Consideraciones sobre las mejores prácticas para gestionar la transición de un CISO

Por Avishai Avivi, Chief Information Security Officer

Descargo de responsabilidad:

Las opiniones y puntos de vista expresados en este artículo son exclusivamente míos y no representan las opiniones, puntos de vista o posiciones de mi empleador actual o de cualquier empleador anterior. Este artículo se basa en mis experiencias y observaciones personales como Director de Seguridad de la Información y tiene únicamente fines informativos.

Visión General

Con años de experiencia como Director de Seguridad de la Información (CISO), he dedicado mi carrera a construir programas de seguridad que permitan a las organizaciones defenderse y responder adecuadamente a las amenazas cibernéticas, garantizar el cumplimiento normativo y navegar por el paisaje cambiante de la seguridad de la información.

Recientemente, al darme cuenta de que pronto dejaría el cargo de CISO en mi empresa actual y buscaría mi próximo desafío como CISO, me di cuenta de que había una política o proceso que nunca había considerado apropiadamente: la transición de un CISO fuera de una empresa.

La búsqueda de directrices publicadas o mejores prácticas para la transición del CISO reveló una sorprendente falta de estas. A diferencia de otras transiciones ejecutivas, que pueden seguir guiones establecidos, las sensibilidades únicas del rol de CISO —como el acceso privilegiado a sistemas críticos, el conocimiento íntimo de las vulnerabilidades de una organización y la gestión de la confianza del cliente— requieren un enfoque más matizado que muchas organizaciones aún tienen que formalizar.

Esta brecha en la orientación puede dejar a las empresas vulnerables a interrupciones operativas, amenazas internas y daños a la reputación, lo que subraya la necesidad crítica de transiciones efectivas del CISO.

Con esto en mente, escribí este artículo para ofrecer algunas mejores prácticas para gestionar la transición de un CISO. Espero que este artículo estimule la discusión y cree un conjunto formal de mejores prácticas.

Escenario 1 – Ideal: Separación Amistosa con Aviso Suficiente

Visión General:

En el escenario ideal, el CISO proporciona un aviso de 3-6 meses, permitiendo una transición planificada y cooperativa. Esta situación refleja el profesionalismo y la previsión que muchos se esfuerzan por mantener en este rol.

Mejores Prácticas

1. **Desarrollar un Plan de Transición:** Desarrollar un plan claro con hitos para la transferencia de conocimiento, revocación de accesos y la incorporación del sucesor al CISO. Involucrar a las partes interesadas clave para abordar proactivamente las posibles interrupciones. El rol del CISO típicamente se extiende a través del negocio, el equipo ejecutivo y la junta directiva.

2. **Facilitar la Transferencia de Conocimiento:** Documentar proyectos en curso, historial de incidentes y relaciones con proveedores para asegurar la continuidad. Realizar reuniones de información para capturar el conocimiento institucional crítico.

3. **Mantener un Ojo en el Cumplimiento y las Regulaciones:** El rol del CISO es típicamente el pináculo del acceso privilegiado. Cuando el CISO se va, puede estar seguro de que los auditores y reguladores examinarán minuciosamente los pasos tomados para gestionar esta transición. Documentar cada decisión y paso que la empresa tome como parte de esta transición. Las empresas públicas deben prestar especial atención a las regulaciones SEC 17 CFR recientemente promulgadas. Por ejemplo, aunque la transición no es técnicamente una amenaza de ciberseguridad, es indiscutiblemente un riesgo material y puede afectar materialmente la estrategia comercial, los resultados de operaciones o la condición financiera.

4. **Incorporación del Sucesor:** Idealmente, el CISO entrante debería superponerse con el CISO en transición tanto como sea posible para garantizar una continuidad de liderazgo sin problemas. El CISO saliente debe presentar al sucesor a los reguladores, proveedores y partes interesadas clave. Si esto no es posible, el liderazgo de la empresa debe presentar al sucesor. No es una buena idea dejar que las partes interesadas descubran el cambio de forma independiente.

5. **Involucrar al CISO Saliente en la Comunicación (Cuando Sea Posible):** Trabajar en colaboración para elaborar comunicaciones internas y externas que aseguren a los empleados, partes interesadas y socios sobre la continuidad y estabilidad.

Paquete de indemnización recomendado

  • Compensación: Equivalente a 3-6 meses de salario.
  • Continuación de Beneficios: Atención médica y contribuciones de jubilación durante el período de indemnización.
  • Bonos: Pago de bonos ganados o diferidos.
  • Protecciones Legales: Indemnización y cobertura extendida de seguro D&O o E&O.

Fundamento del Paquete de Indemnización

– Este paquete refleja el valor de las contribuciones del CISO mientras fomenta la buena voluntad.

– Fomenta la cooperación total durante la transición y la disponibilidad post-salida para consultas.

– Los términos generosos reducen la probabilidad de disputas y fortalecen los acuerdos de confidencialidad y no difamación.

Escenario 2 – Menos que Ideal: Separación Amistosa con Aviso Corto pero Razonable (2-4 Semanas)

### Visión General:

Este escenario involucra un cronograma comprimido, donde el CISO o la organización da a la otra parte un aviso de 2-4 semanas. Si bien esta situación sigue siendo amistosa, desafía a ambas partes a gestionar una transición suave bajo restricciones de tiempo.

