Talento en ciberseguridad, un bien escaso en un mundo cada vez más digital
La escasez de profesionales en ciberseguridad trae consigo una brecha de talento y sueldos que pocas empresas pueden enfrentar. Conozca los retos y las oportunidades de este escenario.
La escasez de talento tecnológico se ha incrementado notablemente durante los últimos años. Según un reporte del ISC Cybersecurity Workforce Study, la brecha global de la fuerza laboral de seguridad cibernética creció un 26 %, lo que representó 3,4 millones en 2022, y para Latinoamérica este número asciende a 515 mil. Además, el estudio MEOS Q1 2023 indica que los líderes globales de áreas de capital humano aseguran que la ciberseguridad es su principal prioridad de contrataciones debido al aumento de los ataques cibernéticos, y la preocupación que esto genera para las áreas de TI y las organizaciones en general.
Los expertos coinciden en que estamos viendo una brecha muy crítica en la disponibilidad de talento en el área de ciberseguridad, específicamente, y también en el área de TI en general. Además, hoy es fundamental que las empresas cuenten con el apoyo de profesionales de la ciberseguridad, dada la importancia que tiene la información y los datos en la era digital. Aquellas grandes, medianas o pequeñas compañías que no disponen de medidas de seguridad y protección frente a las numerosas ciberamenazas existentes quedan en una situación de alta exposición y vulnerabilidad frente a posibles ataques. Entonces, un profesional de esta área ayuda a proteger la información que es sensible, garantiza la integridad de los sistemas y previene los ataques informáticos, entre otras tareas.
Eduardo Antunovic, director de Clientes (chief client officer) y senior partner de Kingsley Gate, sostiene que existe una gran demanda mundial por talento calificado en ciberseguridad, especialmente para roles como CISO (Chief Information Security Officer), quienes tienen la máxima responsabilidad dentro de las organizaciones de garantizar la seguridad de la información y el conocimiento de la compañía.
Los CISO son quienes deben implementar procesos de análisis de riesgos y acciones preventivas que eviten brechas que afecten a la información, identifican los riesgos potenciales a la seguridad, diseñan e implementan estrategias y sistemas defensivos, así como protocolos capaces de contrarrestar las potenciales amenazas. “Esa experiencia es una necesidad emergente de los últimos años y, en consecuencia, la velocidad con que la demanda aumenta por estas capacidades es mayor que la oferta de profesionales calificados en esos temas”, destaca.
A este escenario hay que sumar también una brecha de género en el sector. “A pesar de los esfuerzos de grupos como Women in Identity, Women In Cybersecurity (WOMCY) y Latinas in Tech, la brecha de género permanece. No estamos haciendo lo suficiente para orientar a los jóvenes hacia los estudios STEM y, por lo tanto, hacia las carreras STEM, y esto es particularmente marcado entre las mujeres jóvenes. La estadística más reciente que vi es que sólo el 7 % de los profesionales de ciberseguridad a nivel mundial son mujeres”, resalta Daniel Molina, vicepresidente de iProov para Latinoamérica.
Sueldos altos que muchas empresas no pueden pagar
Una de las consecuencias que genera la falta de especialistas de TI en el mercado es el alza de los sueldos. Los profesionales de la ciberseguridad no han sido la excepción a este fenómeno. Benjamín Toselli, presidente ejecutivo de IT Hunter, señala que esta situación genera oportunidades y problemáticas. “Entre las primeras, está el hecho de que estos perfiles pueden acceder a posiciones en grandes compañías, que cuentan con los recursos necesarios para pagar remuneraciones atractivas. Entre las segundas, las pequeñas y medianas empresas quedan imposibilitadas de tener entre sus filas a tales profesionales por un tema de oferta y demanda”, dice.
Algunos especialistas señalan que si hubiera más profesionales capacitados en esta área, los sueldos bajarían como resultado de la ley de oferta y demanda. Pero ¿eso es bueno o malo para la industria y los profesionales de la ciberseguridad?.
Jorge Gamero, director de Experis para Sudamérica, sostiene que los índices salariales siempre van a variar según múltiples factores: oferta y demanda, digitalización o automatización en las empresas, e incluso modalidades de trabajo, tal como sucedió durante la pandemia, cuando, por la circunstancia que vivimos a nivel mundial, aumentó la necesidad de perfiles de TI con competencias distintas a las que se venían requiriendo previo a esta situación.
