[23/07/2023] Encontrar personal calificado para sustituir vacantes o ampliar un equipo puede ser una pesadilla para los ya sobrecargados CISO, especialmente dada la perjudicial y constante escasez de trabajadores calificados en ciberseguridad en el mercado laboral. Una alternativa creativa a las frustrantes búsquedas de nuevos empleados es mirar hacia adentro, en lugar de hacia afuera, para encontrar personas capaces e inteligentes que ya trabajen en otras áreas de la empresa y capacitarlas para que desempeñen roles en el equipo cibernético.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
La mejora de las habilidades tiene muchos beneficios sobre la contratación de nuevos empleados: los empleados actuales no necesitan adaptarse a la cultura corporativa, tienen memoria institucional, mantienen relaciones dentro de la empresa, y ya están en el canal de recursos humanos. La desventaja es su falta de capacitación y certificación, pero ese es un pequeño precio a pagar por conseguir un miembro del equipo con talento.
Pam Nigro, vicepresidenta de seguridad de Medecision, ha experimentado el proceso de mejora de habilidades de los trabajadores no técnicos con conocimientos complementarios para ampliar su equipo de seguridad. En un trabajo previo en Health Care Services (HCSC), capacitó a empleados que trabajaban en auditoría y gestión de relaciones con proveedores, para dotar de personal a un nuevo programa de gestión de riesgos de terceros. Después de aprobar la capacitación de fundamentos de seguridad interna, recibieron certificaciones HITRUST y pudieron comenzar a validar el cumplimiento de proveedores externos.
Entrenar al personal no técnico es solo el comienzo
"En HCSC, desarrollamos una trayectoria profesional para capacitar y recertificar a los empleados con habilidades complementarias, y lo he trasladado a mi trabajo actual. Ahora, mis socios de TI y redes trabajan conmigo en la capacitación cruzada para hacer que la gente siga adelante”, señala Nigro. Además, explica que la certificación forma parte del proceso de mejora de las habilidades de los empleados, "pero nunca considero la certificación como el final del desarrollo de habilidades, sino como el comienzo y la base sobre la cual construir”.
Nigro también es profesora adjunta en la Universidad de Lewis, donde imparte cursos de posgrado sobre seguridad, riesgo y gobernanza. Además, es presidenta de la junta y vicepresidenta de ISACA, donde enseña el curso Cybersecurity Fundamentals, diseñado específicamente para mejorar las habilidades de las personas sin experiencia en seguridad. Es parte de un conjunto más amplio de certificados necesarios para obtener el certificado avanzado de Information Technology Certified Associate (ITCA), que exige la aprobación de exámenes sobre cinco fundamentos: conceptos informáticos, redes e infraestructura, ciberseguridad, desarrollo de software y ciencia de datos.
La mejora de habilidades es una "opción sólida” para resolver los problemas de personal
Según la encuesta Workforce and Learning Trends Survey de CompTIA, publicada en abril del 2023, el 75% de los encuestados dijeron que planean aumentar el alcance de sus programas y procesos de movilidad del talento a través de una mayor capacitación y certificación. "En términos generales, esta es una opción sólida para muchas empresas que intentan resolver su desequilibrio entre la oferta y la demanda de habilidades”, señala Seth Robinson, vicepresidente de investigación de la industria en CompTIA. "Hay circunstancias en las que se puede lograr que alguien que no tiene un trabajo técnico, con una cantidad adecuada de capacitación, trabaje en seguridad. Pero empezarían en un nivel básico y, si muestran una gran aptitud, podrían avanzar a funciones de cumplimiento y seguridad de mayor nivel”.
A medida que más organizaciones buscan mejorar las habilidades de los empleados para hacer crecer sus equipos de seguridad utilizando talento interno, hay una variedad de certificaciones y trayectorias profesionales disponibles para los empleados en función de cómo sus habilidades existentes pueden alinearse con diferentes roles de seguridad. Para tener éxito en la mejora de habilidades de los empleados no técnicos en funciones de seguridad, es importante trazar adecuadamente el camino, aconseja Diana Kelley, CISO en Protect AI y fundadora de Security Curve, una consultora de ciberseguridad.
Identificar habilidades transferibles
"Si está trasladando a personas de otras áreas de la empresa a la seguridad técnica, analice la diferencia entre las habilidades transferibles del empleado y el puesto al que se va a incorporar. Por ejemplo, si se necesita una persona para seguridad del producto, podría mejorar las habilidades de un ingeniero de producto o un gerente de producto porque saben cómo funciona el producto, pero es posible que les falte la mentalidad de seguridad”, explica. "Es importante identificar a aquellos que están listos para un nuevo reto, reconocer sus habilidades transferibles, y crear trayectorias profesionales para retener y promover a los mejores empleados en lugar de contratar a gente de afuera”.
En la mayoría de las situaciones de mejora de habilidades, Kelley recomienda la CompTIA Security+ Certification, que no tiene requisitos previos, aunque a los estudiantes les convendría tener conocimientos básicos de redes informáticas. Quizás podrían comenzar con las certificaciones A+ o Network+, que se encuentran en la trayectoria profesional de CompTIA.
