Guerra a los jefes de ciberseguridad tóxicos; cómo ser un mejor CISO
Hay jefes horribles en todas partes, pero la ciberseguridad parece ser particularmente problemática, lo que genera problemas de retención de talentos y vulnerabilidades.
No fue solo una cosa la que hizo que Keith, un profesional de la ciberseguridad de unos 40 años en Nueva York, renunciara a su trabajo. “Hasta cierto punto, fue realmente la microgestión. Y las malas palabras utilizadas en un entorno de oficina”, recuerda este hombre bajo seudónimo, que ha estado en la industria más de una década. Describe a su exCISO, quien criticó todo tan implacablemente que Keith revisaba cada correo electrónico cuatro veces antes de enviar. “Degradar verbalmente a la gente fue innecesario. Y se dirigía a miembros individuales del equipo, con acusaciones del tipo ‘tú eres la causa de esto”.
Además, cuando expresó su deseo de aprender algo nuevo, su CISO le espetaba: “¿Por qué pierdes el tiempo?” Además, este jefe también era divisivo, y asignaba proyectos secretos a algunos compañeros mientras mantenía a otros en el ostracismo. “Es como si fuéramos parte del mismo equipo pero sintiéndote aislado. Todos teníamos ese sentimiento”.
¿Por qué la ciberseguridad es particularmente propensa a tener jefes tóxicos?
Aunque existen jefes malos en todas las industrias, la ciberseguridad tiene un problema particular con la cultura laboral tóxica, según Jinan Budge, analista principal de Forrester Research. Además de presenciar malas palabras, lágrimas y “sillas arrojadas por la habitación” durante sus 25 años de carrera, ha cubierto ampliamente este ámbito de investigación para la consultora. Según su análisis, atribuye esta omnipresencia a varias causas.
La ciberseguridad sigue siendo una profesión relativamente nueva que ha luchado por ser escuchada y respetada, dice, lo que lleva a algunos profesionales a sentirse inseguros y sobrecompensar. La analista cree que la seguridad se ve muchas veces dentro de la empresa como un “impuesto” que socava la moral de los equipos y sus líderes. Y estos departamentos son mucho más pequeños que otros y, por lo tanto, trabajan más estrechamente con sus jefes, por lo que soportan la peor parte de las frustraciones de los CISO de manera más directa e inmediata. “En ciberseguridad, la alfabetización emocional no es algo que prioricemos, ni las habilidades de liderazgo. Habilidades técnicas, por supuesto. ¿Pero las personas? ¿Qué es eso?”
El liderazgo tóxico aliena y desalienta al talento
El precio final del comportamiento inadecuado de un líder es desalentar al talento y reducir las eficiencias, citan los expertos. Varios estudios han documentado el impacto negativo de la falta de civismo en el lugar de trabajo sobre la productividad, la contratación y la retención. De hecho, algo más del 60% asegura que sus niveles de estrés han aumentado con respecto al año anterior y que su mala salud mental afecta a su capacidad para realizar el trabajo.
Otro informe de MIT Sloan (sobre varias industrias, no exclusivamente la cibernética), concluye que “una cultura tóxica es el predictor más fuerte de una revisión negativa y el mejor indicador para que una empresa experimente un mayor desgaste de empleados en comparación con su sector”.
Keith finalmente se convirtió en una víctima. El comportamiento de su jefe, que a veces le parecía “engañoso” y “aterrador” lo derribaba: “Era denigrante. Por mucho esfuerzo y tiempo que pusiese en todo el tiempo, nunca fue suficiente”. Keith estaba consumido por el estrés laboral, incluso en su vida familiar. “Estaba un poco deprimido”. De hecho, cuando un miembro de su familia tuvo un problema de salud no relacionado, cogió una baja como excusa “simplemente para no estar allí”.
Keith dejó la empresa en 2023. Se aseguró de conseguir antes otro trabajo en ciberseguridad, que actualmente le encanta. Lo más valioso que se llevó de la experiencia fue darse cuenta de que prefería aceptar un recorte salarial de hasta el 30% que volver a trabajar para este tipo de ejecutivo.
¿Algunos jefes apoyan el mal comportamiento?
Aunque la mayoría de los CISO tratan a sus empleados de manera justa, los CISO son seres humanos, con todas las debilidades, peculiaridades e imperfecciones de la condición humana. Pero su posible mal comportamiento expone a sus propias organizaciones a enormes riesgos.
