Impulsados por los nuevos imperativos digitales, algunos líderes de TI se han liberado de las limitaciones de obedecer las órdenes de los líderes empresariales para convertirse en socios corporativos de pleno derecho. Y los líderes de la ciberseguridad también van por este camino.
Joanna Burkey, que regresó a HP hace un año, es una de las muchas CISO que lideran este nuevo cargo. Burkey, que pasó casi 13 años en diversas funciones en HP antes de pasar a dirigir la ciberseguridad en Siemens durante cinco años, ha encontrado un programa de TI con un fuerte enfoque operativo. Pero HP podría haberse beneficiado más si se hubiera convertido en un socio estratégico de la empresa.
«Donde teníamos margen para ampliar nuestro enfoque era en la participación en el negocio de los ejecutivos», dice Burkey. «Necesitamos un asiento en la mesa de estrategia corporativa; ya no basta con sentarse en la mesa de TI».
Seguridad allí donde se necesita
Es un puesto que Burkey ganó celosamente mientras la empresa pasaba por una transformación de varios años bajo el liderazgo del presidente y director general Enrique Lores. Y también es una creencia que Burkey dice compartir con otros CISO. En los últimos años, las amenazas existenciales que suponen las filtraciones de datos han impulsado a los directores generales y a los consejos de administración a incorporar a los responsables de la seguridad de la información a la empresa. Y muchos CISOs están aprovechando la oportunidad para ayudar a influir y dar forma a la estrategia corporativa.
Esto incluye una importante transformación del papel: de limitarse a decir sí o no a las sugerencias de soluciones tecnológicas a hacer también preguntas, y los CISO deben también dejar de medir su impacto sólo por las métricas de prevención de amenazas, en lugar de elaborar una narrativa detallada sobre cómo los vectores de amenaza y los ataques afectan al enfoque de la empresa para la gestión de riesgos.
En pocas palabras, se trata de incorporar las métricas al lenguaje corporativo para que los CISO puedan mantener conversaciones productivas con los colegas del área de negocio sobre el apetito de riesgo y la estrategia. «Es muy tentador fijarse en las métricas por encima de todo, pero las métricas no tienen sentido si no alimentan la conversación sobre el riesgo». Y esta narrativa ayudará a «ampliar la oportunidad de tomar decisiones cibernéticas correctas».
La diversidad en la ciberseguridad debe mejorar
Burkey considera que la diversidad es la clave para impulsar eficazmente la transformación de la ciberseguridad de HP. Un equipo diverso que incluya toda la gama de perspectivas está en mejor posición para resolver problemas y compartir la información que es tan crítica para la defensa digital.
Para ello, Burkey está buscando más mujeres, personas de color y otros talentos de poblaciones subrepresentadas para cubrir puestos de ciberforense e inteligencia de amenazas, así como especialistas en la nube deseosos de aprender ciberseguridad. El CISO de HP también se centra en los talentos con habilidades más blandas, como el personal que puede realizar análisis de casos de negocio y facilitar la gestión de las partes interesadas.
En particular, Burkey necesita personas que puedan articular adecuadamente el riesgo en el contexto de un marco empresarial, habilidades que van más allá de los conocimientos genéricos de los profesionales tradicionales de la ciberseguridad. «Tenemos vacíos de talento que cubrir».
Burkey es muy consciente de los problemas de diversidad a los que se enfrenta el espacio de la ciberseguridad, especialmente en lo que respecta al género. Recuerda haber sido «la única mujer en la habitación» en varios puestos a lo largo de su carrera y ha llegado a «cambiarme para encajar». Con el tiempo se dio cuenta de que al hacer lo que sentía que tenía que hacer para tener éxito no era auténtica consigo misma». Ya no.
Pero esto puede ser más fácil de decir que de hacer para las mujeres, ya que la brecha de género persiste. Las mujeres sólo representan el 24% de quienes trabajan en ciberseguridad, según el consorcio ISC2 IT. La disparidad se hace más abismal a medida que se asciende en la escala empresarial. De hecho, las mujeres sólo representan el 13% de los puestos de CISO en las empresas de Fortune 500 y sólo el 9% en el UKFTSE 100 en Europa. Estas cifras se comparan con el 11% de mujeres CIO y el 9% de mujeres CTO, según los últimos datos de Gartner.
Burkey sostiene que sigue siendo más difícil contratar a mujeres jóvenes en los campos de la ciencia, la tecnología y la ingeniería, aunque está intentando cambiar esta situación en HP describiendo las funciones de forma que resulten más atractivas incluso para los talentos menos experimentados. Por ejemplo, algunas mujeres y otros prospectos desfavorecidos evitan el sector de las tecnologías de la información porque muchas de las descripciones de los puestos de trabajo establecen requisitos técnicos que parecen atraer a los profesionales de las tecnologías de la información de mediana edad.
Por último, Burkey ofrece los siguientes consejos para las mujeres que quieran ascender a puestos de liderazgo a lo largo de su carrera.
Sé auténtico. Por muy tentador que resulte actuar como sus compañeros, Burkey sugiere a las mujeres a las que asesora que sean fieles a sí mismas.
Consigue mucha experiencia «lateral». Burkey aconseja adquirir nuevas habilidades en cada etapa, incluso sin aspirar desde el principio únicamente al puesto al que se quiere llegar. «Trabajé en ingeniería de software, investigación y desarrollo, gestión de productos y estrategia, e hice muchas otras funciones antes de aterrizar en el liderazgo de la ciberseguridad. Todo lo que has hecho puede convertirse en experiencia que puedes aprovechar para el resto de tu carrera».
Red, red, red. «La mayoría de la gente busca oportunidades profesionales, pero también hay que crear redes para aumentar los conocimientos, porque algún día los utilizarás». Burkey nunca ha desempeñado un papel financiero, pero ha seguido estableciendo contactos con expertos en finanzas, que, según ella, le han proporcionado conocimientos prácticos que le han ayudado no sólo a gestionar su presupuesto de ciberseguridad, sino también a hablar mejor y más eficazmente con la dirección de la empresa.
Al fin y al cabo, la ciberseguridad, al igual que los seguros y otros sectores, consiste en «maximizar el rendimiento del negocio». Al final, te guste o no, todo es cuestión de dinero».
Redacción CambioDigital OnLine
