Se busca: el (esquivo) ciberseguridad &#39All-Star&#39


Los estudios separados de la fuerza laboral realizados por (ISC) 2 e ISACA señalan la necesidad de que los departamentos de seguridad trabajen con el own existente para identificar las necesidades y traer personas de nivel de entrada al campo.

Los gerentes de seguridad que intentan contratar own nuevo este año y en el futuro enfrentan algunas realidades difíciles: las superestrellas de la seguridad de alto nivel son difíciles de encontrar, si es que existen. Algunos presupuestos de seguridad se están ajustando. Y existe una sorprendente falta de habilidades de comunicación «blanda» entre los profesionales de la seguridad.

Estas son las tendencias clave que se encuentran en dos estudios recientes y separados de la fuerza laboral de seguridad realizados por destacados grupos de la industria de la seguridad. ISACA y (ISC) ². Ambos estudios aconsejan a los gerentes de seguridad que comiencen por consultar el Workforce Framework for Cybersecurity (Pleasant Framework), el 800-181 documento publicado por NIST.

“Las compañías Fortune 50 pueden tener una buena thought de cómo debería ser un departamento de ciberseguridad, pero incluso hay compañías grandes y ciertamente medianas que todavía están luchando por resolver esto”, dice Clar Rosso, CEO de (ISC) ².

Y Jonathan Brandt, líder de prácticas profesionales de seguridad de la información en ISACA, señala que cuando las personas buscan sitios de trabajo en línea, hay tantos títulos y clasificaciones de trabajo diferentes que confunden tanto a los empleadores como a los solicitantes de empleo.

«Básicamente, los equipos de seguridad necesitan tres tipos de personas: analistas que observan anomalías y patrones en las alertas, ingenieros que establecen controles de seguridad y administran terminales y redes y, finalmente, arquitectos, las personas que realizan un seguimiento de la tecnología emergente y descubren qué novedades productos para adquirir «, dice Brandt.

Uno de los principales hallazgos del estudio (ISC) ² es que los mejores talentos en seguridad, los llamados «estrellas», son difíciles de conseguir y, a menudo, en realidad no existen. Si bien todos los equipos necesitan un jugador de primer nivel y alguien que pueda servir como mentor, Rosso dice que las empresas deben dejar de buscar estrictamente a las estrellas y pensar en términos de las personas que realmente necesitan para dirigir un departamento de seguridad.

«Las empresas necesitan jugar a largo plazo», dice. «Trate de involucrar a su private de seguridad existente y pregúnteles qué creen que necesita el departamento. Luego, decida lo que puede gastar de manera realista para atraer a las personas en los niveles de entrada. Piense en ello de la manera en que un equipo de béisbol necesita un lanzador outstanding, pero también necesitan jugadores de cuadro de utilidad, bateadores emergentes y lanzadores de relevo «.

Las empresas deben hacer un mejor trabajo para aprovechar la experiencia de su individual existente, así como para atraer una fuerza laboral más diversa, dice Rosso.

Por ejemplo, los datos de (ISC) ² encontraron que el porcentaje de mujeres que trabajan en funciones de ciberseguridad disminuye a medida que aumenta la tenencia. Mientras que el 37% del grupo profesional con tres o menos años de experiencia son mujeres, solo el 28% del grupo con ocho o más años de experiencia son mujeres. Esto puede indicar que más mujeres se están incorporando a la profesión, pero Rosso dice que también puede sugerir que las mujeres pueden no encontrar suficientes oportunidades de avance a medida que avanzan en el campo.

Los datos de (ISC) ² también encontraron que el 42% de las mujeres que trabajan en puestos que no son de TI están interesadas en una carrera cibernética, frente al 29% de las mujeres que ya están en un puesto de TI.

Los datos de ISACA indican que las empresas están respondiendo: el cuarenta y tres por ciento dijo que están atacando la brecha de las habilidades cibernéticas al aumentar la capacitación del own que no es de seguridad que desea pasar a roles cibernéticos. Y otro 23% de los encuestados de ISACA dijeron que sus empresas han aumentado los programas de «recapacitación».

Algunos presupuestos de seguridad disminuirán
Las empresas tendrán que hacer más de esto, no solo por la falta de talento cibernético, sino también porque los presupuestos seguirán reduciéndose, dice Brandt de ISACA.

Si bien el 47% dijo que espera que los presupuestos de seguridad aumenten en 2021, alrededor del 20% cree que disminuirán este año. Brandt dice que eso es una indicación de que la pandemia ha reducido los ingresos en muchas empresas y tendrán menos para gastar en cibernética.

«En muchos sentidos, es easy economía», dice Brandt. «Si los ingresos disminuyen, también lo harán los gastos. Por lo tanto, hasta que salgamos de la pandemia, los equipos de seguridad pueden esperar presupuestos más ajustados».

Fuente: Informe ISACA State of Cybersecurity 2021 Part 1

Fuente: Informe ISACA State of Cybersecurity 2021 Portion 1

Los profesionales de la seguridad también están de acuerdo en que una amplia gama de habilidades blandas es importante para el éxito en la ciberseguridad. Cuando se les pidió en el estudio (ISC) ² que seleccionaran sus dos mejores, el pensamiento analítico (34%) y la resolución de problemas (33%) se valoraban más que las habilidades como perspicacia para los negocios (10%), liderazgo (10%) y proyectos. gestión (7%).

El estudio de ISACA adoptó una postura mucho más estridente sobre las habilidades blandas: más de la mitad (56%) de los encuestados de ISACA dijeron que los profesionales de la seguridad hoy en día carecen de habilidades blandas, como comunicaciones, flexibilidad y liderazgo. Eso es más que la falta de habilidades técnicas, como la gestión de terminales y redes (36%) y habilidades de codificación (31%).

«Estamos tan atrapados en las habilidades técnicas que hemos olvidado que lo que las empresas realmente necesitan son personas que puedan explicar todo el análisis técnico en términos concisos y comprensibles», dice Brandt de ISACA, quien este mes participará en un panel en la Conferencia RSA 2021 sobre el estudio ISACA. «Necesitamos particular de seguridad que pueda demostrarle a la alta dirección que comprende en qué negocio se encuentra».

Steve Zurier tiene más de 30 años de experiencia en periodismo y publicación y ha cubierto redes, seguridad y TI como escritor y editor desde 1992. Steve vive en Columbia, Maryland. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique