Cómo los antecedentes profesionales no convencionales pueden …


Superar la brecha de habilidades de ciberseguridad requiere creatividad, flexibilidad y una buena disposición para «desviarse» cuando se trata de elegir candidatos.

Si profundiza en las listas de muchos equipos exitosos de ciberseguridad, ya sean organizaciones empresariales, proveedores o proveedores de servicios, la mayoría de las veces encontrará algunas historias profesionales sorprendentes. Los antecedentes no convencionales surgen más de lo que piensas: especialidades en humanidades, ex cooks, bailarines, abogados, policías y muchos otros en el medio.

Y si le pregunta a los gerentes de seguridad veteranos acerca de sus empleados menos tradicionales, a menudo le dirán que muchos de ellos son algunos de sus mejores empleados. De hecho, contratar personalized de seguridad no tradicional no es un juego de desesperación para ellos, sino más bien una estrategia de fortaleza.

«Una de las cosas más importantes que considero al contratar talentos es reunir una diversidad de perspectivas» escribió Geoff Belknap, CISO de LinkedIn. «Muchos tipos diferentes de personas interactúan a diario con los productos que estamos trabajando para asegurar, lo que significa que nuestro equipo necesita poder comprender y considerar las necesidades, los hábitos de trabajo y los desafíos desde varios puntos de vista».

Después de formar equipos de seguridad en varias compañías, Belknap ha aprendido a evitar crear un equipo con educación y experiencia en ciberseguridad idénticas.

«Quiero expertos en inglés y químicos y expertos en economía que puedan unirse para ayudar a resolver estos problemas difíciles, cada uno aportando su entrenamiento único, diversidad de pensamiento y formas de abordar los problemas en la mezcla», dijo.

Caminando el paseo
Es el viejo escenario de cuando la única herramienta que tienes es un martillo, entonces cada problema parece un clavo, dice Christopher Emerson, CEO de White Oak Protection, una consultora de seguridad especializada en pruebas de penetración y equipo rojo.

«Más experiencias proporcionan más herramientas», dice Emerson, quien abre su reclutamiento a candidatos de seguridad no tradicionales. Su mente abierta proviene de ser una de esas personas.

Emerson, un ex bailarín de ballet profesional, se reinventó hace muchos años después de la naturaleza tóxica de su primera profesión.

«Encontré que el ballet era un pasatiempo mejor que una carrera para mí», dice. «Nuestro liderazgo se centró más en llamar la atención sobre nuestros defectos y fallas que en reconocer nuestro buen trabajo. Los saltos podrían ser más altos, las posiciones de las manos podrían ser más nítidas, los giros podrían ser más suaves. Terminó siendo un sentimiento muy negativo. no ayudó que tuviera que trabajar dos trabajos adicionales solo para cubrir la mitad de mi renta «.

Y así regresó a la escuela y obtuvo un título en métodos cuantitativos y ciencias de la computación. Aún así, incluso entonces no tenía mucha experiencia ofensiva en seguridad, pero pudo lograr que una empresa nearby de CPA se arriesgara contratándolo como un probador de pen junior para su grupo de consultoría de seguridad. Eso fue hace 14 años, y desde entonces ha desarrollado sus habilidades profesionales y su propio negocio. A pesar de todo, su experiencia de primera mano como profesional y como gerente de contratación lo ha llevado a la conclusión de que tener una gran variedad de experiencias hace que sea más fácil para los candidatos abordar los problemas de seguridad.

Esa amplitud es importante porque infosec es un campo tan interdisciplinario, dice Ryan Cobb, consultor senior en investigación de seguridad de la información en Secureworks. Ya sea que alguien trabaje como investigador, investigador o consultor, hay muchos requisitos para que los candidatos tengan afinidad no solo por la tecnología, sino también por la psicología criminal, la política, el comportamiento humano y el pensamiento crítico, sin mencionar la comunicación.

«Si elimina las tecnologías específicas, los investigadores y consultores requieren fuertes habilidades de pensamiento crítico, lectura, escritura y comunicación», dice Cobb, quien se especializó en filosofía y estudió historia del arte. Los requisitos de escritura de esa vida pasada demostraron ser invaluables cuando se convirtió en forense digital en la escuela de posgrado y más allá, dice.

«Necesitaba esas habilidades para explicar temas técnicos complejos en lenguaje pure, especialmente cuando revisaba mis informes de investigación con abogados», dice Cobb. «A medida que crecí en un rol de investigación, me encontré apoyándome en conceptos filosóficos, como ontología y epistemología, para guiar y organizar mi investigación. Había completado el ciclo de mi carrera».

