Los profesionales de la ciberseguridad siguen gestionando sus carreras de manera táctica con poca planificación a largo plazo. Muchos profesionales de la ciberseguridad creen que sus organizaciones deben hacer más para cumplir con los requisitos de ciberseguridad.

La escasez de habilidades en ciberseguridad parece estar empeorando, lo que obliga a los abrumados profesionales de la ciberseguridad a luchar constantemente contra incendios. Si bien la escasez de habilidades continuará sin un final a la vista, la investigación de este año sugiere que las organizaciones podrían y deberían hacer más para abordarla.

Conclusiones para los profesionales de la ciberseguridad

Al igual que con los informes anteriores, los profesionales de la ciberseguridad, especialmente aquellos que se encuentran en las primeras etapas de una carrera en ciberseguridad o las personas que buscan entrar en el campo, deberían utilizar esta investigación para planificar su carrera. Por lo tanto, los profesionales de ciberseguridad deberían:

Comience a trabajar en red, siga creando redes Los encuestados recomiendan que los profesionales de seguridad principiantes se unan a una organización profesional como medio para conseguir su primer empleo. Los datos también muestran que las organizaciones profesionales actúan como catalizadores para la búsqueda de empleo, el desarrollo profesional y la educación continua. En conjunto, la investigación de ESG/AISS demuestra que las organizaciones profesionales pueden ayudar a lo largo de una carrera en ciberseguridad, pagando dividendos a tiempo y dinero invertidos. La propia AISS es una buena opción, pero los datos parecen indicar que los profesionales de la ciberseguridad se beneficiarán de otras organizaciones regionales, industriales y profesionales.

Resiste la carga de la certificación: no paga. Tras cinco años de investigación, la ESG y la AISS tienen claro que un CISSP y algunas otras certificaciones limitadas pueden ser valiosos pilares para una carrera en ciberseguridad. Otros pueden verse bien en un currículum o en una tarjeta de presentación, pero los profesionales de la ciberseguridad afirman constantemente que sacan mucho más provecho de la experiencia práctica, como pasantías, programas de tutoría o rotación de personal. Las certificaciones de seguridad deben consumirse para casos de uso específicos, para cumplir con los requisitos del trabajo o para aumentar el período de experiencia en el trabajo.

Compromiso personal con el desarrollo de habilidades y la formación. En un año promedio, se espera que los profesionales de la ciberseguridad reciba unas 40 horas de formación. La investigación de este año reveló que el 54% de los encuestados declararon haber tenido más de 40 horas de formación el año pasado, el 24% han tenido unas 40 horas de formación y el 21% menos de 40 horas de formación. Estos datos parecen positivos, pero la ESG y la AISS también encontraron que muchas horas de «formación» se utilizan realmente como medio para obtener créditos de CPE en lugar de desarrollar competencias reales. Una carrera profesional en ciberseguridad es análoga a la de un médico en el sentido de que la educación continua es fundamental para que cada tipo de profesión mantenga las habilidades y los conocimientos de los profesionales actualizados y relevantes. Por lo tanto, los profesionales de la ciberseguridad deben comprometerse con el desarrollo de habilidades y la formación, aunque esto signifique invertir su propio tiempo/dinero o hacer retroceder a los empleadores que minimicen la educación continua. Dada la naturaleza cambiante de la ciberseguridad, las personas que invierten en sus propias habilidades deben obtener un ROI sólido a lo largo de sus carreras.

Elija un camino tecnológico o empresarial a seguir. Las carreras de ciberseguridad conducen a dos caminos principales. Uno alinea la seguridad y las operaciones comerciales, culminando en trabajos de «nivel C» como CISO, responsable de privacidad de datos, etc. El otro profundiza en la tecnología hacia puestos como ingeniero de seguridad, arquitecto de seguridad en la nube, analista de amenazas, etc. Obviamente, cada camino requiere habilidades diferentes, pero la investigación de ESG/AISS muestra que muchos profesionales de la ciberseguridad gestionan sus carreras al azar sin un objetivo final en mente. De hecho, es difícil ver dentro de cinco o diez años, pero como mínimo, los profesionales de la ciberseguridad deben decidir si se ven a sí mismos en puestos técnicos o empresariales. Al tomar esta decisión, deben poner la mira en la cadena de mando y en qué habilidades y experiencias necesitarán para ascender a los siguientes puestos de mayor jerarquía.

Recuerde que al considerar un nuevo trabajo, las relaciones importan. La investigación de la ESG/AISS indica que los profesionales de la ciberseguridad obtienen satisfacción laboral gracias a aspectos como la compensación competitiva, la capacidad de trabajar con un equipo sólido y tecnologías punteras, y ventajas adicionales para viajar, capacitar, participar en la industria, etc. los profesionales de la seguridad de la información deben recordar que debe haber muchos puestos vacantes que ofrezcan estos beneficios. Por lo tanto, ESG e AISS recomiendan profundizar en el análisis formulando preguntas como: ¿Cuál es la relación entre los departamentos de seguridad y TI? ¿Colaboran bien estos equipos o hay fricciones? ¿Los ejecutivos y la junta directiva incluyen la ciberseguridad en la planificación estratégica y en la toma de decisiones? ¿Cuál es la relación entre el equipo de seguridad y RRHH, los equipos legales y las líneas de negocio? Dado que la ciberseguridad es realmente un esfuerzo de colaboración, estas relaciones podrían determinar el éxito del programa de ciberseguridad. Merece la pena hacer una investigación de antecedentes, hacer preguntas y reunirse con gerentes no técnicos como parte del proceso de entrevistas.

