[01/11/2023] La escasez de mano de obra en ciberseguridad ha alcanzado la cifra récord de casi cuatro millones de personas, a pesar de que el personal de ciberseguridad ha crecido casi un 10% en el último año. Así se desprende del último Estudio sobre la mano de obra en ciberseguridad de ISC2, la organización sin ánimo de lucro que agrupa a los profesionales de la ciberseguridad. La brecha entre el número de trabajadores necesarios y el número disponible ha aumentado un 12,6% año tras año, con los recortes, la incertidumbre económica, la inteligencia artificial (IA) y un panorama de amenazas desafiante como fuerzas impulsoras clave, según el estudio. Según el ISC2, el déficit actual de mano de obra a escala mundial se estima en 3.999.964 personas, mientras que la propia mano de obra es de 5.452.732 personas. Mientras tanto, las organizaciones están invirtiendo en estrategias para prevenir o mitigar los problemas de personal a los que se enfrentan.
Dos tercios de las organizaciones carecen del personal necesario para prevenir y solucionar los problemas de seguridad
Dos tercios (67%) de los 14.865 profesionales de la ciberseguridad encuestados afirmaron que su organización carece del personal de ciberseguridad necesario para prevenir y solucionar problemas de seguridad. Según el informe, los recortes para ahorrar costos, como los recortes presupuestarios, los despidos y la congelación de contrataciones/promociones, están desempeñando un papel fundamental.
En general, el 47% de los trabajadores de ciberseguridad han experimentado recortes relacionados con la ciberseguridad, y el 22% de este grupo se ha visto afectado por despidos dentro de la ciberseguridad. Un 28% adicional ha sufrido despidos en otras partes de sus organizaciones, lo que puede afectar significativamente a la mano de obra de ciberseguridad. Casi la mitad de los encuestados afirmaron que los recortes han afectado a su equipo de seguridad de forma desproporcionada en comparación con el resto de su organización: el 71% ha experimentado un impacto negativo en su carga de trabajo, y el 57% ha visto afectada su capacidad para responder a las amenazas de ciberseguridad.
Los sectores del entretenimiento (33%), la construcción (31%) y la automoción (29%) se han visto especialmente afectados por los despidos en ciberseguridad. Los sectores militar/contratista militar (8%), gubernamental (9%) y educativo (13%) han sido los menos afectados. Geográficamente, América Latina (Brasil y México) ha sido la región más afectada, seguida de Nigeria y Emiratos Árabes Unidos. Los países con menos despidos son Hong Kong, Estados Unidos y Arabia Saudí.
Las carencias de competencias en ciberseguridad son tan difíciles como la escasez
La escasez de personal no es el único aspecto en el que las organizaciones tienen carencias en su mano de obra de ciberseguridad, ya que también es problemática la necesidad clara y crítica de cubrir las carencias de competencias en la profesión de la ciberseguridad, según descubrió el ISC2. Una carencia de competencias es un área en la que los equipos de ciberseguridad carecen de trabajadores con dominio o experiencia en habilidades concretas que son necesarias para funcionar con eficacia.
Más de la mitad (59%) de los trabajadores de ciberseguridad afirmaron que las carencias de competencias pueden ser peores que la escasez total de trabajadores, mientras que el 92% informó de carencias de competencias en su organización, siendo las más comunes la seguridad de la computación en nube, la IA/ML y la implantación de la confianza cero. Casi la mitad (43%) citó una o más carencias de competencias importantes o críticas en su empresa. Según el informe, la incapacidad para encontrar personas con las habilidades adecuadas (44%), la dificultad para retener a personas con habilidades demandadas (42%) y la falta de presupuesto para contratar personal (41%) son las principales causas de estas carencias.
Es más, los despidos parecen tener un mayor efecto en las carencias de competencias que en la escasez total de personal. Según el ISC2, la mayoría de las organizaciones que han sufrido despidos en el ámbito de la ciberseguridad (51%) se han visto afectadas por una o más carencias importantes de competencias, frente a sólo el 39% de las organizaciones que no han sufrido despidos. Curiosamente, el 58% de los encuestados afirmó que el impacto negativo de la escasez de trabajadores puede mitigarse cubriendo las carencias de competencias clave.
Las empresas invierten para hacer frente a la escasez de personal y competencias en ciberseguridad
Según el informe, las empresas se están centrando en estrategias para hacer frente a la escasez de personal y competencias en ciberseguridad. La inversión en formación (72%), la oferta de condiciones de trabajo más flexibles (69%), la inversión en iniciativas de diversidad, equidad e inclusión (DEI), la selección, contratación e incorporación de nuevo personal (67%) y el uso de la tecnología para automatizar aspectos del trabajo de seguridad (65%) se citaron como prioridades en la agenda.
A pesar de la importante agitación, los trabajadores de la ciberseguridad parecen estar bastante satisfechos con sus funciones, señaló el ISC2. Casi tres cuartas partes (70%) declararon estar algo o muy satisfechos con su trabajo -un 4% menos que el año pasado-, mientras que el 82% afirmó trabajar bien con los miembros del equipo de seguridad. Los datos también mostraron que la composición de la mano de obra de ciberseguridad está cambiando tanto en género como en raza/etnia. El mayor cambio se produjo en los hombres no blancos por edad; en Estados Unidos, Canadá, Irlanda y Reino Unido, el 70% de los profesionales de la ciberseguridad de 60 años o más son hombres blancos. En esos mismos países, sólo el 37% de los menores de 30 años son hombres blancos. Dos tercios (66%) de los trabajadores de seguridad que se incorporaron a la profesión en EE.UU., Canadá, Irlanda y Reino Unido en los últimos 12 meses no eran blancos.
Los profesionales de la ciberseguridad valoran claramente una plantilla diversa: el 69% afirma que un entorno inclusivo es esencial para que su equipo tenga éxito, y el 65% afirma que es importante que su equipo de seguridad sea diverso. Más de la mitad de los encuestados (57%) afirmó que la DEI seguirá siendo más importante para su equipo de ciberseguridad en los próximos cinco años.
La plantilla de ciberseguridad debe duplicarse para hacer frente a las amenazas
"Mientras celebramos el número récord de nuevos profesionales de la ciberseguridad que se incorporan a este campo, la acuciante realidad es que debemos duplicar esta fuerza de trabajo para proteger adecuadamente a las organizaciones y sus activos críticos", sostuvo Clar Rosso, CEO de ISC2. "En medio del actual panorama de amenazas, que es el más complejo y sofisticado que jamás haya existido, los crecientes desafíos a los que se enfrentan los profesionales de la ciberseguridad subrayan la urgencia de nuestro mensaje: las organizaciones deben invertir en sus equipos, tanto en términos de nuevos talentos como de personal existente, equipándolos con las habilidades esenciales para navegar por el panorama de amenazas en constante evolución".
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú