Las ciberamenazas se han convertido en una de las principales preocupaciones de las empresas. Cada vez hay más y son más complejas. Y en primera línea para hacerles frente está el chief information security officer, el CISO, o jefe de ciberseguridad.
Desde el robo de datos hasta los ataques dirigidos a infraestructuras críticas, la ciberdelincuencia se ha convertido en una amenaza constante que afecta a individuos, compañías y gobiernos por igual. En este contexto, los CISO tienen que cubrir cada vez más frentes, que van desde el combate contra ataques avanzados hasta la protección de activos digitales, pasando por la garantía de la continuidad operativa en un entorno en constante cambio.
A ello se suma que la ciberdelincuencia no tiene horarios, provocando en estos profesionales una sensación continua de alerta e incapacidad para desconectar. Así lo afirma el 61% de os CISO encuestados en un estudio realizado por Advens, de la mano de ISMS Forum. En este informe los CISO también dejan claro que temen perder sus puestos de trabajo tras una crisis de ciberseguridad.
Índice de temas
Confianza en los conocimientos técnicos, pero desanimo emocional
Sus opiniones en términos de ‘hard skills’ destacan de manera muy positiva, ya que el 76% de los encuestados considera tener los conocimientos metodológicos y técnicos adecuados para adaptarse a sus responsabilidades, lo cual refleja que se sienten preparados para enfrentarse a los nuevos problemas que surjan. En cambio, pese a que ocho de cada 10 encuestados no se sienten personalmente inseguros, el 42% de ellos está más o menos desanimado por el aumento en la frecuencia y el poder de los ciberataques. Un porcentaje que aumenta hasta el 48% si hablamos del sentimiento de frustración al no poder defenderse.
Advens e ISMS analizan el nivel de estrés de los CISO, para ver si estos están logrando serenidad dentro de una profesión en constante cambio y bajo la presión del creciente fuego de los ciberataques. La conclusión es preocupante: el 39% de los CISO encuestados está en una situación crítica en relación con su salud físico-mental y tiene un malestar general que deriva en riesgos de amenaza y situaciones constantes de impotencia.
El análisis de la situación de los CISO se ha realizado a través de dos conjuntos de preguntas: uno para analizar el nivel de estrés al que están sometidos y otro para comprender los detalles que podrían desencadenarlo. Se ha llevado a cabo gracias al modelo de la Escala de Estrés Percibido (PSS), que tiene como meta evaluar el grado en que los encuestados sienten que sus vidas son impredecibles, incontrolables y sobrecargadas, y que permite evaluar de forma global si una persona se siente o no capacitada para afrontar acontecimientos o momentos difíciles.
Sentimientos de impotencia en el CISO
La puntuación media de las preguntas realizadas mediante el método PSS se clasifica en 3 franjas de colores en función del grado de riesgo que implica hallarse en cada una de ellas. La verde, entre 0 y 16 de puntuación, conlleva situaciones de calma o estrés estimulante. La naranja, en la que se sitúa la media de las respuestas (19,34 puntos), abarca desde los 16 hasta los 22; lo que desemboca en sentimientos ocasionales de impotencia que conducen a alteraciones emocionales. En definitiva, estamos ante una cifra cercana a la zona de riesgo para la salud física y mental, situada en números superiores a 22 y señalizada en rojo.
El resultado no es positivo. Los CISO se encuentran bajo unos niveles de estrés que deben vigilarse. No obstante, el porcentaje de encuestados que se encuentra en la zona naranja no es el más elevado, pues dicha área tan sólo representa a un 30% de los encuestados (25 CISO): idéntico porcentaje al que obtiene una zona verde en la que existe un estrés estimulante, no nocivo y “saludable”.
La franja más preocupante se encuentra en la zona de riesgo. Los encuestados representados en el área roja simbolizan el porcentaje más alto (39%), lo que es equivalente a 32 CISO. Esto quiere decir que un alto número de participantes se encuentra en una situación crítica en relación con su salud físico-mental y un malestar general que deriva en riesgos de amenaza y situaciones constantes de impotencia.
Factores de estrés
Una vez realizado el diagnóstico sobre el nivel de estrés experimentado, el propósito del estudio es encontrar los factores específicos del entorno de la ciberseguridad que contribuyen a este estrés. El alto nivel de incertidumbre y la exposición a lo desconocido, el contexto de combate y adversidad o la gestión de crisis se postulan como los criterios que más contribuyen a la aparición de estrés entre los CISOs.
Estos profesionales se enfrentan a adversarios externos que se aprovechan del factor humano -los empleados-, como uno de los eslabones más débiles en la cadena de la defensa cibernética. Una situación que lo pone en el papel de un luchador, con el nivel de amenaza actual y la intensidad de la ciberdelincuencia, de una lucha asimétrica con un poder de ataque muy superior a la capacidad de defensa de una organización.
Por otro lado, la incertidumbre es constante sobre el momento y la forma del próximo incidente. Esto obliga al CISO a estar preparado para cualquier eventualidad, pues nunca puede considerar una protección total. Todo ello, en ocasiones, conlleva una gestión de crisis que requiere un alto nivel de disponibilidad y exige una toma de decisiones bajo presión, que en ocasiones afecta a la salud físico mental de estos profesionales.
Primera recomendación: tener conciencia del problema de salud mental
Tras el análisis de los datos podemos ver que existe un nivel preocupante de estrés experimentado por los CISO y que el tratamiento de éste debe ser abordado con más profundidad por profesionales de la salud, reconociendo la relevancia significativa que posee en la actualidad para este colectivo.
Del mismo modo, Advens e ISMS Forum han incorporado dentro del estudio una serie de recomendaciones con doble función: continuar con la concientización y el reconocimiento del problema y elaborar y poner en marcha una serie de prácticas para reducir el estrés. Dentro de estas prácticas, podemos destacar la preparación de seminarios web sobre resiliencia al estrés, talleres en profundidad para trabajar con grupos más pequeños, seminarios presenciales con el fin de sensibilizar e integrar a las profesiones de ciberseguridad en el pensamiento y el continuo trabajo sobre la gestión del estrés, retratos y experiencias de CISOs, integración de cursos de formación, divulgación orientada a la acción, y muchas más.