Report Conclusions |
CONCLUSIONES DEL INFORME |
In early 2021, the Enterprise Strategy Group (ESG) and the Information Systems Security Association (ISSA) conducted the fifth annual research project focused on the lives and experiences of cybersecurity professionals. This year’s report is based on data from a global survey of 489 cybersecurity professionals. |
A principios de 2021, el Grupo de Estrategia Empresarial (ESG) y la Asociación de Seguridad de los Sistemas de Información (AISS) llevaron a cabo el quinto proyecto de investigación anual centrado en la vida y la experiencia de los profesionales de la ciberseguridad. El informe de este año se basa en datos de una encuesta global realizada a 489 profesionales de la ciberseguridad. |
The cybersecurity skills gap discussion has been going on for over 10 years, and the data gathered for this project confirms that there has been no significant progress toward a solution to this problem during the five years it has been closely researched. The skills crisis has impacted over half (57%) of organizations. The top ramifications of the skills shortage include an increasing workload (62%), unfilled open job requisitions (38%), and high burnout among staff (38%). Further, 95% of respondents state the cybersecurity skills shortage and its associated impacts have not improved over the past few years while 44% say it has only gotten worse. |
El debate sobre la brecha de competencias en ciberseguridad se lleva a cabo durante más de 10 años, y los datos recopilados para este proyecto confirman que no ha habido avances significativos hacia una solución a este problema durante los cinco años que se ha investigado detenidamente. La crisis de competencias ha afectado a más de la mitad (57%) de las organizaciones. Las principales ramificaciones de la escasez de competencias incluyen un aumento de la carga de trabajo (62%), solicitudes de empleo abiertas sin llenar (38%) y un alto agotamiento del personal (38%). Además, el 95% de los encuestados afirma que la escasez de competencias en ciberseguridad y sus impactos asociados no han mejorado en los últimos años, mientras que el 44% afirma que solo ha empeorado. |
What’s needed to address the cybersecurity skills shortage? A holistic approach of continuous cybersecurity education (starting with public education) and comprehensive career development, mapping, and planning—all with support and integration with the business. This may seem like a big undertaking, but the research also points to one simple change organizations can make: Increase cybersecurity professional compensation. Indeed, 38% of respondents believe that the lack of competitive compensation is the biggest reason the cybersecurity skills shortage is impacting their organization. In summary, it is time for organizations to: |
¿Qué se necesita para hacer frente a la escasez de competencias en ciberseguridad? Un enfoque holístico de educación continua en ciberseguridad (empezando por la educación pública) y desarrollo profesional, mapeo y planificación integrales, todo ello con apoyo e integración con la empresa. Esto puede parecer una gran empresa, pero la investigación también apunta a un cambio sencillo que las organizaciones pueden hacer: aumentar la compensación profesional de la ciberseguridad. De hecho, el 38% de los encuestados cree que la falta de compensación competitiva es la principal razón por la que la escasez de competencias en ciberseguridad está afectando a su organización. En resumen, es hora de que las organizaciones: |
Increase the business value placed on security, including the creation of a culture of security at all levels of the organization. |
Aumentar el valor empresarial asignado a la seguridad, incluida la creación de una cultura de seguridad en todos los niveles de la organización. |
Offer cybersecurity career advancement opportunities and make a commitment to increased cybersecurity training across the organization. |
Ofrezca oportunidades de avance profesional en ciberseguridad y se comprometa a aumentar la formación en ciberseguridad en toda la organización. |
Include cybersecurity as part of executive planning and strategy (i.e., with executive management and the board of directors). |
Incluir la ciberseguridad como parte de la planificación y estrategia ejecutivas (es decir, con la dirección ejecutiva y el consejo de administración). |
Based upon the data gathered as part of this project, the report additionally concludes: |
Sobre la base de los datos recopilados como parte de este proyecto, el informe concluye adicionalmente: |
Cybersecurity professionals depend upon hands-on experience, basic certifications, and networking. Information security professionals agree that standard certifications like a CISSP are a professional requirement. Beyond a few common certifications however, the ESG/ISSA data indicates that career progression is really tied to hands-on experience and taking advantage of professional networks. These are essential for beginning a cybersecurity career, skills development, and finding different job opportunities regardless of expertise or experience levels. Certifications should be used to supplement and not replace more practical education vehicles. |
