El agotamiento del CISO está aumentando. ¿Somos simplemente más conscientes de la condición? ¿O han aumentado las exigencias sobre el CISO y el agotamiento es ahora el resultado inevitable?
Security Week, 3 de noviembre de 2025
En 2019, la Organización Mundial de la Salud definió el agotamiento como un fenómeno laboral más que como una condición médica. En 2025, esta condición no médica, inicialmente con los mismos síntomas que un mal dolor de cabeza (agotamiento, negativismo y eficacia reducida) se ha convertido en endémica dentro de la ciberseguridad, afectando tanto a los miembros del equipo como a los CISO.
Dos cosas están claras: en primer lugar, el agotamiento es muy diferente y más extremo que un dolor de cabeza, y aún no hemos aprendido adecuadamente a predecirlo, detectarlo y prevenirlo. En segundo lugar, el agotamiento no es una enfermedad, es el nombre que le hemos dado a los síntomas de una enfermedad no especificada (al igual que un dolor de cabeza es el síntoma visible de una enfermedad no especificada).
Claramente, necesitamos comprender la causa del agotamiento (la enfermedad subyacente) y su tratamiento para poder detectar, prevenir y mejorar el efecto altamente perjudicial que tiene en quienes lo padecen y en su trabajo.
Causa del agotamiento
El rol del CISO ha evolucionado hasta convertirse en el Director de Crisis. Las crisis siguen llegando desde múltiples direcciones y fuentes aparentemente infinitas y, a menudo, desconocidas, y todas esas crisis deben resolverse. Pero siempre e inmediatamente está la siguiente. El requisito de obtener y mantener la ciberseguridad es, en última instancia, interminable e inútil. Es un trabajo de estrés continuo e interminable, salpicado de períodos de estrés extremo, a cualquier hora del día o de la noche, cualquier día de la semana.
Empeora por el problema, a menudo citado, de la rendición de cuentas sin responsabilidad. Los CISO son responsables de la postura de seguridad, la preparación y la respuesta de toda la organización cuando se enfrenta a una crisis cibernética. Pero no tienen autoridad para garantizar que todos, en toda la organización, realmente hagan lo que se supone que deben hacer. Los CISO son responsables de lo que sucede, pero no responsables de ello.
“Es como el Control de Misión en un vuelo espacial”, sugiere Jim Wetekamp (CEO de Riskonnect). “El Control de Misión no fue responsable de construir la nave (la empresa), no entrenó a los astronautas (los empleados de la empresa que conducen la nave) y no planificó el viaje (los objetivos corporativos). Simplemente ejecutan en el momento, en todas esas diferentes funciones, teniendo que confiar en que todas las diferentes piezas funcionen”.
Otros ejecutivos de la empresa tienen mucha más autoridad en las áreas más limitadas de las que son responsables.
Lea el artículo completo en Security Week.