Además de las certificaciones de CompTIA e ISACA, SANS Institute también ofrece varios cursos orientados a mejorar las habilidades de los empleados que se inician en la ciberseguridad, como la nueva certificación GIAC Foundational Cybersecurity Technologies (GFACT) y la certificación GIAC Information Security Fundamentals (GISF).
SANS también ofrece cursos introductorios de análisis forense digital y computación en la nube; esta última se encuentra entre las capacitaciones más solicitadas actualmente, afirma Rob Lee, director de planes de estudio de SANS. También señala que para mejorar las habilidades hay nichos dentro de nichos; por ejemplo, arquitectura en la nube o pruebas de penetración en la nube, y entornos de nube específicos como AWS, Azure o Google. (Google también ha añadido recientemente un nuevo certificado de ciberseguridad de seis meses a su programa de certificación Google Career).
La capacitación especializada puede ser clave a la hora de mejorar
Otras áreas de especialidad incluyen habilidades de seguridad para sistemas ICS o SCADA, así como auditores de sistemas financieros. Para transferir habilidades a las áreas especializadas en las que se necesita talento, Lee recomienda utilizar las evaluaciones de habilidades de talento cibernético de SANS, que cuestan 200 dólares cada una. "Las evaluaciones de talento cibernético de SANS les ofrecen a los gerentes la capacidad de identificar las habilidades, el desempeño y la inversión en capacitación de su equipo”, anota Lee. "Si alguien debe ocupar un nuevo rol cibernético y usted quiere saber quién será la superestrella, las evaluaciones le ayudarán a identificar a estas personas y luego podrá hacer que obtengan más capacitación y certificaciones”.
Si bien mejorar las habilidades y certificar a los empleados existentes ayudaría a la organización a retener a las personas talentosas que ya conocen la empresa, Deidre Diamond, CEO fundadora de la empresa de búsqueda de talentos cibernéticos CyberSN, advierte contra el traslado de trabajadores calificados a roles de nivel básico en seguridad que no pagan lo que los empleados están acostumbrados a ganar. Mejorar las habilidades de los analistas financieros en el ámbito del cumplimiento normativo, ya sea como analistas de riesgo cibernético o de GRC, requerirá certificaciones de mayor nivel, pero es probable que la remuneración de esos puestos sea más equitativa para los empleados mejor pagados, agrega.
CyberSN es una plataforma de búsqueda gratuita con requisitos laborales estandarizados para 45 roles de seguridad. Todos los roles requieren cierta experiencia en redes y seguridad, y la mayoría solicitan certificaciones, incluyendo los roles de analista, que son los más buscados, seguidos por DevSecOps e ingenieros de seguridad.
Capacitarse fuera de la caja
Además de los organismos de certificación conocidos, existe una amplia variedad de otros programas de capacitación para preparar a los empleados no técnicos para trabajar en ciberseguridad. Por ejemplo, están los programas de movilidad económica, como el Ventura County Digital Upskilling Training Program. El programa piloto financiado por el estado y dirigido por Economic Development Collaborative (EDC) ofrece formación gratuita para certificaciones a las empresas locales, incluidas las certificaciones CompTIA A+ y Security+.
Además, los Centros de Análisis e Intercambio de Información (ISAC) de infraestructura crítica ofrecen cursos de capacitación para sus empresas miembros. Por ejemplo, Financial Services ISAC ofrece capacitación para juntas directivas y empleados de empresas miembro sobre fundamentos cibernéticos, ataque, defensa, inteligencia, aplicaciones y nube.
De manera similar, en el Reino Unido, el Centro Nacional de Ciberseguridad brinda capacitación y certificaciones a un precio razonable para principiantes, como su BCS en principios de gestión de seguridad de la información, que se aplica a aquellos con experiencia en seguridad cibernética que desean obtener más información, pero también a los propietarios de activos de información de unidades de negocios y aquellos con responsabilidades de cumplimiento legal.
Espere alrededor de un año para que las personas no técnicas aumenten y obtengan la mayoría de las certificaciones básicas que necesitan para pasar a la ciberseguridad, aconseja Lee. La mayoría de los principales organismos de certificación, incluido SANS, ofrecen capacitación y certificaciones en varios países y regiones del mundo y tienen un precio presencial o virtual, con o sin laboratorios prácticos, e incluyen costos adicionales por realizar las pruebas para ganar las certificaciones
"Piense en la mejora de las habilidades y las certificaciones como una forma de apoyar a los empleados que están listos para un nuevo desafío porque han superado su función actual”, anota Kelley. "Más organizaciones deberían ver qué es lo correcto para el éxito futuro de sus empleados al desarrollar las habilidades transferibles que ya tienen y ayudarlos a mejorar a partir de ahí”.
Basado en el artículo de Deb Radcliff (CSO) y editado por CIO Perú
Puede ver también: