[06/01/2021] Jimmy Sanders tiene una larga lista de trabajo por hacer, por lo que quiere un equipo de seguridad que pueda manejar la multitud de tareas que tiene por delante, desde el avance de la estrategia de seguridad de confianza cero de su empresa, hasta la seguridad de sus despliegues en la nube y el despliegue de soluciones de aprendizaje de máquinas.
Los miembros del equipo deben ser capaces de hacer todo eso a escala, así como de cambiar de marcha y mejorar sus habilidades tan rápido como cambien las necesidades del negocio, evolucione la tecnología y cambien los riesgos de seguridad.
De hecho, Sanders pone el "sentirse cómodo con el cambio" como una de las habilidades más demandadas para el 2021, junto con el empuje interno y la capacidad de ser autodirigido con el trabajo.
Es mucho, admite.
"La gente que puede hacer todo eso está muy solicitada", señala Sanders, jefe de seguridad del DVD de Netflix y presidente del capítulo de San Francisco de la Asociación de Seguridad de los Sistemas de Información (ISSA).
De hecho, la demanda de talento en ciberseguridad sigue superando a la oferta.
Un informe de julio del 2020 de la AISS y el Grupo de Estrategia Empresarial (ESG) encontró que el 70% de los miembros de la AISS creen que la escasez de habilidades de ciberseguridad global ha afectado a su organización, mientras que el Estudio de la Fuerza de Trabajo de Ciberseguridad de 2020 (ISC)2 encontró que el 64% de los profesionales de seguridad que respondieron experimentaron escasez de habilidades dentro de sus propias organizaciones.
Sin embargo, estas estadísticas solo cuentan una parte de la historia.
Los líderes de seguridad dicen que no solo hay una escasez en el número de personas calificadas que trabajan en el campo, sino que también es un desafío encontrar las habilidades necesarias entre el grupo existente de profesionales de seguridad.
Eso no es sorprendente, considerando la larga lista de habilidades deseadas que se necesitan hoy en día.
De hecho, los profesionales de la seguridad necesitan más que una simple certificación, o incluso experiencia con unas pocas herramientas clave. Cada vez más, necesitan la combinación adecuada de múltiples habilidades de seguridad junto con habilidades tecnológicas, empresariales e interpersonales, ya que los trabajos de seguridad se transforman en un híbrido de funciones que abarcan diferentes disciplinas.
"Se está produciendo un alejamiento de las personas en el ámbito de la seguridad que hacen una cosa, y solo una cosa, bueno. Hay demasiadas amenazas y demasiadas oportunidades para que abarcar, de modo que no se puede ser un profesional de la seguridad eficaz sin una amplia base de conocimientos", señala Will Markow, director gerente de Burning Glass Technologies, una empresa de análisis del mercado laboral, que publicó un informe en el 2019 sobre la hibridación de las funciones de los puestos de trabajo.
Las habilidades de seguridad más demandadas para el 2021 reflejan esta tendencia, ya que los jefes de seguridad dicen que necesitan personas que puedan reunir conocimientos en diversas esferas para satisfacer los entornos de seguridad y amenazas emergentes, así como los requisitos empresariales generales.
Aquí están las 10 áreas donde las habilidades serán más demandadas este año -y por qué:
Identificación y gestión de riesgos
Jorge Rey, CISO de la empresa de servicios profesionales Kaufman Rossin, quiere trabajadores de seguridad que entiendan tanto la empresa como su industria, por lo que valora las bajas tasas de rotación dentro de su departamento. Dice que los empleados veteranos aportan los conocimientos empresariales que necesita. Y esa perspicacia, cuando se combina con la perspicacia técnica y la experiencia en ciberseguridad, les ayuda a identificar qué amenazas suponen los mayores riesgos para su empresa, de modo que puedan asignar eficazmente los recursos limitados para ofrecer la mejor protección.
"La mejor manera de mitigar las amenazas es comprender el riesgo", comenta, "por lo que necesitamos personas versadas en gobernanza y estrategia que puedan determinar las mejores soluciones, que puedan encontrar la tecnología adecuada, o el proveedor externo adecuado, o crear la capacidad adecuada en la empresa".
Otros también sitúan la gestión de riesgos en un lugar destacado de su lista de habilidades deseadas para este 2021, y Burning Glass la menciona como una de las habilidades de seguridad que más rápidamente crecerá en los próximos cinco años.
