Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo afrontar la escasez de habilidades en ciberseguridad

5 enfoques para cerrar la brecha

[06/11/2020] La mayoría de los CISO tienen equipos de seguridad con personal insuficiente. Y cuando intentan fortalecer su personal, a menudo se necesitan meses para conseguir un candidato calificado.

Al mismo tiempo, los CISO están lidiando con una impresionante escalada en las amenazas, impulsada en parte por la pandemia, pero convertida en tendencia que estaba en marcha, incluso antes de que llegara la COVID-19.

Esta confluencia de desafíos vuelve a poner de relieve la importante falta de talento en ciberseguridad.

"La protección de nuestros ambientes nunca ha sido más importante, pero luchamos por conseguir suficientes personas con las habilidades adecuadas, señala Gail Coury, vicepresidenta y gerente general de Silverline en F5 Networks y presidenta de la junta directiva de One In Tech, una asociación de profesionales de la gobernanza de TI de la entidad filantrópica de ISACA.

Ella no está exagerando.

La encuesta State of Cybersecurity 2020 de ISACA encontró que el 62% de los encuestados afirma que el equipo de ciberseguridad de su organización no tiene suficiente personal, y el 57% tiene puestos de ciberseguridad sin cubrir. Además, el 70% afirma que menos de la mitad de los solicitantes están bien calificados y el 32% afirma que les lleva seis meses o más encontrar un candidato calificado para los puestos vacantes en ciberseguridad.

El informe del Enterprise Strategy Group (ESG) y la Information Systems Security Association (ISSA), Life and Times of Cybersecurity Professionals 2020, encontró problemas similares. Según las respuestas de 327 profesionales de la ciberseguridad y miembros de la AISS, el 70% de las organizaciones se han visto afectadas por la escasez mundial de habilidades en ciberseguridad. A pesar de años de atención a la situación, el 48% afirmó que la brecha en habilidades no había mejorado con respecto al año anterior, mientras que el 45% afirmó que la escasez de habilidades en realidad había empeorado.

Mientras tanto, (ISC)², una asociación sin fines de lucro de profesionales certificados en ciberseguridad, ofreció una perspectiva austera en su informe (ISC)² Cybersecurity Workforce Study del 2019. El informe fijó la fuerza laboral de ciberseguridad en 2,8 millones de profesionales, pero se requieren otros 4,07 millones de profesionales. Eso significa que el mundo necesita un aumento de 145% en su fuerza laboral en ciberseguridad. Para aquellos en Estados Unidos, la noticia es solo un poco menos desalentadora: en el mercado estadounidense, (ISC)² estimó que la fuerza laboral de ciberseguridad llega a los 804,7 mil profesionales, pero muestra un déficit de 498,48 mil profesionales calificados, lo que significa que se necesita un aumento de solo 62% para satisfacer la demanda.

Desafíos de larga data

Nada de esto es nuevo. Sin embargo, los líderes de la industria de la seguridad afirman que la obligación de trabajar desde casa debido a la pandemia -lo cual requiere del rediseño de los ambientes de TI-, junto con el reciente aumento en los ataques, les han generado aún más estrés en los equipos de seguridad. Eso, a su vez, ha traído un enfoque renovado en la necesidad de cerrar la brecha de habilidades.

Los CISO, los ejecutivos de los proveedores y otros líderes de la industria de la seguridad ofrecen varias opiniones sobre las causas de esta continua escasez de habilidades.

Con frecuencia hablan de un problema de origen, afirmando que la propia profesión no hace lo suficiente para promover la buena paga y una fuerte demanda de talento que podría atraer a los jóvenes al campo.

También citan la baja participación de mujeres y minorías, quienes -debido a que no ven a muchas personas en el campo con la que se identifiquen-, ven la profesión como poco atractiva o poco inspiradora, lo que a su vez garantiza que permanezcan con una participación baja.