Mejores Prácticas

1. **Priorizar la Transferencia de Conocimiento:** Enfocarse en tareas y elementos de alta prioridad como planes de respuesta a incidentes e iniciativas de seguridad en curso. Despejar la agenda para que el CISO saliente pueda concentrarse en la transferencia de conocimiento. No asignarles nuevas tareas que puedan desviar su enfoque. Asegurar que el personal relevante de la empresa facilite la transferencia de conocimiento. No hacerlo puede resultar en que el CISO saliente descuide pasos que considera conocimiento común o simplemente olvide incluir temas no documentados en otros lugares.

2. **Reforzar los Controles de Seguridad:** La empresa debe realizar una auditoría inmediata de accesos y revocar privilegios no esenciales. La empresa debe asignar un CISO interino adecuado si no hay un sucesor listo. Como se mencionó en el Escenario 1, mantener el cumplimiento, especialmente en un cronograma abreviado, es crucial.

3. **Acelerar la Planificación de Sucesión:** Acelerar el proceso de contratación mientras se asegura la estabilidad a través de arreglos interinos. Considerar el uso de servicios vCISO como puente hasta que la empresa encuentre, contrate e incorpore a un sucesor adecuado.

4. **Colaborar en la Comunicación:** Crear comunicaciones claras y concisas que aseguren a las audiencias internas y externas.

5. **Probar y Actualizar Procesos Críticos Donde el CISO Juega un Rol Clave:** Asegurar que los planes de Continuidad del Negocio y Recuperación ante Desastres estén actualizados para reflejar la estructura interina. Probar los planes para asegurar su efectividad. Validar que el Plan de Respuesta a Incidentes de la empresa también esté actualizado. Realizar un ejercicio de simulación para asegurar líneas claras de comunicación.

Paquete de Indemnización Recomendado

– **Compensación:** Equivalente a 4-6 meses de salario.

– **Continuación de Beneficios:** Beneficios extendidos de atención médica y jubilación.

– **Bonos:** Pago de bonos ganados o diferidos.

– **Protecciones Legales:** Indemnización, cobertura de seguro y cláusulas mutuas de no difamación.

Fundamento del Paquete de Indemnización

– Una indemnización más significativa reconoce los desafíos de un cronograma comprimido.

– Incentiva la cooperación total y asegura la disponibilidad post-salida para necesidades urgentes.

– La equidad en la compensación refuerza la confianza y mejora la reputación de la organización.

Escenario 3 – Circunstancias Negativas: Separación Confrontacional con Aviso Limitado o Sin Aviso

Visión General del Escenario

En escenarios confrontacionales, la relación entre el CISO y la organización se deteriora, resultando en una terminación repentina con menos de una semana de aviso. Estas situaciones son inherentemente de alto riesgo y requieren acción rápida y decisiva.

Mejores Prácticas

1. **Acciones Inmediatas de Seguridad:** Para mitigar las amenazas internas, especialmente el acceso privilegiado, revocar todo acceso dentro de las 24 horas. Monitorear la actividad en línea del CISO saliente en busca de anomalías o actividad no autorizada. Considerar si este evento se eleva al nivel de un incidente de seguridad y actuar en consecuencia. Esta consideración es crucial para las empresas públicas.

2. **Preservación del Conocimiento:** Antes de la salida, capturar tanta documentación crítica como sea posible. Involucrar al personal senior para llenar los vacíos. Dependiendo de la estructura del grupo de seguridad, puede ser preferible aprovechar recursos fuera del grupo de seguridad.

3. **Manejar la Comunicación con Cuidado:** Si la colaboración es factible, involucrar al CISO en la comunicación para mantener el profesionalismo. Si no, asegurar que todas las comunicaciones sean neutrales y centradas en la continuidad.

4. **Gestión de Crisis:** Tranquilizar a los empleados internamente y gestionar la confianza de las partes interesadas externamente.

Paquete de Indemnización Recomendado

– **Compensación:** Equivalente a 6-12 meses de salario.

– **Continuación de Beneficios:** Contribuciones extendidas de atención médica y jubilación.

– **Bonos:** Pago de bonos ganados o diferidos.

– **Protecciones Legales:** Indemnización, seguro D&O o E&O extendido y acuerdos de confidencialidad.

Fundamento del Paquete de Indemnización

– Un paquete generoso puede ayudar a desescalar tensiones y reducir la probabilidad de acciones de represalia o disputas legales de cualquiera de las partes.

– Puede ayudar a asegurar la cooperación para necesidades post-salida, como consultas regulatorias, brechas de conocimiento o proyectos no resueltos.

– Demuestra profesionalismo y preserva la reputación de la organización, incluso en circunstancias desafiantes.

Conclusión

La falta de mejores prácticas para una transición de CISO representa un riesgo significativo. Ya sea que la separación sea amistosa o confrontacional, un enfoque reflexivo que incluya planes claros, paquetes de indemnización justos y comunicación profesional puede asegurar una transición suave para la organización, el CISO saliente y su sucesor entrante. Considerando el artículo «La Gran Renuncia de CISO» de Rick Crandall del Centro Nacional de Ciberseguridad (NCC), es probable que estas transiciones aumenten en frecuencia.

Las mejores prácticas que sugerí en este artículo pueden ayudar a mitigar riesgos y reforzar la confianza, el respeto y el profesionalismo—cualidades que definen cualquier transición de liderazgo exitosa. Al abordar estas brechas, las organizaciones pueden prepararse mejor para los inevitables cambios de liderazgo y asegurar la seguridad y estabilidad.

Enlace al articulo original

Zi zoom

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.