Se busca: habilidades suaves
Ahora que está haciendo la contratación, Cobb descubre que considerar a los candidatos no tradicionales no es solo una cuestión de agregar nuevas perspectivas o ampliar el grupo de candidatos, sino también llenar el vacío más agudo en el conjunto de habilidades de ciberseguridad: habilidades blandas.

«Cuando estoy contratando nuevos analistas de infosec, no son las habilidades técnicas las que escasean, sino el pensamiento crítico y las habilidades sociales que son raras», explica Cobb.

Muchas veces esas habilidades blandas son funciones de rasgos o instintos innatos en lugar de habilidades técnicas entrenables. Por ejemplo, los gerentes de contratación de seguridad a menudo denominan empatía como un rasgo no negociable para los candidatos.

«Los profesionales de seguridad deben comprender que diferentes equipos de ingenieros, desarrollo y productos tienen diferentes requisitos en su tiempo, y no siempre tienen la guía o las herramientas para implementar soluciones seguras», dice Emerson de White Oak Safety, quien cree que la empatía es crucial. . «Comprender que es clave para trabajar con esos equipos»

Sin embargo, podría decirse que la empatía es casi imposible de aprender, mientras que es relativamente uncomplicated enseñarle a alguien los entresijos de un marco o herramienta técnica. Lo mismo ocurre con la creatividad y el impulso de aprender. Aquí es donde realmente brillan las ventajas de los candidatos no convencionales.

«Las personas que trabajan bien con los demás, aprenden rápidamente y poseen una mentalidad proactiva hacia el trabajo pueden ser excelentes empleados, incluso cuando provienen de un entorno no tradicional», dice Nick Tausek, ingeniero de investigación de seguridad en Swimlane.

A Tausek le gusta mirar más allá de los fondos STEM para la contratación. Por ejemplo, dice que muchos grandes analistas de seguridad provienen de campos que pueden no requerir conocimientos técnicos, pero que enseñan o aprovechan fuertes habilidades de investigación y documentación, como el trabajo policial o el periodismo.

«(Ellos) pueden ponerse al día con las partes técnicas del trabajo si ya tienen un marco psychological para la investigación y el análisis, junto con la agilidad psychological para llegar a buenas conclusiones sobre evidencia incompleta», dice Tausek.

El «cómo» detrás de la contratación
Si todo esto suena bien y bien, pero se pregunta cómo puede atraer o incluso evaluar a estos candidatos de seguridad no tradicionales, los expertos dicen que no hay una fórmula mágica. Se necesita mucho trabajo preliminar, comenzando por hacer explotar por completo cómo una organización de seguridad escribe sus requisitos de trabajo y anuncia los puestos vacantes.

«Con demasiada frecuencia, las personas se desaniman por los requisitos que enumeran criterios técnicos integrales o calificaciones de la industria, por lo que obtener un grupo diverso de solicitantes es un paso inicial importante», dice Annabel Jamieson Edwards, gerente de Accenture Safety.

A partir de ahí, las organizaciones deberán ser creativas sobre cómo evalúan a los candidatos no tradicionales. Por ejemplo, al buscar analistas, los métodos creativos pueden incluir pruebas de resolución de problemas, ejercicios de redacción técnica y otras pruebas que pueden requerir que el candidato aprenda una nueva habilidad técnica y la use para resolver un problema, documentando el proceso en el camino , Dice Tausek.

«Incluso si el intento falla, comprender qué tan bien y de qué manera aprende el candidato puede proporcionar una plan de si esa persona tiene el potencial de ser un buen analista», dice.

Mientras tanto, la evaluación de un consultor de seguridad debería centrarse más en sus habilidades de coordinación o comunicación, dice Jamieson Edwards.

«Evaluar a los trabajadores de seguridad no tradicionales en sus habilidades interpersonales y conceptuales le daría una buena indicación de qué tan bien un candidato se adaptaría a su entorno profesional», dice ella.

Si eso parece que tomará mucho trabajo, es porque lo hará, dice Tausek. Agregará más complejidad para RR.HH. y tomará más participación práctica de los gerentes de contratación de seguridad. Pero esto es lo que se necesita para encontrar los candidatos verdaderamente buenos, sin importar sus antecedentes.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Ericka Chickowski se especializa en cobertura de tecnología de la información e innovación empresarial. Se ha centrado en la seguridad de la información durante la mayor parte de una década y escribe regularmente sobre la industria de la seguridad como colaboradora de Dark Reading. Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia original