La crisis del talento en ciberseguridad: cómo puede su organización solucionar el problema
La escasez de talento en la ciberseguridad es real. 3.5 millones de empleos quedarán vacantes este año, lo que presenta un gran desafío para las organizaciones que migran a la nube e impulsan la transformación digital.
El Estudio de cómputo en la nube 2020 de IDG expone que el 30 % de los ejecutivos menciona la falta de competencias en seguridad de la nube como un desafío principal para migrar a la nube pública y operar en la nube. La competencia dificulta el hecho de contratar personal y retenerlo. Además, dado que el 82 % de los directores y ejecutivos de seguridad de TI cree haber experimentado al menos una violación de datos en la implementación de nuevas tecnologías y en la expansión de sus cadenas de suministro, la escasez de talento hará que sea cada vez más difícil mantener un enfoque de vanguardia en cuanto a la seguridad y la tecnología.
Por lo tanto, a medida que la industria se enfrenta a un panorama cada vez más complejo de tecnologías, compliance, modelos operativos y amenazas en evolución, profundicemos acerca de cómo puede atraer y retener talento y, al mismo tiempo, hacer un mejor uso de los recursos que ya tiene. Hablé con Owen Winn, de Rackspace Cloud Academy, la directora de seguridad de Rackspace Technology, Karen O'Reilly-Smith, y Ryan Smith, gurú de productos de Armor Cloud Security, para obtener más información sobre la falta de competencias en ciberseguridad y cómo superar este problema.
Sea creativo al momento de contratar
Al buscar el perfil ideal en una contratación para el área de ciberseguridad, Owen Winn ofrece un análisis objetivo útil: “No es realista contratar al profesional de seguridad perfecto". Él cree que las empresas deben valorar una “base sólida de fundamentos técnicos respaldados por una expectativa realista de experiencia concreta" y “priorizar la experiencia práctica con el soporte de la capacitación y la orientación".
Pero la competencia hace que las opciones obvias sean escasas, por lo que la directora de seguridad de Rackspace Technology Karen O'Reilly-Smith recomienda pensar de manera innovadora al momento de contratar. Ya sea que esté considerando recursos internos o empleados nuevos, ella busca cada vez más el talento “en toda la industria”, alguien con conocimientos técnicos, pero no necesariamente un especialista en tecnología.
Para Karen, los tipos de personalidad son un factor importante: “¿Les apasiona investigar, analizar y meterse de lleno? Luchamos contra adversarios invisibles todos los días; por eso, busco a una persona que no esté interesada en el statu quo, sino a alguien que quiera generar cambios”. En lugar de evitar personas de diferentes industrias, Karen dice que deben incluirse, ya que la diversidad aporta perspectivas nuevas, lo que puede generar agilidad y creatividad. Estas contrataciones rara vez están reglamentadas, a diferencia de algunas personas que han trabajado en seguridad durante mucho tiempo.
Además, sea honesto acerca de la experiencia y la necesidad de talento. "He visto ofertas de trabajo que exigían ocho años de experiencia cuando una determinada tecnología ha estado vigente tan solo cinco años", dice Ryan Smith. Crear estándares falsos, según el informe de estrategia 2021 de ISSA y ESG, no es inusual. Pero este y otros factores clave —como la compensación no competitiva y el hecho de que RR. HH. no comprende los requisitos de la competencia del sector de ciberseguridad, lo que excluye a los candidatos más importantes— obstaculizan los esfuerzos de contratación incluso antes de que comiencen.
Mantenga el interés del talento actual
Junto con la adquisición de talentos nuevos para expandir su equipo, Ryan Smith, de Armor, nos recuerda que "hay una gran demanda de habilidades" y, por lo tanto, "no puede pasar por alto el hecho de que las personas a cargo de las contrataciones están en busca de su talento".
El tema de los sueldos y las opciones de trabajo a distancia deben abordarse para poder mantener el talento existente, pero Ryan dice que no debe pasarse por alto el factor clave de ofrecerle al personal un trabajo que considere valioso e interesante: "Si una persona no se siente que enfrenta un desafío, buscará otro trabajo".
El crecimiento no siempre tiene que estar basado en aptitudes, sino que puede implicar averiguar qué partes de su programa de seguridad pueden asumir las personas. Y dado que el personal de seguridad tiende a centrarse en la misión, identificar a los que están alineados con sus valores, su visión y su misión durante la contratación dará sus frutos más adelante. Pero desde las personas sin experiencia hasta las personas con cargos sénior deben sentir que inciden en esa misión. Y para que se sientan empoderadas, deben sentir que sus ideas y la diversidad de opiniones marcarán la diferencia.
Esto vuelve a un punto anterior sobre las diferentes perspectivas que benefician a una organización. Lo importante es permitir que eso suceda, en lugar de suprimir nuevas ideas porque siempre ha hecho las cosas de una determinada manera. Por ejemplo, un empleado nuevo podría identificar maneras en las que la autenticación no se alinea bien con la experiencia del usuario del mundo real. Esto debe lograrse con un plan de mejora, no con un contrapunto técnico sobre cómo deberían funcionar las cosas. "Necesitamos que las personas con esa experiencia del mundo real guíen a los encargados del área de seguridad en ese sentido", agrega Ryan.
Use la automatización de manera razonable
La automatización es una forma útil de encontrar la solución para retener el talento actual, mediante la automatización de tareas mundanas. En otras palabras, como dice Karen: "Automatice lo cotidiano". Una vez que use la AI para librar a su equipo del trabajo pesado, su gente podrá "dedicar tiempo a usar su curiosidad, ser creativo y trabajar en el siguiente paso que lo acercará a un adversario".
Ryan señala que ya estamos viendo esto en las soluciones de detección y respuesta, donde la tecnología se usa para acelerar el tiempo que nos lleva obtener respuestas útiles. Pero advierte que las organizaciones que estén considerando la automatización no deben llegar a la conclusión equivocada: “Se supone que estas nuevas herramientas escalan los programas de seguridad, la seguridad, las vidas y los equipos. Pero cuando hablamos de la automatización, corremos el riesgo de suponer que eso significa que las personas serán reemplazadas o que no necesitamos talento. Esto no es verdad. La seguridad siempre será un tema en el que intervengan elementos humanos".
La parte importante es en qué enfocamos a los seres humanos. "Al automatizar la clasificación de incidentes y la recopilación de evidencia, cosas que las personas sin experiencia podrían haber tenido que sortear alguna vez, los equipos pueden poner su atención en órdenes más elevadas de pensamiento, como las respuestas de manuales, la búsqueda y la inteligencia de amenazas, y llevar nuevas tecnologías de seguridad al mercado", explica Ryan. "Esto hará que se sientan comprometidos y, al mismo tiempo, los retendrá porque trabajan en cosas interesantes, en lugar de dedicar su tiempo a revisar archivos de registro que podría hacer una computadora en su lugar".
Sepa cuándo no debe emprender el recorrido solo
Un aspecto final en lo que respecta a resolver el problema de la escasez de talento es que hay que ser más estratégico en cuanto a las inversiones. Haga una evaluación honesta de dónde se encuentran los problemas y de los recursos que tiene para los desafíos que crecen y se incrementan de forma constante. Entonces, comprenderá dónde puede desarrollar el talento a nivel interno, junto con los roles de trabajo auxiliares y las habilidades que podrían utilizarse bien en las operaciones de seguridad. Descubrirá dónde necesita contratar. Las plataformas de tecnología y los proveedores de servicios administrados pueden ayudar a resolver los problemas restantes.
No estará solo. Casi el 70 % de las organizaciones recurren a los MSP en busca de ayuda para resolver la falta de competencias. El dinero también desempeña un papel importante, agrega Karen, y destaca con franqueza que "no se puede gastar dinero en todas partes". En su lugar, dice que debe considerar lo que es esencial para su organización. Eso podría ser la arquitectura de su programa de seguridad, por ejemplo, que podría elegir mantener a nivel interno, al tiempo que subcontrata otras tareas que son más fáciles de tercerizar a un socio. Sin embargo, las organizaciones no deben adquirir la opción más económica, ya que es posible que no consigan las competencias que necesitan. "Al evaluar el talento que desea contratar, determine dónde radica la experiencia de un socio en el mercado", recomienda Ryan. “Parte de la razón por la que tenemos falta de competencias es porque la nueva tecnología se ha acelerado mucho más rápido de lo que nosotros podemos capacitar incluso a las personas que están a la vanguardia de estas tecnologías para protegerlas. Por lo tanto, debe evaluar a los socios para estar seguros de que mantienen el ritmo".
Ante todo, Karen sugiere que la honestidad es fundamental en cada decisión. "Los CSO quieren desarrollar el programa de seguridad de una organización y dejar una huella", dice. "Pero hoy es necesario ser realista en términos de talento, escasez de recursos y habilidades, y reconocer que un socio es simplemente una extensión de su equipo".
Informe global: ¿Está la ciberseguridad a la altura de los desafíos cada vez mayores de la actualidad?
About the Authors
VP, Security Solutions
Gary Alterson
Gary Alterson is VP of Security Solutions at Rackspace. In this role he acts as GM for Rackspace’s security solutions focused on supporting digital transformations and cloud acceleration. Previously, Gary led Customer Experience and Services Product Management at Cisco Systems where he built professional, managed, and support services addressing cloud security and advanced threats. At Cisco and at Neohapsis, a nationally recognized cybersecurity boutique consultancy, Gary and his teams were instrumental in transforming enterprise and government security programs to effectively address shifting business models, emerging technologies, and the evolving threat environment. As a previous CISO and security architect, Gary has over 20 years experience on the front lines of security, protecting and responding to threats across multiple industries. Gary is often sought out to speak on secure digitization, cloud, and emerging technology security frameworks as well as enterprise security.
Read more about Gary Alterson