Geoff Hancock estaba tan perturbado por lo que escuchó de algunos compañeros CISO en septiembre de 2023 que se sintió obligado a abordarlo en LinkedIn. Hancock, un veterano de la ciberseguridad con casi 30 años de experiencia, acababa de asistir a varias reuniones con otros ejecutivos de negocios y de ciberseguridad en su papel de director ejecutivo adjunto y CISO global en Access Point Consulting.
"Un tema en el que dedicamos tiempo fue el liderazgo bueno versus el malo", escribió Hancock días después en LinkedIn. “Me sorprendió que varios ejecutivos experimentados apoyaran el mal comportamiento para hacer las cosas. Como líder, no puedo apoyar el mal comportamiento por ningún motivo (liderazgo tóxico). Tal vez simplemente estoy pasado de moda. O como me dijeron, 'tal vez no estás aceptando las realidades de hoy', sea lo que sea que eso signifique”.
Hancock estima que algunos de los comportamientos sancionados por esos CISO incluían robar las ideas de los empleados y presentarlas como propias, manipular situaciones para hacer que ciertas personas se vieran mejor que otras, mentir sobre la reputación o el comportamiento de otros y "ser el guardián de todos".
Los CISO tóxicos son un riesgo para la seguridad
Dado el peligroso entorno de seguridad actual (los piratas informáticos despiadados, las amenazas basadas en inteligencia artificial, los cambios en el cumplimiento legislativo y las crecientes preocupaciones sobre la responsabilidad), es fácil ver por qué algunos CISO pueden ocasionalmente perder la calma en el trabajo, como puede atestiguar Hancock. “En cibernética, [hay] regulaciones, estoy tratando con gente legal y el FBI, tal vez estoy lidiando con una infracción. Hay tantas cosas diferentes por las que puede pasar un CISO en una semana”, afirma.
Budge sostiene que aquellos que denigran constantemente a su personal en realidad están exponiendo a sus organizaciones a un riesgo tremendo. “Cuando la gente está tan ocupada peleando, llorando y quejándose unos de otros, el trabajo no se está haciendo. Y ese trabajo es la ciberseguridad para la organización... entonces, para mí, esta toxicidad es un riesgo cibernético bastante importante. También afecta nuestra capacidad para atraer y retener talento, que tanto se necesita en ciberseguridad”, afirma.
Cómo no ser un CISO tóxico
Uno de los desafíos más espinosos de un CISO tóxico es que la persona que causa el problema también es la que está a cargo, lo que lo hace susceptible a puntos ciegos sobre su propio comportamiento. Nicole L. Turner, especialista en cultura laboral y coaching de liderazgo, observó de cerca este tipo de miopía cuando un alto ejecutivo (en un puesto no relacionado con la seguridad) la contrató recientemente para impartir capacitación en liderazgo a los jefes de departamento de su compañía.
“Sintió que necesitaban capacitación porque podía darse cuenta de que les estaban pasando algunas cosas, que estaban agotados y abrumados. Pero mientras los entreno, noto estas conversaciones laterales [entre su personal] de que él era el problema, más que el trabajo en sí. Fue algo tan irónico que él no lo sabía”, relata Turner, propietaria y directora cultural de Nicole L. Turner Consulting.
También hay algo de verdad en el dicho de que uno se siente solo en la cima, especialmente en un entorno corporativo hipercompetitivo. "[Los CISO] no tienen adónde acudir para desahogarse emocionalmente", dice Turner. “Como son ejecutivos, no se sienten cómodos acudiendo a sus pares cuando tienen dificultades o puntos débiles porque a menudo no saben en quién pueden confiar. Y no pueden acudir al [CEO] porque piensan que 'eso va a afectar mi desempeño'”.
Turner ve a los CISO tóxicos como sintomáticos de un problema más amplio en todas las industrias: organizaciones que promueven a personas con experiencia en un dominio específico a puestos ejecutivos, sin garantizar que posean habilidades de liderazgo más amplias, como comunicación e inteligencia emocional.
“Se trata más de empoderar, inspirar y motivar a sus empleados. Pero las organizaciones no ven el liderazgo de esa manera y no desarrollan a sus líderes de esa manera”, señala Turner.
