Cada año, el Enterprise Strategy Group (ESG) y la Information Systems Security Association (ISSA) realizan conjuntamente un proyecto de investigación y producen un informe titulado “La vida y la época de los profesionales de la ciberseguridad”. Como parte de este proyecto, a los encuestados se les hará una serie de preguntas sobre la escasez global de habilidades en ciberseguridad.
Según el panel, la escasez de habilidades en ciberseguridad es real y tiene un impacto importante. En 2023, el 71% de los encuestados dijeron que sus organizaciones se ven afectadas por una escasez de habilidades en ciberseguridad. (Nota del autor: el proyecto de investigación 2024 está en marcha y los resultados se presentarán en la conferencia RSA. El libro electrónico de este año se publicará poco después).
Por supuesto, estos resultados no fueron sorprendentes. ESG e ISSA llevan ocho años llevando a cabo este proyecto de investigación. Hacemos las mismas preguntas todos los años, y cada año entre el 60% y el 75% de las organizaciones afirman verse afectadas por una escasez de habilidades. Estos resultados son similares a otros estudios de investigación como la Encuesta de Talento en Ciberseguridad ISC2.
Con base en estos datos, podemos inferir que el personal de TI y ciberseguridad cree que la escasez de habilidades de seguridad es real, persistente e impactante. Entonces, ¿qué piensan los CISO? Después de todo, los CISO dirigen departamentos de ciberseguridad y poseen programas de seguridad en organizaciones de todo el mundo. Ante este hecho, los CISO deben analizar la situación a vista de pájaro y comprender si realmente está marcando una diferencia en la organización.
Casi un tercio de los CISO dicen que se han visto significativamente afectados
Como era de esperar, los datos de ESG/ISSA muestran que los CISO se ven directamente afectados por la situación de escasez de habilidades. Por ejemplo, casi un tercio (32%) de los encuestados dice que la falta de habilidades en ciberseguridad está teniendo un impacto significativo en su organización, en comparación con el 26% del resto de encuestados.
¿Qué ha causado la escasez de habilidades? Al igual que otros profesionales de la ciberseguridad, los CISO creen que la escasez de habilidades ha aumentado la carga de trabajo, aumentado las tasas de agotamiento de los empleados y los ha mantenido sin trabajo durante semanas o meses. Sin embargo, aparte de estas respuestas generales, los CISO tienen algunas opiniones específicas sobre el impacto de la escasez de habilidades.
Por ejemplo, casi un tercio (32%) de los CISO dijo que la falta de habilidades ha aumentado los errores humanos relacionados con las tareas de ciberseguridad, en comparación con el 16% de otros encuestados. Esto puede deberse a la perspectiva más amplia de los CISO, que ven problemas de errores humanos en toda la organización en comparación con los gerentes y el personal que se centran en tareas individuales.
Además, el 38% de los CISO afirma que la escasez de habilidades ha reducido la colaboración entre los equipos de ciberseguridad y de negocios (en comparación con el 26% de otros encuestados). Esto debería ser una señal de alerta para los ejecutivos de seguridad, ya que alinear las prioridades de seguridad y de negocio es el núcleo del trabajo de un CISO.
Finalmente, el 43% de los CISO dicen que están contratando/capacitando candidatos junior en lugar de candidatos más experimentados debido a la escasez de habilidades (en comparación con el 28% de otros encuestados). Esto significa que los CISO se ven obligados a tomar decisiones de inversión y contratación subóptimas que definitivamente impactan la efectividad y eficiencia de todo su equipo.
¿Qué factores conducen a la escasez de habilidades?
Otra pregunta de la encuesta pidió a los encuestados que identificaran las causas de la escasez de habilidades en sus organizaciones. Una vez más, destacaron las respuestas de los CISO. El 68 % de los CISO dice que su organización no ofrece una compensación competitiva, lo que dificulta reclutar y contratar talento (en comparación con el 42 % de otros encuestados).
Esto puede ser extremadamente frustrante y un CISO agresivo hará sonar la alarma en el tablero. Además, el 41% de los CISO afirma que reclutar y contratar es difícil porque su empresa no tiene reputación de líder en ciberseguridad (en comparación con el 25% de otros encuestados).
En esta situación, los CISO deben centrarse en aspectos relacionados con el trabajo que buscan los profesionales de la ciberseguridad, como programas de tutoría, oportunidades de formación continua y desarrollo profesional.
Finalmente, se preguntó a los encuestados si pensaban que sus organizaciones estaban haciendo lo suficiente para abordar la escasez de habilidades en ciberseguridad. Poco menos de un tercio (32%) de los CISO dijo que sí (en comparación con el 26% de otros encuestados), pero un sorprendente 41% de los CISO cree que su organización podría hacer más (35% de otros encuestados).
¿Qué puede hacer un CISO?
¿Qué debe hacer un CISO? Si bien no se pueden incorporar profesionales experimentados en ciberseguridad a su personal, existen algunas prácticas recomendadas que he escuchado al hablar con docenas de ejecutivos de seguridad. Esto incluye:
Centrarse en la retención de empleados. Todos los días se contratan profesionales experimentados en ciberseguridad, atraídos por salarios más altos y mejores condiciones de trabajo. Los CISO exitosos vigilan la satisfacción de los empleados y ayudan a su personal a controlar sus niveles de estrés. Un CISO proactivo también abre puertas para que el personal aumente sus habilidades y oportunidades profesionales.
Actuamos como un grupo de apoyo para los funcionarios y la junta directiva. No hay ninguna razón por la que el personal de ciberseguridad deba estar mal pagado o infravalorado. Los CISO proactivos educan a los ejecutivos sobre las comparaciones salariales competitivas y los riesgos y costos asociados con equipos con escasez de personal y rotación de empleados. Cuando se trata de personal de ciberseguridad, los ejecutivos deben comprender la locura de gastar dinero para ganar centavos.
Trabajar con departamentos de TI en la automatización de procesos de un extremo a otro. ¿Cómo se puede aumentar la eficiencia del personal sin aumentar la plantilla? Automatiza cualquier proceso que pueda automatizarse. Automatizar los procesos de operaciones de seguridad es un buen comienzo, pero las organizaciones con visión de futuro mirarán más allá de la seguridad y considerarán la automatización de procesos en todo el ciclo de vida, abarcando la seguridad, las operaciones de TI y el desarrollo de software. Los ejemplos incluyen detección y parcheo de vulnerabilidades de software, segmentación de redes y programas DevSecOps.
Obtener apoyo. Como parte de la planificación del programa de seguridad, los CISO deben incorporar suposiciones sobre cómo la falta de habilidades en ciberseguridad afectará sus metas y objetivos. Esto significa que los CISO deben crear un modelo de ciberseguridad abierto que permita a los proveedores de servicios gestionados integrar perfectamente las fortalezas y debilidades de sus controles existentes, procesos establecidos y conjuntos de habilidades.
Fuente: https://www.csoonline.com/article/2074581/the-cybersecurity-skills-shortage-a-ciso-perspective.html/amp/