No tiene que ser …



Una vez que queda claro que los expertos estándar no son realistas a escala, cultivar el talento de nivel de entrada surge como la única solución a largo plazo, no solo para una organización de contratación sino para el campo en common.

La brecha de habilidades en ciberseguridad se ha convertido en un lamento ineludible. Esta es la strategy común de que tanto la calidad como la cantidad de candidatos están por debajo de lo que la industria necesita para cumplir su misión. Normalmente lo ves enmarcado en términos de X cantidad de puestos vacantes, o con una cita de un CISO exasperado de que sus nuevos empleados no están listos para rockear. Las ramificaciones de esta brecha a menudo parecen ser muy graves: infraestructura crítica amenazada, vidas perdidas, propiedad intelectual robada, ventajas geopolíticas desperdiciadas y no-alguien-por-favor-pensar-en-los-niños?

Sin duda, existen problemas relacionados con el individual de seguridad y las trayectorias profesionales. Sin embargo, esta brecha de habilidades a menudo se presenta como una crítica por parte de las organizaciones que contratan tanto a la capacitación en seguridad como a la capacidad intelectual de los candidatos, y no cuadra. Las organizaciones de contratación están planteando este problema de manera incorrecta y contribuyendo al problema ellos mismos.

Buscando lo incorrecto
El problema más obvio con la contratación de seguridad es que prácticamente no hay planta baja. Constantemente vemos ofertas de trabajo para puestos de nivel de entrada que esperan cinco años de experiencia o experiencia práctica con costosas herramientas empresariales. Todo el mundo espera que alguien más se dedique al trabajo de enseñar a los candidatos cómo hacerlo, pero nadie quiere pagar por la experiencia que exigen. En cambio, desesperados por encontrar buenas personas, muchos directores recurren a soluciones de proveedores, lo que solo amplía la brecha. Este cebo y cambio no solo deja a los nuevos candidatos varados, sino que también hace que la trayectoria profesional parezca comparativamente mala. ¿Por qué pasaría años en prácticas de seguridad si pudiera ganar mucho dinero inmediatamente como desarrollador front-stop? Esto conduce al siguiente problema.

Buscando en el lugar equivocado
Estamos definiendo incorrectamente la tarea. Muchas ofertas de trabajo utilizan un título en informática como requisito previo básico. Sin embargo, la mayoría de los estudiantes de informática quieren escribir application, por lo que incluso si se sienten atraídos por la seguridad, es más possible que se conviertan en ingenieros de productos de seguridad que en operadores. Además, las bases de conocimiento de la seguridad y la informática continúan ampliándose. La seguridad se ha convertido en un campo que se ve diferente dependiendo de cómo se mire. Si intenta definirlo como un problema tecnológico, se transforma en un problema de gestión. Si intenta definirlo como un problema de gestión, se transforma en un problema social, y así sucesivamente. Ciertamente no es solo un subconjunto de la informática, por lo que contratar de esta manera es contraproducente.

Quizás el mayor problema con la dotación de private de seguridad, sin embargo, es que el campo está cada vez más segmentado en roles con largas curvas de aprendizaje y conocimiento exclusivo. Un probador de penetración no es intercambiable por un ingeniero de firewall o un analista del centro de operaciones de seguridad, mucho menos un especialista en criptografía o un auditor. Se necesitarían meses o años para cambiar de especialización y alcanzar la máxima productividad, incluso para personas con experiencia. La seguridad es un campo que exige un compromiso con el aprendizaje permanente, sin importar cuán inteligente o conocedor sea, lo que hace que la plan de un candidato llave en mano se parezca más a un unicornio y menos a una estrategia de contratación para personas a lo largo de la carrera.

Un nuevo camino a seguir
En resumen, muchas organizaciones buscan lo incorrecto en los lugares equivocados y culpan a los recién llegados por ello. Sin embargo, hay otra forma. Una vez que queda claro que los expertos estándar no son realistas a escala, cultivar el talento de nivel de entrada surge como la única solución a largo plazo, no solo para una organización de contratación sino para el campo en common. Por estas razones, y no por altruismo, es mejor encontrar nuevos grupos de talentos llenos de personas motivadas e intelectualmente curiosas sobre la idea misma de la seguridad, y entrenarlos desde cero. La diversidad y la inclusión son problemas complejos, por lo que solo mencionaré brevemente que hay una gran cantidad de personas de orígenes «no tradicionales» que históricamente no han tenido la oportunidad, a pesar de ser talentosas, motivadas y extraordinariamente resistentes. ¡Los gerentes de contratación inteligentes le darán una oportunidad a estas personas!

Es posible que mucha gente se oponga en este momento por motivos de urgencia. Los atacantes no esperan a que pongamos nuestras casas en orden, y los ataques ocurren a nuestro alrededor. Al mismo tiempo, para robarle la línea a mi colega sobre respuesta al incidente, si todo lo que haces es combatir incendios, eso es todo lo que harás. Si bien se necesita tiempo para convertirse en un hotshot, los candidatos adecuados aún pueden contribuir en su primera semana y costarán menos en salario mientras se ponen al día. Mientras tanto, las cosas cambian tan rápido que algunos de los conocimientos previos sobre las publicaciones actuales se volverán obsoletos y serán reemplazados por nuevas plataformas, nuevas perspectivas o nuevas palabras de moda. Por el contrario, siempre será relevante un interés fundamental en la seguridad como una constelación de soluciones complicadas para problemas complicados.

Entonces, sí, existe la brecha de habilidades y la contratación es difícil. Formular la brecha como estrictamente responsabilidad de los candidatos es un flaco favor para todos, incluidas las organizaciones de contratación. El resultado es que la seguridad se ha convertido tanto en un campo de productos como en un campo de expertos. Las organizaciones que se opongan a esta tendencia temprano y tomen el camino de la cosecha propia se encontrarán inundadas de talento motivado, mientras que las que resistan continuarán buscando excusas de por qué no pueden encontrar la contratación adecuada.

Sander Vinberg es un evangelista de investigación de amenazas para F5 Labs. Como investigador principal precise de la serie de investigación de protección de aplicaciones de F5 Labs, se ha centrado en la relación entre la arquitectura de la aplicación y el riesgo, y recientemente presentó una investigación en RSA 2020, … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial