Cómo priorizar la inversión en talento de ciberseguridad

Recientemente, Scott Schlueter, Director de Soluciones de Seguridad de Rackspace, y Dave Baxter, Director de Prestación de Seguridad, se sentaron a hablar sobre el déficit de talentos en ciberseguridad y su impacto en la organización. Juntos, compartieron la forma en que las organizaciones proactivas están afrontando este reto y ofrecieron su visión sobre el futuro del mismo. Destacando la necesidad crítica de resiliencia, ofrecieron consejos prácticos para cultivar el talento a través de la mejora selectiva de las cualificaciones, sólidos programas de formación e iniciativas de despliegue estratégico.

P: ¿Cuál es la situación actual en cuanto a escasez de talentos en ciberseguridad?

Scott Schlueter (SS): Sigue habiendo una importante escasez de talentos en diversos ámbitos del sector. Esto ocurre cuando las empresas carecen de personal y deben encontrar una solución. También es importante señalar que muchas organizaciones ni siquiera son capaces de abordar plenamente esta brecha de forma eficaz en todo momento. Algunas funciones de ciberseguridad están resultando especialmente difíciles de cubrir, sobre todo las de asesoramiento en arquitectura y cumplimiento de normativas. Cuando se trata de arquitectura, es crucial definir la tarea antes de empezar un proyecto de seis meses. Del mismo modo, un especialista en cumplimiento puede tener que cumplir un calendario normativo específico y trabajar con una fecha establecida. Para las grandes empresas, tener un empleado a tiempo completo puede ser más factible, pero para las pequeñas empresas, a menudo no es el caso. En estas situaciones, las empresas pueden verse obligadas a buscar recursos en otras organizaciones, lo que provoca una brecha de talento persistente sin una resolución clara a la vista.

P: ¿Cómo es probable que evolucione la escasez de trabajadores cualificados en ciberseguridad y qué pautas ha observado en sus conversaciones con colegas?

SS: La Oficina de Estadísticas Laborales de EE.UU. Occupational Outlook Handbook for Information Security Analysts afirma que se prevé que el empleo de analistas de seguridad de la información crezca un 31% de 2019 a 2029, mucho más rápido que la media de todas las demás ocupaciones. A medida que avanza la tecnología y evolucionan las organizaciones, sigue aumentando la necesidad de especialistas cualificados en ciberseguridad. Las perspectivas de empleo van a ser buenas en el futuro inmediato. Esto subraya la acuciante necesidad de personas que se incorporen a este campo para hacer frente a la creciente demanda. Y lo son.

Pero incluso a pesar del creciente número de personas que siguen una carrera profesional, el proceso de ascender de los puestos de entrada a los de alta dirección lleva varios años, a menudo hasta una década. Así pues, existe un grupo considerable de profesionales noveles en el sector y una muestra más pequeña de trabajadores altamente cualificados de nivel superior, donde la demanda de sus servicios es constantemente alta y abundan las oportunidades de empleo.

Dave Baxter (DB): Es un poco como la tendencia de la certificación Microsoft Certified Solutions Associate (MCSE) en los años noventa. La gran demanda de profesionales certificados en aquella época llevó a Microsoft a introducir una línea de certificaciones que podían completarse en seis semanas. Como resultado, se produjo un aumento de las empresas que contrataban a personas con la certificación MCSE, a pesar de su falta de experiencia práctica. La tendencia actual de las empresas a dar prioridad a las certificaciones frente a la experiencia práctica se está volviendo demasiado familiar en el campo de la ciberseguridad.

Y hay una tendencia similar digna de mención: Los vloggers del sector de la seguridad promueven la idea de obtener tres certificaciones importantes en 90 días. Estos expertos han compartido sus propias experiencias, consejos y recursos de estudio para ayudar a las personas a prepararse para los exámenes CompTIA Security+, CEH y CISSP en un plazo más corto. Haciendo hincapié en la importancia de la dedicación y el aprendizaje práctico, creen que estas certificaciones son valiosas para progresar profesionalmente en este campo.

P: ¿Qué responsabilidades tienen los particulares a la hora de abordar la seguridad y abogar por mejores incentivos o estrategias de retención?

DB: Las empresas que se mantienen a la vanguardia en este asunto van a dar prioridad a la inversión en la mejora de las cualificaciones a través de diversos métodos, como la formación presencial, la asociación con agencias y proveedores, y la actualización de los salarios estándar del sector para retener el talento. El autoaprendizaje y la adaptación a las nuevas tecnologías también desempeñan un papel importante en el mantenimiento de las competencias del personal, ya que nuestro campo evoluciona constantemente.

P: ¿Cuáles serán las consecuencias si una empresa no da un paso al frente y aborda su contratación y formación en ciberseguridad?

SS: A medida que la ciberseguridad evoluciona constantemente, trae nuevos desafíos, como asegurar la tubería DevSecOps e incorporar AI de manera responsable. Estos avances crean oportunidades para que las personas se unan a la industria a través de la mejora de las cualificaciones o la migración desde campos relacionados, como la ciencia de datos.

DB: Básicamente, ese ha sido mi recorrido aquí en 10 años. Pasé de la evaluación de riesgos, la auditoría de clientes, el cumplimiento y la gestión de vulnerabilidades a la gestión del cifrado y la seguridad de la nube híbrida. Tenía que adaptarme constantemente, aunque no fueran mis especialidades. Siempre nos gusta decir: "La gente de seguridad de verdad lo vive, no solo lo aprende".

SS: Un buen tecnólogo disfruta aprendiendo constantemente y evita el estancamiento gravitando hacia campos emergentes. Se esfuerzan por mantenerse al día centrándose en áreas con potencial de crecimiento. Si su empresa no persigue tecnologías nuevas e innovadoras e invierte en el crecimiento de la seguridad, los talentos se marcharán a organizaciones que sí innoven e inviertan.

Conozco organizaciones que dudan en ofrecer una formación y certificación generalizadas por miedo a que el personal se vaya a otras organizaciones. Sin embargo, si los conocimientos y la certificación se adquieren y adoptan en el marco de proyectos activos, se adquiere una sensación de conocimiento aplicado y de propiedad que, en última instancia, se alinea con los objetivos de un programa de seguridad. Los directivos deben desarrollar un plan de formación que combine las necesidades de la organización con la trayectoria de aprendizaje deseada por cada empleado, de modo que todas las partes consigan una mejora de las competencias y un crecimiento inteligente.

P: La dotación presupuestaria para seguridad ha aumentado drásticamente en los últimos años. Según un estudio sobre ciberseguridad realizado por entre 1.420 responsables de TI de todo el mundo a principios de este año, , el 62% de los responsables de TI aumentaron sus presupuestos el año pasado. ¿Es esto suficiente para mantener a las empresas y organizaciones adecuadamente protegidas de las ciberamenazas?

SS: En los últimos 10-15 años, los presupuestos de seguridad solían quedar relegados a un segundo plano, mientras que la mayor parte de la atención se dedicaba a la infraestructura y las aplicaciones informáticas. Este descuido condujo a medidas de seguridad inadecuadas, dejando a las organizaciones vulnerables a las brechas. A medida que evolucionan la tecnología y las amenazas, las inversiones en seguridad son cruciales, y las empresas deben cambiar de mentalidad para dar prioridad a la seguridad en lugar de tratarla como algo secundario.

La seguridad no puede ser responsabilidad de un solo departamento. El CISO inteligente sustituirá a sus homólogos para impulsar las mejores prácticas de seguridad. Los responsables de seguridad también se beneficiarán del avance de las estrategias de TI de otros departamentos aprovechando el dinero destinado a seguridad para ayudar a financiar iniciativas de plataformas, datos y aplicaciones que puedan reducir significativamente el riesgo de la organización y la deuda técnica. Una inversión innovadora significa que la seguridad se incorpora a todas las iniciativas estratégicas, y no es una herramienta más que se superpone o un flujo de trabajo restrictivo.  

DB: Empieza a haber un cambio hacia la asignación de un mayor porcentaje del presupuesto a la seguridad, especialmente para las empresas que manejan información sensible. Es crucial que las empresas den prioridad a las cuestiones de seguridad y personal para protegerse a sí mismas y a sus clientes. Así podrán seguir avanzando y centrándose en crear sistemas seguros.

Join the Conversation: Find Solve on Twitter and LinkedIn, or follow along via RSS.

Stay on top of what's next in technology

Learn about tech trends, innovations and how technologists are working today.