Los responsables de ciberseguridad, frente a la tormenta perfecta

Una tormenta perfecta en la que convergen regulación, amenazas crecientes y complejidad tecnológica está desbordando a los responsables de la toma de decisiones sobre seguridad.

Según revela una nueva investigación de Symantec, cuatro de cada cinco (82%) responsables de seguridad europeos confiesan sentirse “quemados” o exhaustos, mientras que dos tercios (63%) están pensando en dejar la industria o cambiar de trabajo (64%).

Con entrevistas a 3.045 responsables de la toma de decisiones en ciberseguridad de Francia, Alemania y Reino Unido, la investigación -llevada a cabo por Symantec en colaboración con el doctor Chris Brauer, Goldsmiths, Universidad de Londres- revela que existe una creciente presión sobre la profesión de la seguridad.

La principal fuente de estrés para los responsables de la ciberseguridad es la regulación gubernamental. Cuatro de cada cinco (86%) señalan que la creciente regulación, como el GDPR y la Directiva NIS, está incrementando esta presión. Dos de cada cinco (40%) reconocen que les preocupa que se les responsabilice personalmente de una fuga de datos. Más de la mitad (55%) temen ser despedidos si se produce una fuga bajo su supervisión. El personal insuficientemente cualificado (80%), el tamaño y complejidad de todo lo que deben proteger (82%) y el creciente volumen de amenazas (82%) contribuyen también significativamente a su estrés.

“El estrés impacta enormemente en nuestra capacidad para tomar buenas decisiones”, señala Chris Bauer, director de Innovación en Goldsmiths, Universidad de Londres. “Deteriora tu memoria, altera el pensamiento racional e influye negativamente en todas tus funciones cognitivas. En una industria como la ciberseguridad, que requiere foco, pensamiento creativo, atención a los detalles y decisiones racionales en escenarios de alta presión, el estrés puede ser paralizante. Los trabajadores con mucho estrés tienen más probabilidades de perder compromiso y vinculación con la empresa y, finalmente, dejar su trabajo. En una industria que sufre ya la falta de personal cualificado, este tipo de presión puede presentar un riesgo significativo”.

Alerta máxima

Irónicamente, los esfuerzos por proteger las empresas también están incrementando la presión:

• El 79% señala que gestionar “demasiados productos o marcas de ciberdefensa” está incrementando sus niveles de estrés.

• Dos tercios (68%) de los responsables de la toma de decisiones en ciberseguridad reconocen que se sienten “paralizados” por el abrumador volumen de alertas de amenazas.

• Un tercio (33%) asegura que las alertas de amenazas, diseñadas para mantener a salvo la empresa, están empeorando la situación debido a su altísimo volumen.

• Ante estas enormes cargas de trabajo, la mayoría de los profesionales de seguridad (67%) admite que sus equipos de ciberseguridad dejan sin hacer trabajo al final de la jornada, con alertas de amenazas que no han sido revisadas.

Este volumen está teniendo consecuencias en la seguridad de las empresas:

• El 41% considera ya que una brecha es inevitable.

• Un tercio (32%) reconoce que su organización es actualmente vulnerable frente a incidentes de ciberseguridad evitables.

• Una cuarta parte (26%) admite que ya han sufrido un incidente de ciberseguridad que podría haberse evitado.

“Para muchos CISOs, el trabajo nunca acaba”, señala Ramsés Gallego, Director, Security Strategies en Symantec. “El actual enfoque de ir poniendo parches a las herramientas y estrategias de seguridad está creando más problemas de los que resuelve. Hay tanto ruido cada día que es casi imposible averiguar lo que podría ser un falso positivo y lo que podría ser un signo de un sigiloso ataque dirigido. Mientras tanto, los solapamientos y huecos entre los sistemas defensivos ofrecen a los hackers nuevas oportunidades de explotación”.

El reto por delante

Dos tercios de los responsables de seguridad (65%) sienten que están “preparados para el fracaso”. Sin embargo, la desbordante carga de trabajo y la presión sobre ellos no parecen desalentarlos. La gran mayoría de los responsables de seguridad son adictos a la adrenalina y están completamente metidos en su trabajo, incluso cuando es estresante (92%). A nueve de cada diez les motivan las situaciones de alta presión, y el 92% asegura que encuentra emocionante su entorno de trabajo.

“Esta necesidad de presión es muy necesaria, puesto que los retos a los que se enfrentan los profesionales de ciberseguridad no harán más que crecer”, apunta Ramsés Gallego, Director, Security Strategies en Symantec.

Muchos se están enfrentando ya al ritmo de cambio y rápido crecimiento de los datos. Cuatro de cada cinco (82%) señalan que tener que proteger tantos datos, en tantos sitios diferentes, está haciendo su trabajo más estresante. Casi la mitad (45%) afirma que los cambios tecnológicos se están produciendo demasiado rápido para que sus equipos puedan adaptarse.

“Desde que internet comenzó a conectar ordenadores y sistemas, la ciberdefensa ha sido siempre un juego de reacciones”, añade Ramsés Gallego. “Con cada nueva tecnología llegan nuevas amenazas. Cada vez que surge un nuevo intento de explotación, se crea una nueva defensa. Las empresas y la industria de la ciberseguridad se han visto arrastradas por un juego cada vez más acelerado (como el clásico juego de Arcade que consistía en golpear topos con un mazo antes de que se volviesen a esconder) y en el que no dan abasto. Es el momento para que las organizaciones den un paso atrás y se planteen la ciberdefensa de una forma mucho más eficaz”.