Brecha de habilidades de ciberseguridad: Por qué existe y cómo abordarla
La escasez de competencias en ciberseguridad está poniendo en peligro a las empresas. Y lo que es peor, no parece que vaya a remitir. He aquí por qué está ocurriendo y qué pueden hacer los empresarios para mitigar el problema.
No es ningún secreto que las empresas se enfrentan a una enorme escasez de talento en ciberseguridad. Desde hace varios años, se sabe que muchos puestos bien remunerados que requieren conocimientos de ciberseguridad no se cubren.
Desgraciadamente, la difusión del déficit de competencias en ciberseguridad no ha servido para aumentar la mano de obra en este campo. De hecho, la gran mayoría de los profesionales de la ciberseguridad (95 %) cree que la brecha de competencias no ha mejorado en los últimos años, y casi la mitad (44 %) cree que ha empeorado, según un estudio de la Asociación de Seguridad de los Sistemas de Información (ISSA) y la empresa de análisis Enterprise Strategy Group (ESG), una división de TechTarget.
¿Cómo de grande es la brecha? Según Cyberseek, en Estados Unidos hay alrededor de 1,1 millones de personas empleadas en ciberseguridad, pero hay más de 700.000 puestos sin cubrir. En todo el mundo, el déficit de mano de obra en ciberseguridad es de aproximadamente 3,5 millones de personas, según Cybersecurity Ventures.
Entender el déficit de competencias en ciberseguridad y su impacto
Mientras tanto, a medida que las organizaciones compiten entre sí para adquirir los escasos talentos disponibles, los salarios de ciberseguridad siguen aumentando, lo que significa que las organizaciones no pueden permitirse contratar a tantos trabajadores de ciberseguridad. El estudio de la AISS revela que se pide a los trabajadores existentes que asuman más trabajo, lo que a su vez provoca el agotamiento.
El resultado es que las empresas, los organismos públicos, las instituciones educativas y otras organizaciones tienen una seguridad más débil de lo que deberían, lo que supone un mayor riesgo para todos sus empleados, clientes y constituyentes de sufrir filtraciones de datos, violaciones de la privacidad, fraudes financieros y otras consecuencias adversas.
Para colmar esta enorme laguna es necesario comprender por qué existe y persiste la escasez de competencias en ciberseguridad. Este artículo lo explora y propone varias formas en que los líderes de TI y sus organizaciones pueden abordar los problemas subyacentes.
Las cinco causas principales de la escasez de competencias en ciberseguridad
Son muchos los factores que han confluido para provocar el déficit de competencias en ciberseguridad. He aquí las cinco causas principales:
- La demanda de talento en ciberseguridad sigue aumentando. No solo casi todas las organizaciones se han vuelto completamente dependientes de la tecnología, sino que la tecnología también sigue siendo más compleja. Proteger los sistemas, las redes y los datos de hoy en día contra los ciberataques es más difícil que nunca, ya que se necesitan aún más tecnologías y procesos de seguridad para trabajar en conjunto. Por lo tanto, las organizaciones necesitan que sus fuerzas de trabajo cibernéticas sean más grandes y tengan una gama de habilidades más amplia que nunca.
- La reserva de talento en ciberseguridad carece de diversidad. Según un reciente estudio sobre la mano de obra de (ISC)2, solo un 25 % de los trabajadores de ciberseguridad de todo el mundo son mujeres. Un estudio del Aspen Institute determinó que, en Estados Unidos, el 19 % de la población es hispana, pero solo el 4 % de la mano de obra de ciberseguridad es hispana. Los nativos americanos y los negros americanos también están significativamente subrepresentados en las carreras cibernéticas.
- Los empleadores tienen expectativas poco realistas. Las descripciones de los puestos de trabajo de ciberseguridad a menudo requieren títulos universitarios, múltiples certificaciones y años y años de experiencia en una variedad de disciplinas de seguridad. Muchos candidatos que serían valiosos para las organizaciones no solicitan estos puestos porque suponen que los requisitos son realmente necesarios. Otros sí lo solicitan, pero ni siquiera reciben una llamada porque carecen de un título o de suficiente experiencia práctica.
- Los empleados no mantienen sus habilidades actualizadas. Los retos que los empleadores deben afrontar cambian con el tiempo, como la creciente dependencia de la seguridad en la nube y la evolución de las amenazas contra los datos y los sistemas. Pero los empleados están tan sobrecargados de trabajo que a menudo no tienen la oportunidad de aprender nuevas habilidades, asistir a la formación, tomar cursos en línea o buscar nuevas certificaciones. Y no se trata solo de habilidades técnicas: también se necesitan habilidades blandas como la comunicación.
- Los expertos en ciberseguridad están abandonando la profesión. De forma alarmante, una encuesta reciente reveló que más de un tercio de los trabajadores de ciberseguridad están planeando cambiar de profesión. Hay un gran problema de retención de empleados, debido en gran parte a la constante escasez de personal y a la increíble presión de muchos trabajos de ciberseguridad. A medida que la gente abandona el campo, la escasez se agrava aún más, lo que hace que más personas dejen el campo.
Tres maneras en que las organizaciones pueden abordar esta brecha
No hay manera de reducir la brecha de habilidades de ciberseguridad de la noche a la mañana, pero las organizaciones pueden comenzar a progresar hoy haciendo las siguientes tres cosas:
- Aprovechar las comunidades subrepresentadas. Dar prioridad a las mujeres, los hispanoamericanos y otras comunidades olvidadas. Eduque a los miembros de estas comunidades sobre la increíble variedad de oportunidades que ofrece la ciberseguridad y muéstreles cómo pueden incorporarse a la plantilla. Asegúrese de que sus prácticas de reclutamiento y contratación tienen en cuenta la diversidad. Considere la posibilidad de ofrecer prácticas remuneradas.
- Construya habilidades principalmente en la empresa, en lugar de contratar a expertos. Las organizaciones pueden aprovechar una reserva mucho mayor de trabajadores si relajan los requisitos del puesto y, lugar de eso, planifican la creación de habilidades cibernéticas internamente proporcionando formación, educación y apoyo a la certificación para los nuevos empleados para ayudarles a ponerse al día. Permita que los recién graduados, los veteranos, las personas que están en transición desde otras carreras y aquellos con interés y aptitud para la ciberseguridad aprendan y crezcan. Los títulos universitarios, las certificaciones y varios años de experiencia simplemente no son necesarios para tener éxito en la mayoría de los puestos de ciberseguridad.
- Apoye a su talento actual. El agotamiento está muy extendido hoy en día en muchas organizaciones. Especialmente cuando hay tal escasez de personas cualificadas, es fácil que cualquiera que no esté contento abandone su organización y encuentre una oportunidad mejor en otro lugar. Sin embargo, también hay necesidades críticas de ciberseguridad que deben ser satisfechas. He aquí algunas estrategias para apoyar a su personal actual para que sea menos probable que se vaya:
- Siempre que sea posible, automatice las tareas rutinarias, especialmente aquellas que son repetitivas y aburridas o que producen mucho estrés. Esto ayudará a reducir las necesidades de mano de obra y dará a sus empleados un trabajo interesante y menos estresante.
- Considere la posibilidad de utilizar servicios de seguridad gestionados, especialmente para la supervisión, el análisis y la respuesta a incidentes fuera del horario de trabajo. Las organizaciones pequeñas pueden querer externalizar la mayor parte de sus servicios de seguridad para reducir su necesidad de personal dedicado a la ciberseguridad y, a su vez, formar a su personal de TI para que también se encargue de tareas ocasionales de ciberseguridad.
- En el caso de puestos especialmente estresantes o exigentes, considere la posibilidad de rotar el trabajo. Un ejemplo es la rotación del personal de operaciones de seguridad a un puesto no operativo después de 12 o 18 meses. Esto puede ayudar a prevenir el agotamiento y también permite a las personas adquirir habilidades adicionales, haciéndolas más valiosas para su organización.
- Cuando tus empleados se tomen un tiempo libre por vacaciones, baja por enfermedad o cualquier otro motivo, deja que realmente estén fuera del trabajo. Todo el mundo necesita un descanso del trabajo; esperar que los empleados sigan revisando el trabajo mientras están fuera –especialmente estando de guardia o realizando apoyo operativo– es injusto para ellos y sin duda fomentará el resentimiento. Esto puede suponer un gran cambio de cultura para su personal, pero es probable que merezca la pena, tanto para retener al personal actual como para atraer a nuevos empleados.