Los equipos de ciberseguridad necesitan más perspicacia empresarial

Mientras que la brecha entre los profesionales de ciberseguridad y las organizaciones a las que sirven se ha reducido en los últimos años, claramente todavía hay mucho espacio para mejorar. Demasiados profesionales de ciberseguridad aún están luchando para transmitir el nivel de riesgo para el negocio que representa cualquier amenaza específica. Gran parte de esa falta de comunicación todavía se atribuye al simple hecho de que los profesionales de ciberseguridad aún no siempre se comunican de manera que los líderes empresariales puedan comprender fácilmente. Existe una clara necesidad de formación adicional que aborde específicamente esa deficiencia.

Desafortunadamente, una encuesta de 259 profesionales de ciberseguridad realizada por ISC2 deja claro que todavía hay una falta de valoración por el tipo de formación que se requiere. Un 81% completo de los encuestados dijo que aprenden habilidades de liderazgo principalmente a través de la observación, y el 86% señaló que las experiencias con supervisores, gerentes y ejecutivos anteriores moldearon su visión de lo que hace a un buen líder.

Si bien eso puede ser algo positivo en algunos aspectos, ya se ha establecido que muchos líderes de ciberseguridad existentes no son capaces de comunicarse eficazmente con los líderes empresariales. Observar a la generación anterior de líderes puede estar perpetuando una dicotomía existente.

Por ejemplo, poseer buenas habilidades de comunicación está, como era de esperar, clasificado como el atributo más importante que puede tener un líder de ciberseguridad (85%), seguido por la comprensión de la estrategia (41%), la mente abierta (37%), habilidades técnicas (33%), la capacidad de tomar decisiones (21%) y finalmente la perspicacia empresarial (21%).

Sin embargo, ahí radica la paradoja. Lo que más se critica a los líderes de ciberseguridad es su incapacidad para comunicarse con la dirección empresarial y, sin embargo, solo uno de cada cinco encuestados identificó esa habilidad como crucial para el liderazgo. Ahora, las posibilidades de que los líderes empresariales lleguen a comunicarse utilizando la nomenclatura que los equipos de ciberseguridad usan todos los días son muy pequeñas. La única manera en que esta situación va a mejorar materialmente es si los líderes de ciberseguridad comprenden mejor cómo funciona realmente el negocio.

En un mundo ideal, por supuesto, las organizaciones proporcionarían ese tipo de formación a sus equipos de ciberseguridad, pero ya sea simplemente por restricciones presupuestarias o por una simple falta de apreciación de la necesidad, realmente no se ofrece mucho de ese tipo de formación. Queramos o no, corresponderá a los profesionales de ciberseguridad individuales utilizar su propia iniciativa para adquirir ese tipo de experiencia, ya sea en el trabajo o a través de algún currículo educativo externo.

La única cosa que pocos profesionales de ciberseguridad siempre aprecian es el apetito de riesgo que muchos líderes empresariales tienen. La mayoría de ellos son productos de escuelas de negocios que les enseñan a sopesar continuamente el riesgo frente a la recompensa. Lo único que realmente quieren de los equipos de ciberseguridad es una evaluación precisa del nivel de riesgo enfrentado. Eso puede no requerir un Master en Administración de Empresas (MBA), pero al menos requiere una comprensión de lo que la organización está tratando de lograr en una era donde cada proceso empresarial puede ahora ser impactado negativamente por múltiples amenazas de ciberseguridad.