Como vicepresidente corporativo y CISO adjunto al frente de gran parte de la ciberseguridad de NCR Voyix, me encargo de la protección de la principal plataforma de comercio digital utilizada por minoristas, restaurantes e instituciones financieras, del trabajo de 15 000 empleados — y de nuestra marca de confianza, con 140 años de antigüedad. Quería compartir las lecciones más importantes que he aprendido (a veces a la fuerza) a lo largo de mis 30 años de carrera. Lo que haces importa, pero cómo lo haces es aún más importante.
Los profesionales de la ciberseguridad necesitan la formación y las certificaciones necesarias. Sin embargo, una mentalidad de liderazgo de servicio te ayuda a ofrecer más valor y a aumentar tu influencia más allá del equipo de ciberseguridad. Por ejemplo, una encuesta reciente de Gartner reveló que más de dos tercios (65 %) de los mejores CISO crean principalmente relaciones con los responsables de la toma de decisiones fuera del contexto de los proyectos. Los CISO eficientes también se reúnen regularmente con el triple de partes interesadas ajenas a los equipos de informática (por ejemplo, ventas/marketing, responsables de unidades de negocio) en comparación con las partes interesadas del departamento de informática.
Para mí, la alineación eficaz de la ciberseguridad con los resultados empresariales empieza con un enfoque centrado en las personas. A continuación, te mostramos 5 formas prácticas en las que los responsables de seguridad pueden promover una mentalidad de liderazgo de servicio:
1. Deja atrás tu ego. Nuestro director ejecutivo de gestión de productos de banca digital informó recientemente sobre cómo los bancos y las cooperativas de crédito priorizan cada vez más "formas de integrar más empatía y personalización" en las experiencias digitales, para ayudar a fidelizar a los consumidores. Al igual que la creación de experiencias digitales requiere centrarse en cada paso de la experiencia humana, proteger esas experiencias exige empatía con las personas a las que da servicio tu empresa.
Llevo 25 años en ciberseguridad y he trabajado en ingeniería de sistemas, arquitectura y consultoría durante más tiempo. Pero, mucho antes de eso, pasé de botones a gerente en un hotel, donde aprendí a escuchar, a resolver problemas con calma y a que la atención a los detalles era importante. Las experiencias integrales y orientadas al servicio me han ayudado a mejorar como líder de seguridad.
Si aún no lo has hecho, amplía tus conocimientos más allá del ámbito de la seguridad. Conoce tu negocio: aprende de las personas que están al frente del servicio de atención al cliente o que trabajan en la parte administrativa. Acompaña a los empleados o promueve la rotación de puestos para que puedas comprender y empatizar con los desafíos y presiones. En última instancia, una perspectiva más amplia te ayudará a desarrollar y a comunicar de forma más eficaz por qué la ciberseguridad es tan importante para tus partes interesadas.
Los atacantes innovan. Tú también deberías hacerlo. ¿Puede alguien que recientemente dirigió un taller de neumáticos convertirse en un gran analista de seguridad? En mi experiencia, ¡sí! Con la formación y la orientación adecuadas, su capacidad para resolver con calma las situaciones más estresantes de los clientes hace que también sean imperturbables a la hora de combatir ataques sofisticados.
Dar la bienvenida a personas con formación académica diversa también puede mejorar la retención de talento y el rendimiento del equipo de ciberseguridad. Ve más allá de las vías de contratación tradicionales y considera a las personas que no acabaron la carrera universitaria de cuatro años, que han seguido una trayectoria profesional diferente, que desean un cambio profesional o que retoman una carrera tras una pausa. Encontrarás personas que tienen una gran motivación para aprender, habilidades demostradas para resolver problemas y la determinación para tener éxito.
2. Prioriza a las personas antes que a las tareas, siempre. Siempre hay mucho que hacer. Pero, si te centras en las tareas, tus relaciones se vuelven transaccionales e impersonales. Ser real y auténtico es fundamental para generar confianza en cualquier relación. Escucha activamente a tu equipo, compañeros y partes interesadas. Tómate el tiempo para entender la perspectiva de la otra persona. Interésate por ellos.
Crear y asesorar a un equipo inclusivo tiene su propia recompensa, ya que a menudo parece que aprendo tanto como ellos, lo que me ayuda a ser un líder más eficaz.
Como dice Steven Spear, coautor de "Wiring the Winning Organization", sin la mentalidad organizativa adecuada, los empleados no tendrán la oportunidad de resolver los problemas. Las organizaciones con un alto nivel de adaptabilidad y flexibilidad tienen sistemas de gestión que abren la mente de las personas, "de manera individual y a través de la colaboración colectiva y creativa, para abordar problemas muy difíciles".