Coury habla de esa dinámica con conocimiento de primera mano. Ella, una estudiante talentosa de matemáticas en la escuela secundaria, no pensó en las computadoras como una opción profesional hasta que un maestro la animó a considerar la profesión. "Si esa persona nunca me hubiera dicho eso, yo nunca habría estado en esta carrera, afirma.

Sin embargo, Candy Alexander, presidenta internacional de la Information Systems Security Association (ISSA), una organización sin fines de lucro, ofrece una perspectiva diferente.

Ella considera que los desafíos de atraer suficientes personas al campo tienen su origen en la permanente falta de comprensión sobre el trabajo de la ciberseguridad entre los hombres de negocio y los futuros profesionales.

"Lo hemos visto como un problema en el origen de los profesionales y durante x número de años hemos intentado llenar ese hoyo. Pero ese no es el único problema y, sin embargo, hemos tratado de enfrentar este problema simplemente abordando este problema de origen y viendo si de eso se trata todo, afirma.

Otros señalan que hay un problema en el cada vez mayor número de habilidades que se requieren para trabajar en este campo, particularmente en industrias específicas, lo que reduce aún más el número de trabajadores disponibles para ocupar los puestos. El estándar para conseguir un trabajo -incluso uno de nivel base- es cada vez más alto.

Apuntar a la brecha

La consultora internacional KPMG adopta un enfoque multifacético para contratar y retener una fuerza laboral de seguridad sólida, afirma Leah Gregorio, directora de administración en la práctica de Servicios de Asesoría de KPMG. Esto incluye un programa anual de capacitación en la Cyber Academy de una semana para los propios profesionales de seguridad de KPMG, iniciativas internas para capacitar a colegas de las áreas de TI y de negocios en habilidades en ciberseguridad, y un agresivo programa de selección de personal para traer nuevos graduados universitarios -incluso aquellos sin títulos de tecnología- a la profesión. KPMG también tiene un grupo llamado Women in Cyber que tiene como objetivo ayudar a aumentar la participación de las mujeres en el campo de la ciberseguridad y la tecnología.

Atacar el problema desde todos los ángulos puede dar sus frutos. Han surgido una gran cantidad de programas de selección y capacitación para abordar la brecha de habilidades en ciberseguridad, y muchos apuntan a áreas específicas que se han identificado como factores que contribuyen a la falta de talento y habilidades requeridas. Estos programas abarcan un espectro de oportunidades:

Colegios y universidades: Las iniciativas académicas buscan atraer a más estudiantes al campo a través de un número cada vez mayor de certificados, títulos y programas especializados. Por ejemplo, en julio del 2020, la George State University anunció que Evidence-Based Cybersecurity Research Group (EBCS) recibió casi 300 mil dólares de la National Science Foundation para un programa piloto que enseñaba a los estudiantes habilidades avanzadas de investigación en ciberseguridad, y los presentaba con los CISO para probar herramientas y determinar si mejoran la seguridad empresarial. El Evidence-Based Cybersecurity-Training and Mentorship Program for Students funcionará con 60 estudiantes del sureste de Estados Unidos en grupos de 30 durante dos veranos.

"Cuando intentan llenar los puestos de sus líneas de defensa, las organizaciones se dan cuenta que hay una brecha de talentos y habilidades cada vez mayor, ya sea en los Centros de Operaciones de Seguridad, Ingeniería de Seguridad de la Información, Equipos Azules, Equipos Rojos o Equipos Morados. Las personas, por otro lado, encuentran complicado ingresar a un campo que se ha vuelto tan complejo, que cambia tan rápidamente y que representa una curva de aprendizaje tan empinada, afirman Flavio Villanustre, vicepresidente de Tecnología y CISO de LexisNexis Risk Solutions de Atlanta, y un asesor del nuevo programa, en un comunicado que anunciaba la nueva iniciativa.