Agrega que, en 2025, habrá 149 millones de nuevos empleos digitales en áreas como Privacidad, Análisis de Datos, Aprendizaje Automático e IA, Nube, Datos, Desarrollo de Software y, por supuesto, Ciberseguridad. “Por este motivo, es importante que tanto las empresas, como los talentos en estas áreas mantengan y eleven su nivel de capacitación para seguir siendo competitivos en el ámbito laboral y, de esta manera, garantizar remuneraciones alineadas al gran valor que aportan para las organizaciones, siempre con el objetivo de seguir evolucionando, adaptándose a los constantes cambios que vivimos a nivel global”, recalca.
A juicio de Juan Alejandro Aguirre, director de Ingeniería de Sophos, esto es un fenómeno del mercado: “Es ley de oferta y demanda. Al existir un déficit de oferta profesional en ciberseguridad y una alta demanda, el valor del bien (salario) tiende a aumentar. También hay que tener en cuenta que un profesional altamente capacitado en ciberseguridad por lo general tiene no sólo un grado universitario, sino un amplio número de certificaciones y años de experiencia que acreditan su conocimiento y a la vez mejoran sus aspiraciones salariales”.
De acuerdo con los expertos en talento laboral, en medio de este escenario de sueldos altos en roles de ciberseguridad, que en ocasiones influye en la capacidad de las empresas para atraer o retener talentos con estos conocimientos y habilidades, también hay una oportunidad de upskilling y reskilling al interior de las organizaciones para poder capacitar y formar a colaboradores en competencias claves en la actualidad. Con ello se permite el desarrollo de personas que tengan una base en tecnología, lo que puede ser sumamente beneficioso para las empresas y para el desarrollo de carrera de los talentos.
Por otra parte, si una empresa no puede pagar el salario que demanda un profesional de ciberseguridad con experiencia, posiblemente no pueda tenerlo “in-house”, pero existen opciones de empresas externas especializadas que asumen esa responsabilidad.
El dilema de contratar servicios de ciberseguridad administrada
Dado que no todas las organizaciones disponen de los recursos suficientes para contratar internamente a profesionales de la ciberseguridad, una opción para ellas es la externalización de ese servicio.
Esto ofrece varias ventajas. Una de ellas es contar con el apoyo de profesionales altamente preparados y certificados en el tema, acceder a tarifas más económicas que permiten tener los costos controlados, y disponer de la flexibilidad de los servicios que se reciben en función de las necesidades de la organización en un momento determinado. “La externalización permite a una compañía focalizarse en su negocio. Desde el punto de vista de los inconvenientes de externalizar este servicio, podemos mencionar la pérdida de control al depender de un tercero, problemas de confidencialidad y con los tiempos de respuestas frente a un incidente”, destaca Benjamín Toselli, de IT Hunter.
“La ventaja de optar por un modelo de ciberseguridad como servicio, CSaaS, es el ‘re-uso’ de los recursos. Este es un modelo desarrollado desde la administración de empresas y la gerencia de proyectos que se puede aplicar a diferentes disciplinas y procesos de soporte en las empresas. Desde un trusted advisor, se puede transferir capacidades sofisticadas de ciberseguridad a una organización por una fracción del costo de contratar a un solo recurso altamente capacitado en ciberseguridad (que según Glassdoor puede sobrepasar los 100 mil USD). Pero no sólo estaría contratando un recurso, sino todo un equipo 7x24. Desde el trusted advisor, un equipo altamente entrenado y especializado, con los mejores procesos y tecnologías, se pueden proteger decenas, cientos o miles de empresas, ayudando a solucionar el déficit de profesionales”, explica Juan Alejandro Aguirre, de Sophos.
A modo de consejo, Daniel Molina, de iProov Latinoamérica, señala que, si una empresa decide contratar a un proveedor de servicios de seguridad administrados (MSSP, por sus siglas en inglés), debe asegurarse de investigar y elegir un proveedor con buena reputación y experiencia que sea adecuado para su industria. “Estamos empezando a ver la integración de la verificación facial como un ‘paso biométrico’ que se utiliza como método clave para validar a los usuarios en varios casos de uso en los que se comparte información confidencial con terceros en contratos de ciberseguridad gestionados”, concluye.