"Los CISO necesitan personas que puedan adoptar un enfoque basado en el riesgo para construir una infraestructura digital segura", añade Markow.
Fundamentos técnicos
Los CISO también buscan personas con conocimientos técnicos generales, señalando que no pueden entender el riesgo y desarrollar planes de seguridad para un mundo digital, sin entender los componentes de TI que conforman la infraestructura.
"Se requiere y es necesario tener conocimientos de programación, de administración de sistemas y de redes... porque los conocimientos de seguridad no sirven de nada si no se cuenta con conocimientos básicos sobre los que construir", sostiene Matthew Rogers, CISO de la empresa de tecnología Syntax.
La empresa consultora PwC también identificó la perspicacia tecnológica como crítica para los profesionales de la seguridad, enumerando el conocimiento de los "bloques de construcción digital" como una de las tres áreas críticas de especialización (habilidades digitales, perspicacia comercial y habilidades sociales) necesarias para un programa de seguridad efectivo.
Como tal, Joe Nocera, director y líder del Instituto de Innovación Cibernética y de Privacidad de PwC, dice que los jefes de seguridad quieren personal que entienda la arquitectura, así como el registro, la supervisión, la gestión de la identidad y la autenticación, además de conocimientos sobre soluciones específicas de negocios y seguridad.
Jack O'Meara, un veterano CISO que ahora sirve como director del equipo de soluciones de seguridad cibernética en Guidehouse, una empresa de asesoramiento técnico y de outsourcing, está de acuerdo. "Quiero asegurarme de que la gente tenga experiencia práctica para las tecnologías específicas que estoy desplegando. Tienen que entender cómo funciona la tecnología, porque si no lo hacen, nunca van a entender cómo un atacante puede explotarla", anota.
Gestión y análisis de datos
El departamento de seguridad es uno de los mayores generadores de datos dentro de la empresa, y en muchas organizaciones se está convirtiendo también en uno de los mayores consumidores de datos, ya que trata de utilizar la información para impulsar estrategias de protección más eficaces y eficientes.
"Están buscando darle sentido a las cantidades masivas de datos que tienen, y las herramientas solo llegan hasta cierto punto", señala Brandon S. Dunlap, socio líder en seguridad y gestión de riesgos de la firma de investigación tecnológica Gartner, añadiendo que está viendo a más CISOs contratar científicos de datos, ingenieros de datos y oficiales de datos.
DevSecOps
Las organizaciones están pasando cada vez más de los DevOps a los DevSecOps, tratando de añadir consideraciones de seguridad en la fase de diseño y desarrollo de las aplicaciones para garantizar aplicaciones más seguras. Eso requiere personas de seguridad con conocimientos y experiencia en desarrollo y operaciones.
"Hemos aprendido en los últimos años que donde realmente se encuentra el riesgo de seguridad es en la propia aplicación, por lo que necesitamos tener un software desarrollado con seguridad integrada desde el principio", comenta Jeffrey Weber, director ejecutivo de la empresa de personal de TI Robert Half Technology.
Burning Glass enumera la seguridad en el desarrollo de aplicaciones como la habilidad de mayor crecimiento, con una demanda que se espera que aumente en un 164% en los próximos cinco años.
Nube
La adopción a gran escala de la nube, y especialmente la creciente adopción de una estrategia multi-nube, ha aumentado la demanda de trabajadores de seguridad con experiencia en despliegues de nubes y que puedan casar eso con la estrategia de seguridad de la empresa. Rey, por ejemplo, dice que quiere miembros del equipo con experiencia en una o más de las plataformas de nube públicas (AWS, Azure, Google), así como en la arquitectura de nube privada. "Cuando pienso en la seguridad en la nube, se requiere un poco de conocimiento; se trata de desarrollar una red segura dentro de un entorno de nube", añade.
Automatización
En su informe del 2020, The Life and Times of Cybersecurity Professionals, ESG dice que la seguridad de las empresas puede utilizar la automatización para ayudar a hacer frente a la escasez de habilidades de ciberseguridad. Los expertos están de acuerdo, explicando que la automatización de las tareas repetitivas crea eficiencias y aumenta la eficacia, mientras que cambia el valioso tiempo de los empleados al complejo trabajo que solo los humanos pueden hacer.
Sin embargo, la automatización de las funciones de seguridad requiere que los trabajadores de seguridad estén capacitados para implementar realmente las soluciones de automatización.
Rey está entre los CISO que creen que la automatización puede ayudar a cerrar la brecha de habilidades, diciendo que las habilidades de automatización "deberían estar incorporadas en cualquiera que esté en TI o en seguridad". Él quiere gente que sea capaz de identificar las tareas que pueden ser automatizadas, así como puede hacer la automatización en sí, utilizando Python, PowerShell y otros lenguajes de programación para hacerla realidad.
Caza de amenazas
La caza de amenazas es una estrategia de seguridad relativamente nueva que está ganando fuerza. Según una encuesta realizada en el 2020 por el fabricante de soluciones de seguridad DomainTools, el 93% de las organizaciones dijeron que la caza de amenazas debería ser una iniciativa de máxima seguridad para proporcionar una detección temprana y reducir el riesgo. El creciente interés en las prácticas de caza de amenazas y su aplicación está impulsando la demanda de la combinación adecuada de las habilidades necesarias para hacer el trabajo. Burning Glass la lista como la habilidad de mayor crecimiento en demanda.
Rick McElroy, principal estratega de ciberseguridad de la empresa de tecnología de seguridad VMware Carbon Black, dice que se necesitan aptitudes analíticas, comprensión del marco MITRE ATT&CK u otras metodologías similares, conocimiento de la pila tecnológica de la empresa (para que "puedan saber cuándo algo 'torcido' está sucediendo") y una curiosidad intelectual para sondear los problemas. "Tienen que pensar como un atacante; tienen que preguntarse, '¿Cómo podría un atacante burlar mis defensas?'", anota McElroy.
Habilidades interpersonales
La función de ciberseguridad no solo se ha vuelto más crítica con el auge de la economía digital, sino que también se ha vuelto más prominente. Eso pone a los profesionales de la seguridad frente a la C-suite, los miembros de la junta y los empleados con mayor frecuencia. Por lo tanto, deben ser capaces de colaborar, comunicarse y consultar con estas diversas partes interesadas, haciendo de esas y otras habilidades interpersonales un producto de primera necesidad. "Es casi una función de ventas, poder presentarse a todos los diferentes niveles de la organización para inculcarles lo que tienen que hacer para proteger la organización", señala Gary Todd, director asociado de ciberseguridad de la empresa de energía PNM Resources.
Visión para los negocios
La CISO de HP, Joanna McDaniel Burkey, quiere trabajadores que entiendan el negocio, que hablen en términos comerciales y se vean a sí mismos como empresarios y tecnólogos. Ella dice que los profesionales de la seguridad necesitan tales habilidades para poder ayudar a manejar el riesgo, que es el objetivo principal del equipo de seguridad moderno.
Los profesionales de la seguridad deben ayudar a sus organizaciones a equilibrar la seguridad con los costos, las demandas del mercado y otras métricas empresariales. "Hablo de ello como 'polaridades a gestionar' frente a compensaciones", señala. "Necesitamos ver ambos lados de los problemas, necesitamos ponernos en su lugar, para poder co-crear bien con las partes interesadas".
Agilidad
Según el estudio sobre la fuerza de trabajo del 2020 (ISC)², el 30% de los encuestados vieron cómo sus organizaciones se trasladaban a una fuerza de trabajo remota en un solo día como resultado de la pandemia COVID-19, mientras que otro 47% tenía solo varios días a una semana para hacer el cambio (solo el 16% tenía más de una semana.) Los expertos no prevén que estas rápidas transformaciones del lugar de trabajo se conviertan en la norma, pero sí esperan que el ritmo de los cambios tecnológicos y empresariales siga acelerándose.
La seguridad debe seguir el ritmo. "COVID trajo un nuevo conjunto de estafas y ataques y una nueva forma de trabajar", señala E.J. Widun, quien, como CTO del Condado de Oakland, Michigan, trabaja con el equipo de seguridad. "COVID demostró que necesitamos gente con la capacidad de adaptarse, y de adaptarse rápidamente."
Basado en el artículo de Mary K. Pratt (CSO) y editado por CIO Perú
Crédito foto: Kevin / CC0