Los CISO y la carrera contrarreloj: ¿cómo salir de ella?

Los CISO y la carrera contra el tiempo: ¿es anecdótico? Según una encuesta realizada por Nominet a 800 CISO en otoño de 2019, el 95% de los CISO superan su jornada laboral en unas 10 horas semanales. Por supuesto, parte de la razón de esto es la escasez de habilidades en el campo ciberseguridad. ¡Pero esa no es la única razón! En el día a día, esta carrera contra el tiempo se debe a problemas culturales y organizativos que ralentizan a los CISO. Afortunadamente, ahora existen soluciones para ayudarles a recuperar la compostura y la eficacia.

Compartir

Por qué el tiempo es un quebradero de cabeza para los CISO

El CISO no es un superhéroe (aunque... hablamos de eso aquí), así que para intentar resolver un problema, hay que identificar la causa. Así que, en este reto del "CISO y la carrera contra el tiempo", ¿cuáles son las razones por las que los CISO siempre tienen esa desagradable sensación de "nunca hacer lo suficiente"?

Tiempo de trabajo repartido entre varias misiones

Como los ciberriesgos afectan a todas las áreas de la empresa y a todos los niveles de la organización, los CISO están implicados en todos los ámbitos, lo que explica que sus horas de trabajo se distribuyan de la siguiente manera (cifras extraídas de la edición 2020 del estudio del CLUSIF "Amenazas informáticas y prácticas de seguridad en Francia"):

  • Aspectos técnicos (arquitectura de seguridad, seguimiento del proyecto, etc.): 29%.
  • Aspectos funcionales (análisis de riesgos, política de seguridad, etc.): 25%.
  • Aspectos operativos (gestión de derechos, administración, etc.): 21%.
  • Comunicación/sensibilización: 14
  • Aspectos jurídicos (búsqueda de pruebas, estatuto del usuario, etc.): 11%.

En sí misma, esta distribución podría no ser problemática, si el CISO no tuviera que enfrentarse a la falta de integración de su función en los procesos de la empresa y a la falta de herramientas adecuadas y dedicadas para organizarse. (teaser: véase el próximo artículo sobre cuadros de mando y Excel para CISO...)

ciberseguridad y cultura empresarial

El carácter transversal del papel del CISO le sitúa en una posición de gran dependencia, tanto de la alta dirección, que asigna el presupuesto ciberseguridad, como de los equipos, que tienen un papel que desempeñar en la aplicación de las normas de seguridad y la transmisión de la información.

Sin embargo, muchos CISO luchan por liderar y unir a su comunidad, y pierden el tiempo en tareas que no aportan valor, como perseguir a los equipos que tardan en rellenar un cuadro de mando, o corregir incidentes que podrían haberse evitado si se les hubiera pedido que lo hicieran con antelación.

 

La falta de herramientas para gestionar ciberseguridad

Los CISO no son los únicos que quieren ganar la carrera contra el tiempo. Hoy en día, todas las líneas de negocio disponen de herramientas de gestión que les proporcionan una visión de 360º de su actividad. La función comercial, por ejemplo, dispone de un CRM (software de gestión de relaciones con los clientes), mientras que la financiera cuenta con datos en tiempo real gracias a un ERP.

El CISO, por su parte, dispone de numerosas herramientas, desde las soluciones más comunes (antivirus y antimalware, antispam, cortafuegos, etc.) hasta herramientas más específicas (sondas IDS, SIEM, Network Access Control) y consolas de programación y mantenimiento.

Sin embargo, ninguna de estas ayudas técnicas está relacionada con la gestión, lo que explica por qué los CISO siguen teniendo que dedicar mucho tiempo :

  • crear sus propias herramientas de gestión cuando ocupe su nuevo puesto
  • su actualización periódica, con el ajuste de las funcionalidades

En la práctica, el CISO dedica gran parte de su tiempo a crear y adaptar cuadros de mando en Excel, por no hablar de los pocos días que tiene que dedicar cada mes a agregar los datos para poder presentarlos a la alta dirección.

 

¿Cuáles son las soluciones para devolver tiempo al CISO?

Si los CISO quieren ganar la carrera contra el tiempo, deben centrarse ante todo en optimizar y racionalizar sus acciones.

Buenas prácticas

En el día a día, cada CISO puede intentar reducir al mínimo las tareas tediosas y que consumen mucho tiempo, industrializando lo que se puede industrializar y aprovechando al máximo las oportunidades de colaboración eficaz con todas las partes interesadas.

 

He aquí tres vías que convendría explorar:

  • Creación de plantillas

¿Qué mesas se utilizan más a menudo? ¿Qué presentación funciona mejor con el Comité Ejecutivo? ¿A qué tipo de cuestionario responden más rápidamente los equipos? Para evitar "reinventar la rueda" en cada presentación o recopilación de datos, lo más fácil para el CISO es crear una biblioteca de "plantillas" (hojas de cálculo de Excel, presentaciones de PowerPoint) que puedan utilizarse como marcos recurrentes.

  • Métodos ágiles para la gestión de equipos

Hacer avanzar los proyectos, resolver las dificultades encontradas por los equipos, responder al personal... todo esto lleva tiempo, pero lleva aún más tiempo cuando no hay seguimiento ni dinámica. Para animar a su comunidad, los CISO pueden utilizar formatos de reunión regulares, breves y muy estructurados.

Pueden adoptar varias formas, como la semanal (1 hora como máximo), o la diaria (unos minutos, y normalmente de pie). En ambos casos, el objetivo sigue siendo el mismo: revisar lo que se ha hecho y lo que queda por hacer, y eliminar los obstáculos para alcanzar los objetivos.

  • Herramientas distintas de las dedicadas a ciberseguridad

Hoy en día existen varias herramientas que, aunque no conciernen específicamente a los CISO, pueden serles útiles. Depende de cada CISO encontrar la que más le convenga, entre la gama de herramientas colaborativas y de gestión de proyectos existentes. Trello, por ejemplo, es una solución interesante para realizar un seguimiento de las acciones y proyectos en curso, mediante la configuración de notificaciones y alertas. Herramientas como Slack o Teams pueden facilitar la colaboración con todas las partes implicadas en un proyecto.

Tenacy volver al tiempo de calidad

Tenacy , una plataforma SaaS adaptable y colaborativa, es la solución líder para la gestión de ciberseguridad. Su objetivo es mejorar la organización de los CISO, ahorrándoles un tiempo valioso en muchos ámbitos:

  • Creación de cuadros de mando: parametrización de indicadores específicos de la política de seguridad, indicadores preconfigurados, construcción personalizada, modular e intuitiva.
  • Recogida de datos: notificaciones automáticas para evitar la necesidad de recordatorios
  • Control del cumplimiento y planes de acción
  • Seguimiento del programa de seguridad
  • Realización de evaluaciones

Al eliminar tareas que consumen mucho tiempo y proporcionar una visión de 360° de ciberseguridad, Tenacy ofrece a los CISO más tiempo para centrarse en los aspectos estratégicos de su misión.