisión de los reguladores, equipos ejecutivos y juntas directivas».
Desarrollo del mercado de seguridad de TI
Estos importantes desafíos empresariales se ven agravados por la presión que la pandemia del Covid-19 ha ejercido sobre algunas áreas. Por ejemplo, en la función de seguridad de la tecnología de la información para que sea más ágil y flexible.
La medida de Gartner de la efectividad del CISO está determinada por la capacidad de un CISO para funcionar en un conjunto de resultados en cuatro categorías:
- Liderazgo funcional.
- Prestación de servicios de la seguridad de la información.
- Gobernanza escalada.
- Capacidad de respuesta empresarial.
La puntuación del encuestado en cada categoría se combinó para calcular su puntuación de efectividad general. Gartner define a los «CISO efectivos» como aquellos que obtuvieron una puntuación en el tercio superior de la medida de eficacia CISO.
De los factores que impactan en la efectividad CISO, Gartner reveló cinco comportamientos que diferencian significativamente a los CISO de alto desempeño de los de peor desempeño. En promedio, cada uno de estos comportamientos es dos veces más frecuente en los de mejor desempeño.
La comunicación como fuente de mejora
«Una tendencia clara entre los CISO de alto rendimiento es demostrar un alto nivel de proactividad. Esto, ya sea para mantenerse al tanto de las amenazas en evolución, comunicar los riesgos emergentes o tener un plan de sucesión formal es lo que importa. Los CISO deben priorizar este tipo de actividades proactivas para aumentar su efectividad.»
La encuesta también encontró que los CISO de alto desempeño se reúnen regularmente con tres veces más partes interesadas que no son de IT. Por ejemplo, con líderes de líneas de negocio.
Dos tercios de estas empresas se reúnen al menos una vez al mes con los líderes mundiales de negocio. Sin embargo, el 43% se reúne con el director ejecutivo y el 45% con el jefe de marketing. Sólo un 30% se reúne con el jefe de ventas.
De acuerdo con la evaluación de Gartner, los CISO históricamente han construido relaciones fructíferas con los ejecutivos de IT. Sin embargo, la transformación digital ha democratizado aún más la toma de decisiones sobre seguridad de la información.
Los CISO efectivos vigilan de cerca cómo evolucionan los riesgos en la empresa y desarrollan relaciones sólidas con los propietarios de este riesgo. Estos son los líderes empresariales senior fuera de la IT.
La encuesta también encontró que los CISO altamente efectivos manejan mejor los factores de estrés en el lugar de trabajo. Sólo un 27% de los CISO con mayor desempeño se sienten sobrecargados con las alertas de seguridad. Esto se contrapone al 62% de los que tienen un peor desempeño.
Además de esto, menos de un tercio de los mejores CISO sienten que se enfrentan a expectativas poco realistas de las partes interesadas. Una vez más esto es en contraposición a la mitad de los CISO con peor desempeño.