Conclusiones para CISO y organizaciones

Esta investigación debe utilizarse como guía para crear un equipo de ciberseguridad fuerte y feliz. Los CISO y sus organizaciones deben prestar atención a los siguientes consejos:

¡Por el amor de Dios, paga a tu gente! La compensación competitiva surgió varias veces en este proyecto de investigación y es claramente fundamental para contratar y retener al personal de seguridad. Dada la competencia por el talento de seguridad, las organizaciones que no pueden alcanzar este umbral no tendrán éxito en la contratación y es probable que pierdan personal clave de seguridad, al que los reclutadores y otras organizaciones persiguen agresivamente constantemente. Los CISO deben impulsar modelos arcaicos de personal y niveles salariales y llevar este asunto directamente a los ejecutivos y juntas corporativas en busca de cambios a corto plazo en las estructuras de compensación. Los gerentes de negocios deben darse cuenta de que sin un personal de seguridad experimentado, todas las inversiones y estrategias de seguridad fracasarán.

Impulse aún más la seguridad en el negocio. Las organizaciones deberían estar alarmadas por el hecho de que el 29% de los encuestados dijo que la relación del equipo de seguridad con RRHH es justa o deficiente, el 28% dijo que la relación con los gerentes de línea de negocio es justa o deficiente, el 27% de los encuestados dijo que la relación con el consejo de administración es justa o deficiente, y el 24% dijo que la relación con el equipo legal es justa o deficiente. Esto debería hacer sonar las alarmas para abordar estos problemas organizativos lo antes posible. Los CISO deben evaluar inmediatamente estas relaciones en sus organizaciones, mientras que los consejos corporativos deben hacer lo mismo. Las malas relaciones provocarán fricciones organizativas, problemas de comunicación, errores humanos y, en última instancia, un mayor riesgo cibernético. El mensaje es claro: las organizaciones con una cultura de ciberseguridad están en la mejor posición. Ciertamente, los ejecutivos de las empresas deben adoptar la ciberseguridad, pero también es importante que los CISO acerquen a su personal, sus procesos y sus tecnologías al negocio. Esto puede requerir capacitación, colaboración interdepartamental extendida y reingeniería de procesos, que son difíciles pero que merecen la pena realizar cambios.

Encuentre tiempo y recursos para obtener más formación y desarrollo de habilidades en ciberseguridad. Algunos CISO creen que invertir en formación es un desperdicio de dinero que sirve como educación gratuita para los profesionales de la ciberseguridad que, en última instancia, dejarán la organización en busca de pastos más verdes. ESG e ISSA creen que esta creencia no podría ser más equivocada. Los empleados concienzudos que esperan una educación continua simplemente invertirán su propio tiempo y dinero mientras crecen para resentirse con la organización. Otros languidecerán con habilidades cada vez más limitadas. Mientras tanto, los riesgos cibernéticos aumentan continuamente. Con el estado actual del mercado de competencias en ciberseguridad, algunos empleados encontrarán oportunidades más lucrativas, pero invertir en capacitación en seguridad mejorará la eficacia del personal de ciberseguridad, reforzará la moral y ayudará a las organizaciones a mitigar el riesgo cibernético. Beneficios como estos valen la pena invertir.

Dado que la escasez de competencias en ciberseguridad no va a desaparecer, elabore un plan a largo plazo para abordarla. Como se mencionó anteriormente, la escasez de competencias en ciberseguridad ha creado una escasez de profesionales cualificados en ciberseguridad, así como una brecha persistente en las competencias avanzadas de ciberseguridad. Pocas organizaciones tienen los recursos y el atractivo para contratar todo el talento que necesitan, y cinco años de datos de ESG/AISS indican que nada va a cambiar en el corto plazo. Por lo tanto, los CISO necesitan una estrategia realista que asuma los riesgos relacionados con el personal y las habilidades. Por ejemplo, las organizaciones que tienen dificultades para dotar de personal completo al centro de operaciones de seguridad (SOC) deben considerar invertir en automatización de procesos y servicios administrados para aumentar el personal. El objetivo aquí debe ser cubrir todos los requisitos de seguridad y, al mismo tiempo, hacer que el personal existente sea lo más eficiente y productivo posible.

Considere lo que se necesita para hacer de su organización un punto de destino atractivo para los profesionales de la ciberseguridad. Los CISO proactivos quieren retener al personal existente mientras se contratan nuevos empleados. La investigación ESG/AISS proporciona una receta para hacerlo. En primer lugar, la organización debe ofrecer una compensación competitiva, incluidos beneficios para la educación continua y el desarrollo profesional. Los programas de pasantías pueden atraer a los candidatos principiantes y crear una canalización para nuevos empleados, mientras que los programas de tutoría y rotación del personal ayudarán a capacitar y aclimatar a las personas talentosas. Las organizaciones que crean una cultura de ciberseguridad e introducen la ciberseguridad en la planificación empresarial y de TI tendrán una clara ventaja. Por último, los CISO deben recurrir a organizaciones profesionales, grupos locales de intercambio de amenazas, colegios y universidades, etc., para difundir los beneficios del empleo en sus organizaciones. Si bien esta estrategia no eliminará el desgaste, debería crear un entorno de trabajo saludable y atractivo.