Conclusion
     
    Remove Translation Translation
    Original Text

    Cybersecurity professionals continue to manage their careers in a tactical manner with little long-term planning.  Many cybersecurity professionals believe that their organizations need to do more to keep up with cybersecurity requirements.

    Los profesionales de la ciberseguridad siguen gestionando sus carreras de manera táctica con poca planificación a largo plazo. Muchos profesionales de la ciberseguridad creen que sus organizaciones deben hacer más para cumplir con los requisitos de ciberseguridad.

    The cybersecurity skills shortage seems to be getting worse, forcing overwhelmed cybersecurity professionals into constant firefighting. While the skills shortage will continue with no end in sight, this year’s research suggests that organizations could and should be doing more to address it.

    La escasez de habilidades en ciberseguridad parece estar empeorando, lo que obliga a los abrumados profesionales de la ciberseguridad a luchar constantemente contra incendios. Si bien la escasez de habilidades continuará sin un final a la vista, la investigación de este año sugiere que las organizaciones podrían y deberían hacer más para abordarla.

    Takeaways for Cybersecurity Professionals

    Conclusiones para los profesionales de la ciberseguridad

    As with past reports, cybersecurity professionals—especially those in the early stages of a cybersecurity career or individuals seeking to enter the field—should use this research for career planning. Therefore, cybersecurity professionals should:

    Al igual que con los informes anteriores, los profesionales de la ciberseguridad, especialmente aquellos que se encuentran en las primeras etapas de una carrera en ciberseguridad o las personas que buscan entrar en el campo, deberían utilizar esta investigación para planificar su carrera. Por lo tanto, los profesionales de ciberseguridad deberían:

    Start networking, keep networking. Survey respondents recommend that entry-level security professionals join a professional organization as a means for getting their first job. The data also shows that professional organizations act as a catalyst for job hunting, career development, and continuing education. Taken together, the ESG/ISSA research demonstrates that professional organizations can help throughout a cybersecurity career, paying dividends on time and money invested. ISSA itself is a good choice, but the data seems to indicate that cybersecurity professionals will benefit from other regional, industry, and professional organizations.

    Comience a trabajar en red, siga creando redes Los encuestados recomiendan que los profesionales de seguridad principiantes se unan a una organización profesional como medio para conseguir su primer empleo. Los datos también muestran que las organizaciones profesionales actúan como catalizadores para la búsqueda de empleo, el desarrollo profesional y la educación continua. En conjunto, la investigación de ESG/AISS demuestra que las organizaciones profesionales pueden ayudar a lo largo de una carrera en ciberseguridad, pagando dividendos a tiempo y dinero invertidos. La propia AISS es una buena opción, pero los datos parecen indicar que los profesionales de la ciberseguridad se beneficiarán de otras organizaciones regionales, industriales y profesionales.

    Resist certification loading—it doesn’t pay. After five years of research, it’s clear to ESG and ISSA that a CISSP and a few limited other certifications can be valuable building blocks for a cybersecurity career. Others may look good on a resume or business card, but cybersecurity professionals consistently claim to get far more out of hands-on experience like internships, mentoring programs, or staff rotation. Security certifications should be consumed for specific use cases, to meet job requirements, or to augment on-the-job experience period.

    Resiste la carga de la certificación: no paga. Tras cinco años de investigación, la ESG y la AISS tienen claro que un CISSP y algunas otras certificaciones limitadas pueden ser valiosos pilares para una carrera en ciberseguridad. Otros pueden verse bien en un currículum o en una tarjeta de presentación, pero los profesionales de la ciberseguridad afirman constantemente que sacan mucho más provecho de la experiencia práctica, como pasantías, programas de tutoría o rotación de personal. Las certificaciones de seguridad deben consumirse para casos de uso específicos, para cumplir con los requisitos del trabajo o para aumentar el período de experiencia en el trabajo.

    Make a personal commitment to skills development and training. On an average year, cybersecurity professionals are expected to get about 40 hours of training. This year’s research revealed that 54% of those surveyed reported having more than 40 hours of training in the past year, 24% have had about 40 hours of training, and 21% have had less than 40 hours of training. This data seems positive, but ESG and ISSA also found that many hours of “training” are really used as a means for fulfilling CPE credits rather than real skills development. A cybersecurity professional career is analogous to a physician in that continuing education is critical for each type of profession to keep professionals’ skills and knowledge current and relevant. Therefore, cybersecurity professionals must make a commitment to skills development and training even if this means investing their own time/money or pushing back on employers that minimize continuing education. Given the ever-changing nature of cybersecurity, individuals who invest in their own skills should get a strong ROI throughout their careers.

    Compromiso personal con el desarrollo de habilidades y la formación. En un año promedio, se espera que los profesionales de la ciberseguridad reciba unas 40 horas de formación. La investigación de este año reveló que el 54% de los encuestados declararon haber tenido más de 40 horas de formación el año pasado, el 24% han tenido unas 40 horas de formación y el 21% menos de 40 horas de formación. Estos datos parecen positivos, pero la ESG y la AISS también encontraron que muchas horas de «formación» se utilizan realmente como medio para obtener créditos de CPE en lugar de desarrollar competencias reales. Una carrera profesional en ciberseguridad es análoga a la de un médico en el sentido de que la educación continua es fundamental para que cada tipo de profesión mantenga las habilidades y los conocimientos de los profesionales actualizados y relevantes. Por lo tanto, los profesionales de la ciberseguridad deben comprometerse con el desarrollo de habilidades y la formación, aunque esto signifique invertir su propio tiempo/dinero o hacer retroceder a los empleadores que minimicen la educación continua. Dada la naturaleza cambiante de la ciberseguridad, las personas que invierten en sus propias habilidades deben obtener un ROI sólido a lo largo de sus carreras.

    Pick a technology or business path to pursue. Cybersecurity careers lead to two main roads. One aligns security and business operations, culminating in “C-level” jobs like CISO, data privacy officer, etc. The other digs into the technology toward positions like security engineer, cloud security architect, threat analyst, etc. Obviously, each road requires different skills, but the ESG/ISSA research shows that many cybersecurity professionals are managing their careers haphazardly with no end goal in mind. Indeed, it’s hard to see five or ten years into the future, but at the very least, cybersecurity professionals should decide whether they see themselves in technical or business roles. Upon making this decision, they should set their sights on the chain of command and what skill sets and experiences they’ll need to climb to the next most senior positions.

    Elija un camino tecnológico o empresarial a seguir. Las carreras de ciberseguridad conducen a dos caminos principales. Uno alinea la seguridad y las operaciones comerciales, culminando en trabajos de «nivel C» como CISO, responsable de privacidad de datos, etc. El otro profundiza en la tecnología hacia puestos como ingeniero de seguridad, arquitecto de seguridad en la nube, analista de amenazas, etc. Obviamente, cada camino requiere habilidades diferentes, pero la investigación de ESG/AISS muestra que muchos profesionales de la ciberseguridad gestionan sus carreras al azar sin un objetivo final en mente. De hecho, es difícil ver dentro de cinco o diez años, pero como mínimo, los profesionales de la ciberseguridad deben decidir si se ven a sí mismos en puestos técnicos o empresariales. Al tomar esta decisión, deben poner la mira en la cadena de mando y en qué habilidades y experiencias necesitarán para ascender a los siguientes puestos de mayor jerarquía.

    Remember that when considering a new job, relationships matter. The ESG/ISSA research indicates that cybersecurity professionals get job satisfaction from things like competitive compensation, the ability to work with a strong team and leading technologies, and additional perks for travel, training, industry participation, etc. While these are certainly worthwhile incentives, information security pros should remember that there should be plenty of open jobs offering these benefits. Therefore, ESG and ISSA recommend digging deeper by asking questions like: What’s the relationship like between security and IT departments? Do these teams collaborate well or is there friction? Do executives and the board include cybersecurity in strategic planning and decision making? What’s the relationship between the security team and HR, legal teams, and lines of business? Since cybersecurity is truly a collaborative effort, these relationships could determine cybersecurity program success. It’s worth doing some background research, asking questions, and meeting with non-technical managers as part of the interviewing process.

    Recuerde que al considerar un nuevo trabajo, las relaciones importan. La investigación de la ESG/AISS indica que los profesionales de la ciberseguridad obtienen satisfacción laboral gracias a aspectos como la compensación competitiva, la capacidad de trabajar con un equipo sólido y tecnologías punteras, y ventajas adicionales para viajar, capacitar, participar en la industria, etc. los profesionales de la seguridad de la información deben recordar que debe haber muchos puestos vacantes que ofrezcan estos beneficios. Por lo tanto, ESG e AISS recomiendan profundizar en el análisis formulando preguntas como: ¿Cuál es la relación entre los departamentos de seguridad y TI? ¿Colaboran bien estos equipos o hay fricciones? ¿Los ejecutivos y la junta directiva incluyen la ciberseguridad en la planificación estratégica y en la toma de decisiones? ¿Cuál es la relación entre el equipo de seguridad y RRHH, los equipos legales y las líneas de negocio? Dado que la ciberseguridad es realmente un esfuerzo de colaboración, estas relaciones podrían determinar el éxito del programa de ciberseguridad. Merece la pena hacer una investigación de antecedentes, hacer preguntas y reunirse con gerentes no técnicos como parte del proceso de entrevistas.

    Takeaways for CISOs and Organizations

    Conclusiones para CISO y organizaciones

    This research should be used as a guideline for building a strong and happy cybersecurity team. CISOs and their organizations should heed the following advice:

    Esta investigación debe utilizarse como guía para crear un equipo de ciberseguridad fuerte y feliz. Los CISO y sus organizaciones deben prestar atención a los siguientes consejos:

    For goodness sakes, pay your people! Competitive compensation came up several times in this research project and is clearly critical to hiring and retaining security personnel. Given the competition for security talent, organizations that can’t meet this threshold won’t be successful in hiring and will likely lose key security personnel who are being aggressively pursued by recruiters and other organizations constantly. CISOs must push through archaic personnel models and pay grades and take this issue right to executives and corporate boards in pursuit of near-term changes in compensation structures. Business managers must realize that without an experienced security staff, all security investments and strategies will fail.

    ¡Por el amor de Dios, paga a tu gente! La compensación competitiva surgió varias veces en este proyecto de investigación y es claramente fundamental para contratar y retener al personal de seguridad. Dada la competencia por el talento de seguridad, las organizaciones que no pueden alcanzar este umbral no tendrán éxito en la contratación y es probable que pierdan personal clave de seguridad, al que los reclutadores y otras organizaciones persiguen agresivamente constantemente. Los CISO deben impulsar modelos arcaicos de personal y niveles salariales y llevar este asunto directamente a los ejecutivos y juntas corporativas en busca de cambios a corto plazo en las estructuras de compensación. Los gerentes de negocios deben darse cuenta de que sin un personal de seguridad experimentado, todas las inversiones y estrategias de seguridad fracasarán.

    Drive security further into the business. Organizations should be alarmed by the fact that 29% of respondents said the security team’s relationship with HR is fair or poor, 28% said the relationship with line of business managers is fair or poor, 27% of respondents said that the relationship with the board of directors is fair or poor, and 24% said the relationship with the legal team is fair or poor. This should set off alarm bells to address these organizational problems as soon as possible. CISOs should immediately assess these relationships at their organizations while corporate boards should do the same. Poor relationships will lead to organizational friction, communications issues, human error, and ultimately, increased cyber-risk. The message is clear: Organizations with a cybersecurity culture are in the best position. Certainly, business executives must embrace cybersecurity, but it’s also important for CISOs to move their people, processes, and technologies closer to the business. This may take training, extended interdepartmental collaboration, and process reengineering, which are difficult but worthwhile changes.

    Impulse aún más la seguridad en el negocio. Las organizaciones deberían estar alarmadas por el hecho de que el 29% de los encuestados dijo que la relación del equipo de seguridad con RRHH es justa o deficiente, el 28% dijo que la relación con los gerentes de línea de negocio es justa o deficiente, el 27% de los encuestados dijo que la relación con el consejo de administración es justa o deficiente, y el 24% dijo que la relación con el equipo legal es justa o deficiente. Esto debería hacer sonar las alarmas para abordar estos problemas organizativos lo antes posible. Los CISO deben evaluar inmediatamente estas relaciones en sus organizaciones, mientras que los consejos corporativos deben hacer lo mismo. Las malas relaciones provocarán fricciones organizativas, problemas de comunicación, errores humanos y, en última instancia, un mayor riesgo cibernético. El mensaje es claro: las organizaciones con una cultura de ciberseguridad están en la mejor posición. Ciertamente, los ejecutivos de las empresas deben adoptar la ciberseguridad, pero también es importante que los CISO acerquen a su personal, sus procesos y sus tecnologías al negocio. Esto puede requerir capacitación, colaboración interdepartamental extendida y reingeniería de procesos, que son difíciles pero que merecen la pena realizar cambios.

    Find time and resources for more cybersecurity training and skills development. Some CISOs believe that investing in training is a waste of money that serves as a free education for cybersecurity professionals who will ultimately leave the organization for greener pastures. ESG and ISSA believe this belief couldn’t be more misguided. Conscientious employees expecting continuing education will simply invest their own time and money while growing to resent the organization. Others will languish with increasingly limited skill sets. Meanwhile, cyber-risks continually rise. With the current state of the cybersecurity skills market, some employees will certainly find more lucrative opportunities, but investing in security training will improve the efficacy of the cybersecurity staff, bolster morale, and help the organizations mitigate cyber-risk. Benefits like these are well worth the investment.

    Encuentre tiempo y recursos para obtener más formación y desarrollo de habilidades en ciberseguridad. Algunos CISO creen que invertir en formación es un desperdicio de dinero que sirve como educación gratuita para los profesionales de la ciberseguridad que, en última instancia, dejarán la organización en busca de pastos más verdes. ESG e ISSA creen que esta creencia no podría ser más equivocada. Los empleados concienzudos que esperan una educación continua simplemente invertirán su propio tiempo y dinero mientras crecen para resentirse con la organización. Otros languidecerán con habilidades cada vez más limitadas. Mientras tanto, los riesgos cibernéticos aumentan continuamente. Con el estado actual del mercado de competencias en ciberseguridad, algunos empleados encontrarán oportunidades más lucrativas, pero invertir en capacitación en seguridad mejorará la eficacia del personal de ciberseguridad, reforzará la moral y ayudará a las organizaciones a mitigar el riesgo cibernético. Beneficios como estos valen la pena invertir.

    Since the cybersecurity skills shortage isn’t going away, develop a long-term plan to address it. As previously mentioned, the cybersecurity skills shortage has created a shortage of qualified cybersecurity professionals as well as a persistent gap in advanced cybersecurity skills. Few organizations have the resources and appeal to hire all the talent they need, and five years of ESG/ISSA data indicate that nothing is going to change anytime soon. Therefore, CISOs need a realistic strategy that assumes staffing and skills risks. For example, organizations struggling to fully staff the security operations center (SOC) should consider investing in process automation and managed services for staff augmentation. The goal here should be covering all security requirements while making the existing staff as efficient and productive as possible.

    Dado que la escasez de competencias en ciberseguridad no va a desaparecer, elabore un plan a largo plazo para abordarla. Como se mencionó anteriormente, la escasez de competencias en ciberseguridad ha creado una escasez de profesionales cualificados en ciberseguridad, así como una brecha persistente en las competencias avanzadas de ciberseguridad. Pocas organizaciones tienen los recursos y el atractivo para contratar todo el talento que necesitan, y cinco años de datos de ESG/AISS indican que nada va a cambiar en el corto plazo. Por lo tanto, los CISO necesitan una estrategia realista que asuma los riesgos relacionados con el personal y las habilidades. Por ejemplo, las organizaciones que tienen dificultades para dotar de personal completo al centro de operaciones de seguridad (SOC) deben considerar invertir en automatización de procesos y servicios administrados para aumentar el personal. El objetivo aquí debe ser cubrir todos los requisitos de seguridad y, al mismo tiempo, hacer que el personal existente sea lo más eficiente y productivo posible.

    Consider what’s necessary to make your organization an attractive landing spot for cybersecurity pros. Proactive CISOs want to retain existing personnel while recruiting new employees. The ESG/ISSA research provides a recipe for doing so. First and foremost, the organization must offer competitive compensation, including benefits for continuing education and career development. Internship programs can appeal to entry-level candidates and create a pipeline for new employees, while mentoring and staff rotation programs will help train and acclimate talented individuals. Organizations that create a cybersecurity culture and push cybersecurity into business and IT planning will have a distinct advantage. Finally, CISOs should tap into professional organizations, local threat sharing groups, colleges and universities, etc., to spread the word about the benefits of employment at their organizations. While this strategy won’t eliminate attrition, it should create a healthy and attractive work environment.

    Considere lo que se necesita para hacer de su organización un punto de destino atractivo para los profesionales de la ciberseguridad. Los CISO proactivos quieren retener al personal existente mientras se contratan nuevos empleados. La investigación ESG/AISS proporciona una receta para hacerlo. En primer lugar, la organización debe ofrecer una compensación competitiva, incluidos beneficios para la educación continua y el desarrollo profesional. Los programas de pasantías pueden atraer a los candidatos principiantes y crear una canalización para nuevos empleados, mientras que los programas de tutoría y rotación del personal ayudarán a capacitar y aclimatar a las personas talentosas. Las organizaciones que crean una cultura de ciberseguridad e introducen la ciberseguridad en la planificación empresarial y de TI tendrán una clara ventaja. Por último, los CISO deben recurrir a organizaciones profesionales, grupos locales de intercambio de amenazas, colegios y universidades, etc., para difundir los beneficios del empleo en sus organizaciones. Si bien esta estrategia no eliminará el desgaste, debería crear un entorno de trabajo saludable y atractivo.