La gente te escuchará después de sentirse escuchados. Los equipos que se conocen y confían entre sí están más comprometidos, más motivados y, en última instancia, son más eficaces.
3. Sé transparente y refuerza los mensajes clave. El Instituto Nacional de Estándares y Tecnología (NIST) escribió en 2023:
"Muchas de nuestras conversaciones sobre productos conectados se centran en la conectividad en el sentido técnico (protocolo, algoritmos, etc.). Promover la confianza entre los participantes en el ecosistema y reducir los riesgos de ciberseguridad asociados al uso de estos productos depende de un tipo diferente de comunicación: el diálogo abierto y el intercambio de información".
En mi equipo, compartir información significa decir la verdad, incluso cuando es incómodo. Ya seas junior o sénior, si no crees que un enfoque de seguridad en particular funcione, es tu obligación decirlo. La transparencia genera confianza, y eso te permite descubrir y abordar posibles amenazas, incidentes y problemas más rápido.
Pide opinión a los demás (y acéptala). Las opiniones sinceras son un regalo. En mi experiencia, todo el mundo comete errores, pero lo que realmente importa es cómo reaccionas y te recuperas de esos errores. Sé humilde y haz lo correcto.
4. Inclínate por la acción. La ciberseguridad en NCR Voyix es amplia y compleja, y cambia constantemente. Pero mis equipos no se complican. Es importante centrarse en lo que podemos controlar dentro de nuestra organización, y luego adoptar medidas.
No esperes a tener la solución perfecta a un problema. Tal vez solo hayas recorrido el 60-70 % del camino, pero toma una decisión y ponte en marcha. Puedes incorporar la información que falta y realizar mejoras iterativas. Ya sea a nivel individual o en equipo, es fundamental terminar siempre lo que se ha empezado, y terminar a tiempo. De esta manera, se genera confianza tanto a nivel individual como de equipo.
"Un nivel de confianza bajo ralentiza todo, cada decisión, cada comunicación y cada relación". -Stephen MR Covey, The SPEED of Trust: The One Thing that Changes Everything
Nunca sabes cuándo necesitarás recurrir a esa confianza. Por ejemplo, cuando hay problemas de seguridad, debes actuar con rapidez y delegar tareas en todos los sentidos. El equipo es mucho más eficaz y logra mejores resultados con menos estrés, cuando las personas que lo componen saben que pueden apoyarse mutuamente porque las personas de ese equipo siempre cumplen sus compromisos.
5. Recuerda (y recuerda a tus equipos) cómo la ciberseguridad mejora los resultados empresariales. A medida que los CISO se centran más en el negocio, y se alejan de los equipos, se encuentran bajo una mayor presión para mostrar la rentabilidad de sus inversiones en tecnología, lo que puede ser muy difícil de demostrar.
Sin embargo, puedes replantear el análisis en torno al valor de ser un buen administrador del negocio. Accenture informa que las organizaciones que alinean la ciberseguridad con los objetivos empresariales tienen un 18 % más de probabilidades de aumentar los ingresos, ampliar la cuota de mercado y mejorar la satisfacción del cliente y la productividad de los empleados.
Explica a las partes interesadas de tu empresa el "por qué" de la ciberseguridad para que comprendan lo que necesitan para avanzar. ¿Están aumentando las interrupciones empresariales debido a superficies de ataque desprotegidas? ¿Los bots maliciosos amenazan las transacciones legítimas de los clientes?
Recuerda a todos los problemas empresariales que resuelve la ciberseguridad. Independientemente de cuál sea tu función o dónde trabajes, la gente quiere que se reconozca su aportación de valor.
Una mentalidad de servicio puede ayudarte a ser más eficaz, tanto si estás empezando tu carrera como si eres un CISO experimentado. Cuando hay transparencia, inclusión y confianza en el valor empresarial que ofrece tu equipo, no hay límites para lo que tú y tu equipo podéis conseguir.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Consulta la calculadora de retorno de la inversión de Cloudflare para estimar los beneficios potenciales de reforzar la seguridad en todos los lugares donde operas.
Paul Farley — @allaboutrisk
Vicepresidente corporativo y CISO adjunto
NCR Voyix
Después de leer este artículo podrás entender:
Cómo una mentalidad de liderazgo de servicio puede ayudar a proteger tu negocio
5 recomendaciones para liderar equipos de ciberseguridad eficaces
La importancia de comunicar los resultados empresariales estratégicos