Aunque el 76% de los Chief Information Security Officers (CISOs) en España considera tener los conocimientos metodológicos y técnicos adecuados para adaptarse a sus responsabilidades y para poder enfrentarse a las nuevas ciberamenazas que surgen constantemente, cada vez más sofisticadas, la mayoría vive en una sensación continua de alerta e incapacidad para desconectar y el 42% está más o menos desanimado por el aumento en la frecuencia y el impacto de los ciberataques. Este porcentaje se eleva hasta el 48% si nos referimos al sentimiento de frustración al no poder defenderse y, además, el 61% teme perder su puesto de trabajo tras una crisis relacionada con la ciberseguridad
Así lo pone de manifiesto un estudio realizado por Advens, en colaboración con ISMS Forum, en el que han querido analizar el nivel de estrés que tienen los CISOs para ver si son capaces de lograr la serenidad dentro de una profesión como la suya, en contante cambio y bajo la presión del creciente riesgo a ser víctima de ciberataques. La conclusión que arroja es preocupante, ya que casi cuatro de cada diez CISOs (el 39%) están en una situación crítica en relación con su salud físico-mental y tiene un malestar general que deriva en riesgos de amenaza y situaciones constantes de impotencia.
El análisis de la situación en la que se encuentran los CISOs se ha elaborado a partir de una encuesta en la que han participado más de 80 responsables de seguridad de España, que cubren todos los sectores de actividad y tamaños de empresas. El cuestionario consta de un total de 32 preguntas, las cuales se dividen en dos conjuntos distintos: uno para analizar el nivel de estrés al que están sometidos y otro para comprender los detalles que podrían desencadenarlo. Para llevarlo a cabo, se ha partido del modelo de la Escala de Estrés Percibido (PSS), que tiene como objetivo evaluar el grado en que los encuestados sienten que sus vidas son impredecibles, incontrolables y sobrecargadas, y que permite evaluar de forma global si una persona se siente o no capacitada para afrontar acontecimientos o momentos complicados.
La mayoría de los CISOs encuestados se encuentra en la zona de riesgo
La puntuación media de las preguntas formuladas mediante el método PSS se clasifica en tres franjas de colores en función del grado de riesgo que implica hallarse en cada una de ellas. La verde, entre 0 y 16 de puntuación, conlleva situaciones de calma o estrés estimulante. La naranja, en la que se sitúa la media de las respuestas (19,34 puntos), abarca desde los 16 hasta los 22, lo que desemboca en sentimientos ocasionales de impotencia que conducen a alteraciones emocionales. En definitiva, estamos ante una cifra cercana a la zona de riesgo para la salud física y mental, situada en números superiores a 22 y señalizada en rojo.
Según advierten Advens e ISMS Forum, los resultados reflejan que los CISOs se encuentran bajo unos niveles de estrés que deben vigilarse y que los profesionales de la salud también tendrían que abordar con más profundidad. Y es que los encuestados representados en el área roja simbolizan el porcentaje más alto (39%), lo que equivale a 32 CISOs, frente al 30% (25 CISOs) que se encuentran tanto en la zona naranja como en la zona verde, en la que existe un estrés estimulante, no nocivo y "saludable".
Factores que contribuyen al estrés
Una vez realizado el diagnóstico sobre el nivel de estrés que experimentan los CISOs, el estudio ha tratado de encontrar los factores específicos del entorno de la ciberseguridad que contribuyen a este estrés. En esta línea, ha concluido que los criterios que más fomentan la aparición del estrés entre los CISOs de España son el alto nivel de incertidumbre y la exposición a lo desconocido, el contexto de combate y adversidad, y la gestión de crisis.
En esta línea, Advens e ISMS Forum subrayan que los CISOs se enfrentan a adversarios externos que se aprovechan del factor humano, los empleados, como uno de los eslabones más débiles en la cadena de la ciberseguridad, lo que los lleva a ejercer el papel de un luchador de una "lucha asimétrica con un poder de ataque muy superior a la capacidad de defensa de una organización". Por otro lado, resaltan que la incertidumbre es constante sobre el momento y la forma del próximo ciberincidente, lo que obliga a los CISOs a estar preparados ante cualquier eventualidad, ya que nunca puede considerar una protección total.
"Todo ello, en ocasiones, conlleva una gestión de crisis que requiere un alto nivel de disponibilidad y exige una toma de decisiones bajo presión, que en ocasiones afecta a la salud físico mental de estos profesionales".
Recomendaciones
El estudio también incorpora una serie de recomendaciones con doble función: continuar con la concienciación y el reconocimiento del problema, y elaborar y poner en marcha una serie de prácticas para reducir el estrés.
Dentro de estas prácticas, se proponen cuatro vías que serán trabajadas por Advens e ISMS Forum e implican el desarrollo de: seminarios web sobre resiliencia al estrés; talleres en profundidad para trabajar con grupos más pequeños; seminarios presenciales orientados a sensibilizar e integrar a las profesiones de ciberseguridad en el pensamiento y el continuo trabajo sobre la gestión del estrés; retratos de CISOs que completen la visión de la profesión acercando las experiencias de las personas que la ejercen a diario, en toda su complejidad y sutileza. "Estos retratos individuales, además de la encuesta estadística general, sin duda arrojarán luz sobre los pequeños datos, los cuales pueden resultar interesantes para médicos e investigadores, con el fin de identificar situaciones y escenarios atípicos e interesantes que los promedios probablemente pasarán por alto. Por supuesto, no solo se centrarán en el estrés, sino en el hecho de que esta dimensión estará inevitablemente presente", apunta el informe.