En los corrillos de las conferencias de ciberseguridad hay un tema que levanta siempre una afirmación casi universal: el papel del CISO es cada vez más difícil. A pesar de los aumentos salariales y de recursos, esta tendencia sigue acelerándose, empujando a los líderes de seguridad a experimentar elevados niveles de estrés e incluso agotamiento.
Índice de temas
Los factores que provocan esta crisis
Las causas de esta creciente presión son múltiples. Una de ellas es que este puesto se está convirtiendo en una auténtica bola de nieve: muchos directivos empezaron con la seguridad TI, que posteriormente se convirtió en seguridad de la información y luego en ciberseguridad; y cada una de estas áreas cuenta con un alcance y unas responsabilidades cada vez mayores. Ahora estamos entrando en la era de la ciberresiliencia que abarca todo.
A pesar de los aumentos salariales y de recursos, esta tendencia sigue acelerándose, empujando a los líderes de seguridad a experimentar elevados niveles de estrés e incluso agotamiento
Otra razón es el entorno en el que operamos. Tanto nuestras organizaciones como la sociedad son más complejas. Esto impulsa un comportamiento caótico e impredecible de los sistemas que opera en un marco social cada vez más dependiente de ellos. El resultado es un entorno delicado, frágil y más vulnerable a los fallos de sistemas.
Y, como guinda del pastel, ahora vemos que los CISO se enfrentan a posibles sanciones legales por sus acciones: años de cárcel y multas de cientos de miles de euros. Si necesitábamos un peligro mayor para ver lo necesario que es hacerlo bien, aquí lo tenemos.
No es de extrañar que haya CISO que hablan de sus deseos de dejarlo todo y que un número cada vez mayor de empleados tenga claro que ese puesto de responsabilidad no es para ellos.
“Estoy bien; de verdad, lo estoy”
Muchos de nosotros pensamos que estamos tolerando bien el estrés que supone este trabajo; sin embargo, el agotamiento rara vez es percibido por el individuo. En casos extremos, puede incluso haber síntomas físicos, como dolores en el pecho o ataques de pánico, pero lo más frecuente es que los problemas permanezcan en el interior, quizá controlados hasta cierto punto mediante aislamiento, automedicación y otros estímulos.
El estrés es sigiloso. Somos conscientes de que estamos incómodos, aunque se va normalizando ese lento aumento de la presión. El agotamiento, por contra, es explosivo. Se produce de repente cuando un acontecimiento, que normalmente se consideraría intrascendente, se convierte en algo tan grande que provoca un colapso catastrófico. Para el individuo, suele ser difícil verlo venir, aunque su familia, amigos y compañeros puedan esperárselo.
Y ese estrés puede socavar nuestra ética. La opción de pasar por alto un dato o distorsionar un poco un riesgo o acción puede ser tentadora, sobre todo si eso evita que sufras presión y estrés adicionales en la próxima reunión del consejo. No obstante, cualquier mala decisión carcomería tu integridad con consecuencias potencialmente catastróficas.
Si ese estrés se transmite en cascada a toda la organización, más allá de tu función, y al personal que depende de ti, ¿cómo puedes estar seguro de que los datos que recibes son exactos y no se manipulan de forma similar para minimizar el bucle? Entonces, ¿cómo podemos hacer frente a esto y tener éxito con nuestra salud mental y nuestra ética intactas?
No es sencillo. En pocas palabras, cada uno tiene que encontrar su propio camino, ya que todos tenemos diferentes maneras de afrontar la situación. También es importante que, una vez identificado tu camino, seas consciente de cuál es.
Primero, ponte tu máscara de oxígeno
El autocuidado es primordial, y puede hacerse de muchas formas. Lo aconsejable es enfrentarse a los problemas con regularidad, intentando abordar un asunto difícil cada día y encontrando una solución estratégica. Si esto no es posible, delega hacia arriba o hacia abajo para obtener consejos y ayuda.
Reconoce que tu respuesta emocional ante cualquier situación es una elección. Puedes elegir enfadarte cuando ocurre algo inesperado, o puedes elegir no hacerlo. ¡Elige la más útil!
Un amplificador común del estrés es la necesidad de cambiar continuamente de contexto, debido a la enorme variedad de funciones del responsable de seguridad. Considera la posibilidad de establecer límites y normas que tanto tú como tu equipo respetéis. Da un paso atrás, respira y reajústate antes del siguiente reto. Sé egoísta. Reserva tiempo para ti.
Una cultura de cuidados
Debemos ir más allá del autocuidado. Como líderes, tenemos la responsabilidad de garantizar que este problema no repercuta en las personas que confían en nosotros o en nuestro personal; y podemos lograrlo acordando un modelo de trabajo con nuestro equipo. Crea una cultura de cuidados con quienes te rodean, buscando signos de estrés en ellos y pidiéndoles que hagan lo mismo contigo. Recuerda que el agotamiento suele ser más visible desde fuera.
Del mismo modo, hay que minimizar toda ansia de convertirse en superhéroes. Cuando el personal recibe gratificación y refuerzo positivo por sacar al departamento de crisis, buscará esto repetidamente, lo que no es saludable para nadie.
Por último, reconoce que los esfuerzos del equipo son solo la punta del iceberg. Debajo de ellos hay mucho sacrificio profesional y personal para que todo funcione al máximo rendimiento, así que agradécelo siempre que tengas ocasión.
Un camino recto y estrecho
En términos de ética, es esencial que dirijamos equipos en los que hacer lo correcto sea la única forma de actuar. Aquellas infracciones menores que no se abordan, luego se autoamplifican. Analiza todo para identificar posibles puntos de conflicto y crea responsabilidades que te saquen de la cadena.
Sin embargo, más importante aún es la necesidad de dotarse de un timón ético. Todos tenemos nuestras propias metas, objetivos y ambiciones que impulsan nuestras acciones y conforman nuestra personalidad. Sin embargo, en momentos de estrés, es fácil perderlos de vista y centrarse únicamente en el problema que tenemos delante. Escribe tus principios personales y llévalos siempre contigo como base para fundamentar tus acciones.
Tal vez te comprometas a ser siempre amable y respetuoso con los demás. Tal vez aceptes actuar siempre como si tus seres queridos estuviesen a tu lado, o ser honesto en todo momento, incluso cuando suponga más carga de trabajo. Si tu función te lleva a tomar decisiones que reconoces como éticamente poco sólidas, pregúntate si ha llegado el momento de abandonar dicha función. Reconoce que, como responsables de seguridad, disponemos de una enorme red de seguridad y que, con tu ética y reputación intactas, siempre encontrarás salida. Pero, sin ética, esa red de seguridad desaparece.