Empresas privadas: Las empresas también están introduciendo sus propias iniciativas individuales para ayudar a reforzar tanto el volumen como las habilidades disponibles dentro de la profesión de la ciberseguridad. Un ejemplo es el programa nacional de aprendizaje de Accenture. Los equipos de Accenture trabajan con universidades comunitarias, entidades sin fines de lucro y academias de tecnología para seleccionar y luego capacitar a practicantes en ciberseguridad y otras áreas de alta demanda como digital, analítica de datos, migración a la nube, finanzas, marketing y recursos humanos. La firma ha contratado a 125 practicantes entre el 2016 y el 2020, y el 85% de ellos se trasladó a puestos de tiempo completo en sus áreas de formación.

Asociaciones profesionales: Las asociaciones profesionales relacionadas con la seguridad han lanzado sus propias iniciativas para ayudar a las personas a adquirir las habilidades de seguridad más demandadas, así como a ayudar a los líderes de la seguridad empresarial a crear capacitación para sus equipos. El International Consortium of Minority Cybersecurity, por ejemplo, enumera como parte de su misión "fomentar la selección, la inclusión y la retención de mujeres y minorías a través de sus programas. One in Tech, el programa ISACA, tiene tres iniciativas: desarrollar una fuerza laboral racial y culturalmente diversa; movilizar a las mujeres a este campo y a roles de liderazgo; y enseñar a los niños de escasos recursos y de baja participación las habilidades digitales que necesitan ahora, fomentando su búsqueda de trabajo en ciberseguridad en el futuro. (ISC)² ofrece la Guía empresarial para establecer un programa de capacitación en ciberseguridad, diseñada para ayudar a las empresas a crear planes adaptados a sus propias necesidades específicas.

Sector público: Los funcionarios del gobierno también han estado activos en tratar de cerrar la brecha en habilidades, como lo hace la National Initiative for Cybersecurity Careers and Studies (NICCS), un recurso en línea para el entrenamiento en ciberseguridad, que conecta a los empleados gubernamentales, estudiantes, educadores y a la industria con proveedores de capacitación en ciberseguridad. Se podrían realizar más esfuerzos, ya que el reporte informativo de septiembre del 2020 de la Cyberspace Solarium Commission destacó la necesidad de actuar.

Organizaciones de capacitación: De manera similar, muchas organizaciones privadas están tratando de abordar la brecha en habilidades en ciberseguridad, y las entidades ofrecen programas que van desde el SANS Institute, sin fines de lucro, con sus opciones de capacitación en línea hasta Cybrary, una plataforma en línea de desarrollo profesional en ciberseguridad. Cybrary afirma que su encuesta de otoño del 2020 demuestra la necesidad de expandir las opciones de capacitación, y señala que el 72% de 800 profesionales de seguridad y TI afirmó que existen brechas en habilidades en sus equipos actuales, y el 65% estuvo de acuerdo en que esas brechas afectan negativamente a la efectividad de su equipo. Otras organizaciones, como Skillsoft y Skillstorm, también ofrecen capacitación individual y en equipo.

Cuando se trata de atraer, capacitar y retener talentos de seguridad, una cosa está clara: este es un tema con cierta urgencia. Las ramificaciones de la escasez del talento en ciberseguridad son significativas, afirma Jon Oltsik, analista principal senior y miembro de ESG. Los CISO indican que la escasez de profesionales de seguridad calificados significa que los puestos permanecen abiertos durante largos períodos e incluso cuando están ocupados, los nuevos empleados con frecuencia no están preparados para manejar completamente el puesto. Eso, a su vez, significa que son menos efectivos en el puesto y, a menudo, menos capaces de utilizar las herramientas de seguridad a su disposición en todo su potencial. "En suma, eso significa que las organizaciones son menos seguras, afirma Oltsik.

En la misma línea se encuentra el informe presentado por el Banco Interamericano de Desarrollo (BID), denominado "Ciberseguridad: riesgos, avances y el camino a seguir en América Latina y El Caribe. En él se señala que, en cuanto a los aspectos de la educación y capacitación en ciberseguridad en América Latina, éstos se ubican en la mitad inferior en términos de progreso. La escasez en la fuerza laboral de profesionales calificados en ciberseguridad es un desafío casi universal.

Puede ver también: