Históricamente percibidos como expertos técnicos, los CISO necesitan ahora evolucionar para convertirse en comunicadores.
En un entorno de trabajo en constante cambio, el CISO -y más en general el equipo de SI- son responsables de guiar a los empleados a través de una visión de lo que es y debe ser ciberseguridad dentro de la empresa. Si bien este mecanismo se basa en la puesta en común de las mejores prácticas y el establecimiento de normas comunes, debe estar encarnado por un fuerte liderazgo por parte del CISO.
Entonces, ¿cómo comunicarse de forma inteligible con su organización? ¿Cómo puede compartir sus retos y sus prerrogativas con sus empleados y conseguir que se impliquen? He aquí algunas respuestas y consejos de nuestro experto.
Los CISO ya no pueden trabajar solos
Enfrentados a cargas de trabajo y estrés cada vez mayores, los CISO ya no pueden permitirse trabajar solos. Según un informe de la empresa de contratación Heidrick & Struggles, el 48% de los CISO encuestados afirmaron sentirse en riesgo de agotamiento. Esta tendencia se ve confirmada por el hecho de que el 59% de ellos afirma trabajar bajo un estrés intenso.
Con una cifra estimada de 4 millones de vacantes en el sector ciberseguridad en todo el mundo, esta tendencia va a continuar. Según Gartner, el 50 % de los CISO dejarán su trabajo en 2025 debido a los altos niveles de estrés.
Ante esta situación, es urgente adoptar un enfoque colaborativo con el objetivo de compartir las responsabilidades y la carga mental cotidiana que supone gestionar ciberseguridad dentro de la empresa.
4 consejos para mejorar la colaboración entre equipos
1. Adoptar un enfoque abierto y de colaboración
Como CISO, tienes que convencer a tu personal de que tus decisiones son las correctas, en lugar de tratar de imponer directivas. De lo contrario, corre el riesgo de bloquear el intercambio y crear resistencia dentro de la organización, lo que sería, como mínimo, contraproducente.
Una comunicación eficaz significa alejarse de la jerga técnica y asegurarse de que las explicaciones y los objetivos son comprensibles para todos. Adoptando una postura abierta y de escucha, en lugar de decir "esto es así y no de otra manera ", animas a la gente a aceptar lo que tienes que decir.
Como explica Baptiste David , responsable de estrategia de mercado en Tenacy : "En caso de solicitud de una exención que implique la instalación de un software específico, responder con una simple negativa sin explicaciones puede incitar al empleado a ignorar la prohibición . Por el contrario , es más eficaz proponer alternativas que respondan a las necesidades del empleado, respetando al mismo tiempo las normas de seguridad ".
2. Explique sus necesidades y objetivos
Para gestionar ciberseguridad en el día a día, el CISO necesita contar con datos precisos y actualizados. Y para lograrlo, necesitan comunicar claramente por qué necesitan esos datos.
Por decirlo de otro modo, se trata de transformar una solicitud técnica en un objetivo compartido, como nos recuerda Baptiste David: "Si un CISO pide información sobre los usuarios que han participado en una formación en ciberseguridad, debe especificar que esos datos ayudarán a evaluar los riesgos, mejorar las medidas de seguridad o lograr la conformidad con normas como la ISO 27001 ".
El objetivo es garantizar que el enfoque del CISO no se vea como una limitación, y que los equipos trabajen juntos para alcanzar los objetivos comunes de seguridad de la empresa.
3. Interesarse por el funcionamiento interno de los departamentos.
Para poder colaborar con todos los departamentos de la empresa, como marketing, finanzas o ventas, el CISO necesita ampliar su comprensión de la organización. En otras palabras, no pueden aplicar su visión si trabajan en silos.
Al integrar el funcionamiento interno de los equipos y compartir la información y los indicadores pertinentes, no sólo pueden mejorar la seguridad general de la empresa, sino también obtener una mayor visibilidad de su papel y su misión.
Trabajando con Recursos Humanos, por ejemplo, el CISO puede compartir datos como el porcentaje de empleados que han firmado la carta de TI o han realizado cursos de formación en ciberseguridad.
4. Asegúrese de que su equipo del SSI está alineado con su visión
Además de compartir su visión, laalineación interna dentro del equipo de seguridad informática garantiza que las acciones sean eficaces y coherentes. Sin esta uniformidad, pueden surgir lagunas e incompatibilidades técnicas y organizativas que comprometan el compromiso de los equipos con las estrategias de seguridad establecidas.
El liderazgo interno del CISO implica una comunicación clara y la facilitación del equipo, para que todos tengan el nivel de información adecuado. El objetivo de este enfoque no es solicitar retos u opiniones, sino normalizar las prácticas para que todos trabajen juntos.
Esta normalización es aún más importante cuando llegan nuevos miembros al equipo. Por eso, el uso de herramientas como Tenacy puede aportar estructura, facilitando la integración de los nuevos miembros en el equipo. Al formarse en nuestra plataforma, los nuevos reclutas se alinean rápidamente con la visión y la estrategia del CISO. Se crea así una base de datos centralizada y coherente, que evita las interrupciones y lagunas de comunicación que suelen producirse en entornos menos estructurados.