Ser jefe de seguridad de la información (CISO, por sus siglas en inglés) en una organización se ha convertido en uno de los puestos más estresantes debido a la tensión a la que son sometidos. Un error en otras áreas puede ser mitigado con relativa facilidad; una equivocación del responsable de seguridad informática, en cambio, se puede traducir en un coste de varios millones y una pérdida reputacional difícil de paliar.

Aunque es cierto que los estudios realizados por empresas suelen arrimar el ascua a su sardina, no puede obviarse el retrato de la realidad que proporcionan. De este modo, un reciente estudio realizado por la empresa de seguridad Cynet revelaba que el 94% de los CISO sufre estrés y, lo que es todavía peor, un 65% admitió que dicha tensión provocada por el trabajo está afectando negativamente a su capacidad para proteger a su organización. Esta tensión, en opinión de los afectados, es superior a la que se vive en otros departamentos, tal y como indica un 70%. A fin de cuentas, las expectativas en torno a esta figura son las más elevadas, pues de ella se espera que siempre esté disponible y, además, que sea capaz de detener todas las amenazas, algo que en ambos casos es imposible.

Algunas de las cifras del informe avalan estas afirmaciones: un 84% de los CISO afirma haber pospuesto o cancelado unas vacaciones debido a una incidencia de seguridad urgente... y esto no es un caso aislado para un 11%, que asegura que en el último año sucedió cuatro o más veces. Así las cosas, el 77% de los responsables confiesa que esta situación está afectando a su salud física.

Existen multitud de testimonios y estudios que exponen con crudeza esta realidad. DeepInstinct recoge testimonios de responsables de EEUU, Alemania, Francia y Reino Unido y, precisamente de este último país, uno de los CISO destaca que algunas personas en su equipo trabajan en ocasiones de 16 a 18 horas al día.

A la extraordinaria avalancha de amenazas que sufren las empresas se suma la poca ayuda que los CISO encuentran en los y las trabajadoras, que se han convertido en el punto de mayor vulnerabilidad de la organización. El teletrabajo no ha ayudado a aliviar esa tensión y, de hecho, según DeepInstinct, el 52% lo considera el principal motivo de estrés. En esa línea, otro informe de la consultora independiente Gartner señala que el 69 % de los empleados y empleadas ha pasado por alto la guía de seguridad cibernética de su organización en los últimos doce meses. Ya no es sólo que lo haga por descuido o desconocimiento, sino que tres cuartas partes sostiene que la obviaría premeditadamente si al hacerlo pudiera conseguir un objetivo comercial.

Los cambios organizativos y operativos que traen consigo los procesos de transformación digital (51%) y las amenazas crecientes de ransomware (48%) son otros de los principales motivos del origen del estrés de los CISO. La conclusión unánime (100%) por parte de los responsables de seguridad es que precisan más recursos. Y un abultado 93% coincide a la hora de lamentar que dedican demasiado tiempo a tareas tácticas en lugar de realizar un trabajo más estratégico que aporte más valor añadido a su empresa.

La tensión que se genera en estos departamentos no sólo pasa factura a la seguridad de las empresas, sino que agrava el problema de la falta de profesionales cualificados, pues el estrés se cobra víctimas en forma de divisiones o bajas. Alrededor de un 74% de los encuestados por Cynet asegura que pierden a miembros del equipo por problemas de estrés y prácticamente la mitad de la muestra señaló que en los últimos doce meses ha dimitido más de un compañero. En esta misma línea, Gartner prevé que para 2025 prácticamente la mitad de los responsables de ciberseguridad cambiará de trabajo y un 25% se deberá exclusivamente al estrés al que están sometidos.