La brecha de habilidades en ciberseguridad persiste por quinto año consecutivo


La mayoría de las organizaciones todavía carecen de talento, según un nuevo informe, pero los expertos creen que ampliar la definición de un profesional de la ciberseguridad puede ayudar.

cybersecurity.jpg

Imagen: Teera Konakan / Instant / Getty Photos

Las infracciones de los últimos años, que van desde el hackeo del malware Pegasus hasta los brotes de WannaCry y NotPeyta, destacan lo importante que es una estrategia sólida de ciberseguridad para todas las organizaciones, grandes y pequeñas. Sin embargo, la brecha en las habilidades de ciberseguridad para la mayoría de las empresas continúa persistiendo: simplemente no hay suficientes profesionales capacitados en estos roles para satisfacer la demanda. Este hecho se evidencia en el quinto informe anual de la industria de la Asociación de Seguridad de Sistemas de Información (ISSA) y el analista Organization Approach Group ESG, «La vida y la época de los profesionales de la ciberseguridad 2021, «lo que demuestra que la escasez de habilidades en ciberseguridad no ha mejorado.

El informe, que encuestó a 489 empleados de ciberseguridad, muestra que una carga de trabajo más pesada (62%), puestos vacantes (38%) y agotamiento de los trabajadores (38%) están contribuyendo a la brecha de habilidades. Casi todos los encuestados (95%) creen que la brecha no ha mejorado en los últimos años.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Top quality)

Contratar y mantener profesionales «sigue siendo un gran desafío en 2021», según William Candrick, director de investigación de la práctica de TI de Gartner. «La demanda worldwide de habilidades en ciberseguridad supera con creces la oferta genuine de personas calificadas tradicionalmente».

El informe «no es ninguna sorpresa», dijo Camille Stewart, directora de estrategia de producto de Google. Stewart, quien ha trabajado para el programa Cyber ​​Risk de Deloitte, bajo la administración de Obama como asesor principal de políticas de política cibernética, infraestructura y resiliencia en el Departamento de Seguridad Nacional, y en otros puestos importantes, dice que la brecha en ciberseguridad es «un problema multifacético. »

Observó que muchas organizaciones pequeñas y medianas no priorizan adecuadamente la ciberseguridad «, lo que les hace un flaco favor, porque si ha visto todos los ransomware y los ataques a la cadena de suministro que han estado ocurriendo, (ellos) no son inmunes a ser atacados . »

Otro problema es que quienes tienen roles abiertos no saben cómo desempeñarlos. La Agencia de Seguridad de Infraestructura de Ciberseguridad tiene varios puestos vacantes, por ejemplo, y está «tratando de ser realmente creativo con la forma en que reclutan el talento», dijo.

Una ruta principal para hacer esto es conectando trabajos cibernéticos con un grupo de talentos más diverso.

«Durante mucho tiempo ha sido un problema cumplir funciones de ciberseguridad», dijo Stewart. «La industria está plagada de requisitos de certificación elevados y, a menudo, innecesarios, requisitos de formación que a menudo son barreras de entrada».

Candrick está de acuerdo con esta evaluación. «Gartner aconseja a los CISO expandir dónde y cómo buscan talento en ciberseguridad», dijo. «Las ofertas de trabajo de seguridad cibernética suelen tener criterios que limitan el grupo de talentos disponibles. Por ejemplo, las ofertas de trabajo a menudo requieren un título de cuatro años, certificaciones de seguridad y una experiencia previa significativa», pero muchos empleados exitosos pueden adquirir estas habilidades en el trabajo.

«Por el contrario, los clientes contratan talentos que pueden tener habilidades en ciberseguridad, pero que carecen de las credenciales que normalmente filtran los recursos humanos», agregó.

El aumento de la diversidad debería ser una prioridad, cree Stewart. «Mientras el campo no sea tan diverso como debería ser, cortamos una gran muestra representativa de la población que podría estar trabajando e innovando en estos temas». Steward participa en iniciativas como Lady Security, NextGenNatSEc y ShareTheMIcInCyber, con el objetivo de ayudar a que las mujeres y las personas de shade accedan a puestos de trabajo en la industria de la seguridad.

«Tenemos que romper con los modelos tradicionales de cómo se ven los profesionales de la ciberseguridad y cómo se ve su currículum», dijo Stewart. «Necesitamos reescribir las descripciones de los puestos. Algunas de ellas hacen que los candidatos potenciales se seleccionen por sí mismos o impongan requisitos que no se ajustan al puesto como se indica».

