Una reciente encuesta realizada por Gartner, Inc. entre directores de seguridad de la información (CISO) reveló que el 69% de los CISO de alto rendimiento dedican un tiempo recurrente en sus calendarios al desarrollo profesional personal. Esto se compara con sólo el 36% de los CISO de bajo rendimiento que lo hacen.
«A medida que el papel del CISO continúa evolucionando rápidamente, se vuelve aún más crítico para los líderes de seguridad y riesgo proteger el tiempo para el desarrollo profesional», dijo Chiara Girardi, Directora Senior de Investigación de Gartner. «Desarrollar nuevas habilidades y conocimientos a medida que cambia el rol es esencial para servir eficazmente como asesor estratégico del negocio – el nuevo paradigma del CISO.»
Los datos se recopilaron desde 2020 hasta 2023 como parte de una encuesta de evaluación comparativa de Gartner de 227 CISO. Los encuestados fueron medidos en áreas clave de la eficacia del CISO, y los que obtuvieron una puntuación en el tercio superior se clasificaron como «de alto rendimiento.»
La investigación identificó cinco comportamientos clave que diferencian significativamente a los CISO de alto rendimiento de los de bajo rendimiento. De media, cada uno de estos comportamientos es al menos 1,5 veces más frecuente en los que obtienen los mejores resultados que en los que obtienen los peores (véase la figura 1).
Fig. 1: Los cinco comportamientos que cambian las reglas del juego de los CISO eficaces
Fuente: Gartner (agosto de 2023)
Por ejemplo, la encuesta reveló que el 77% de los CISO con mejores resultados inician conversaciones en la empresa sobre la evolución de las normas de seguridad nacionales e internacionales, como el contraataque y la atribución de amenazas. Esto se compara con sólo la mitad de los que obtienen peores resultados.
«Ninguna organización puede estar totalmente protegida contra todas las ciberamenazas», afirma Girardi. «Los CISO más eficaces se mantienen al tanto de los riesgos existentes y emergentes para que puedan proporcionar a los líderes el contexto en torno a las amenazas más significativas que enfrenta el negocio, para influir en las inversiones y las decisiones de riesgo en consecuencia.»
Además, el 63% de los CISO con mejores resultados se comprometen proactivamente a proteger tecnologías emergentes como la inteligencia artificial (IA), el aprendizaje automático (ML) y blockchain, en comparación con solo el 38% de los CISO con peores resultados.
«A medida que prolifera la adopción de la IA, los CISO ya están detrás de la curva en la evaluación de su impacto en el riesgo», dijo Girardi. «Los actores de amenazas siempre están un paso por delante, por lo que los CISO deben ser más proactivos en la comprensión del impacto de seguridad de tecnologías como la IA generativa y comunicar esos riesgos con el liderazgo empresarial senior.»
Los CISO más eficaces se comprometen de forma proactiva con los responsables de la toma de decisiones en toda la empresa, por ejemplo, estableciendo relaciones fuera del contexto de los proyectos (65%) y colaborando para definir el apetito de riesgo empresarial (67%). Además, los CISO más eficaces se reúnen regularmente con el triple de partes interesadas ajenas a TI en comparación con las partes interesadas de TI, como jefes de ventas, jefes de marketing y líderes de unidades de negocio.
«Las funciones ajenas a TI son socios clave que pueden tomar decisiones sobre tecnología y ciberseguridad fuera de TI», afirma Girardi. «Al reservar tiempo dedicado para construir relaciones con los responsables de la toma de decisiones de negocios de alto nivel en toda la empresa, los CISO pueden cultivar un entorno en el que los responsables de la toma de decisiones entiendan y se preocupen por la ciberseguridad, así como considerar las implicaciones de la ciberseguridad en su toma de decisiones.»