VER: Kit de contratación: Ingeniero de ciberseguridad (TechRepublic High quality)

Por ejemplo: si está buscando un practicante de ciberseguridad junior y necesita un CISSP, que tarda cinco años en lograrse, «no se alinea», dijo. «Ese no es un practicante junior».

Cultivar talento a través de aprendizajes o brindar capacitación en el trabajo son excelentes formas de expandir el grupo de candidatos.

Stewart cree que la industria debería «reflejar» y «ampliar el campo de un candidato». Para «abrir el grupo de candidatos, ya sea de género, diversidad étnica, racial o incluso diversidad de experiencia o tantas personas que intentan hacer una transición de carrera y pensar en su próxima fase de vida que serían grandes candidatos para la ciberseguridad», dijo. A medida que evolucionan las descripciones, la imagen de cómo se ve un empleado exitoso también evoluciona.

Si los CXO están buscando las habilidades adecuadas para contratar, Stewart dice que la «curiosidad» es la clave. «Una inclinación por resolver desafíos realmente complejos, interés en la tecnología, aptitud para codificar lenguajes, porque incluso puedes aprenderlos en el trabajo», dijo. El otro elemento clave son las habilidades con las personas, cree ella. A pesar del conocimiento técnico requerido para el trabajo de ciberseguridad, «la ciberseguridad se centra en las personas», dijo Stewart.

«Ya sea que esté mirando al pirata informático malintencionado o al usuario que busca proteger, sus antecedentes y comprensión del entorno empresarial, las personas y la cultura son todos relevantes», dijo. «Si puede combinarlo con la comprensión de la tecnología y el deseo de aprender las habilidades específicas del puesto, es un gran candidato para un trabajo de ciberseguridad».

Stephen Boyce, fundador de The Cyber ​​Doctor, ha dedicado su carrera a la seguridad cibernética, en ambos lados de la contratación. Ha trabajado apoyando iniciativas de ciberseguridad para el gobierno federal, desde el FBI hasta el Departamento de Estado de EE. UU., Y ha reclutado talento en ciberseguridad tanto en el sector público como en el privado.

Como alguien que contrata talentos cibernéticos, se sorprendió a sí mismo no siempre mirando más allá del «currículum vitae (de un candidato) o más allá de lo que tienen en el papel». Es elementary, dijo, que los gerentes de contratación dejen de comparar las experiencias de los candidatos con las suyas. «No se está contratando a sí mismo», agregó. «Estás entrevistando a otra persona que puede estar en un momento, la forma en que lo hiciste, o el camino fue totalmente diferente».

Boyce también ve expectativas poco realistas por parte de los gerentes de contratación. «Tendrá descripciones de trabajo que requieren de 10 a 15 años de experiencia para una tecnología que ni siquiera ha existido por tanto tiempo», dijo. «Si alguien dice: &#39Quiero un experto en seguridad en la nube&#39, bueno, la nube no existe desde hace 20 años. Te hace reír».

Aunque tiene su doctorado, Boyce no cree que la ruta académica sea necesariamente crítica para ser bueno en ciberseguridad. Sin embargo, a los candidatos «a veces se les pasa por alto debido a que no tienen títulos o que marcan ciertas casillas».

Las habilidades blandas son fundamentales para los roles de ciberseguridad, concuerda Boyce.

«En última instancia, se trata de comprender a las personas. Es comprender cómo las personas interactúan o no interactúan con estas tecnologías», dijo. «Nos enfocamos en el aspecto de la tecnología, pero hay mucho más que realmente juega y realmente es toda la ciberseguridad».

Hay mucho en juego si los empleadores no comienzan a abordar la brecha de talento en ciberseguridad. Por un lado, dice Boyce, aquellos con habilidades técnicas extremadamente altas podrían «usar sus talentos para el mal».

El otro gran riesgo es perder una diversidad de puntos de vista.

«Realmente necesitamos personas de todos los ámbitos de la vida», dijo Boyce. «Necesitamos personas de otras disciplinas, otras avenidas, otras partes del mundo que piensen de manera diferente, para ayudarnos con el objetivo de brindar un entorno seguro en la era digital».

Ver también



Enlace a la noticia unique