Los profesionales de la ciberseguridad dependen de la experiencia práctica, las certificaciones básicas y las redes. Los profesionales de la seguridad de la información coinciden en que las certificaciones estándar, como la CISSP, son un requisito profesional. Sin embargo, más allá de unas pocas certificaciones comunes, los datos de la ESG/AISS indican que la progresión profesional está realmente ligada a la experiencia práctica y al aprovechamiento de las redes profesionales. Estos son esenciales para comenzar una carrera en ciberseguridad, desarrollar habilidades y encontrar diferentes oportunidades de trabajo independientemente de los conocimientos o los niveles de experiencia. Las certificaciones deben utilizarse para complementar y no reemplazar más vehículos de educación práctica. |
Security career success and happiness depends upon strong collaboration. Cybersecurity professionals are happiest when they are asked to participate directly in all IT planning but grow frustrated when they are relegated to a technology administration role and forced to address security needs in later phases of projects. The same is true of the security team’s relationship with business management: They want to participate in business planning, but they are often shut out of meetings and not considered in the development of strategic plans. To improve the relationship between security and IT, survey respondents suggest including security participation in all IT projects from their onset, embedding security professionals within IT functional departments and increasing cybersecurity training for IT staff. To enhance the relationship between security and business management, cybersecurity professionals recommend encouraging cybersecurity participation in business planning, improving cyber-risk identification, and focusing cybersecurity resources on business-critical assets. |
El éxito profesional y la felicidad de la seguridad dependen de una colaboración sólida. Los profesionales de la ciberseguridad se sienten más satisfechos cuando se les pide que participen directamente en toda la planificación de TI, pero se sienten frustrados cuando se les relegan a un puesto de administración de tecnología y se les obliga a abordar las necesidades de seguridad en fases posteriores de los proyectos. Lo mismo ocurre con la relación del equipo de seguridad con la dirección empresarial: quieren participar en la planificación empresarial, pero a menudo se les excluyen de las reuniones y no se les tiene en cuenta en el desarrollo de planes estratégicos. Para mejorar la relación entre seguridad y TI, los encuestados sugieren incluir la participación de seguridad en todos los proyectos de TI desde su inicio, incorporar a los profesionales de seguridad en los departamentos funcionales de TI y aumentar la formación en ciberseguridad para el personal de TI. Para mejorar la relación entre la seguridad y la gestión empresarial, los profesionales de la ciberseguridad recomiendan fomentar la participación de la ciberseguridad en la planificación empresarial, mejorar la identificación de riesgos cibernéticos y centrar los recursos de ciberseguridad en activos críticos para el negocio. |
The cybersecurity training paradox continues and needs attention. For the fifth straight year, the research reveals a cybersecurity training gap: 91% of respondents agree that cybersecurity professionals must keep up with cybersecurity skills or the organizations they work for are at a disadvantage against cyber-adversaries. Despite this need however, 59% of cybersecurity professionals agree that while they try to keep up with cybersecurity skills development, job requirements often get in the way. ESG and ISSA call this situation the cybersecurity training paradox. CISOs take note: This training gap is quietly increasing cyber-risks at your organization. To address this directly, CISOs must push the organization, ensuring that ample training time and resources are built into every member of the cybersecurity staff’s schedule on a continual basis. |
La paradoja de la formación en ciberseguridad continúa y necesita atención. Por quinto año consecutivo, la investigación revela una brecha de formación en ciberseguridad: el 91% de los encuestados está de acuerdo en que los profesionales de la ciberseguridad deben mantenerse al día con las habilidades de ciberseguridad o las organizaciones para las que trabajan están en desventaja frente a los ciberadversarios. Sin embargo, a pesar de esta necesidad, el 59% de los profesionales de la ciberseguridad coinciden en que, si bien intentan mantenerse al día con el desarrollo de habilidades en ciberseguridad, los requisitos laborales a menudo se interponen en el camino. ESG e ISSA llaman a esta situación la paradoja de la formación en ciberseguridad. Nota de los CISO: Esta brecha de formación está aumentando silenciosamente los riesgos cibernéticos en su organización. Para abordar esto directamente, los CISO deben impulsar a la organización, asegurándose de que cada miembro del personal de ciberseguridad incorpore continuamente un amplio tiempo de formación y recursos. |
The cybersecurity skills shortage remains a perpetual problem with no solution in sight. This year, 57% of organizations claim they are impacted by the global cybersecurity skills shortage. While this is a slight improvement from years past, the situation doesn’t appear to be improving. In fact, 44% of survey respondents say that things have gotten worse over the past few years while 51% claim that the situation is about the same as a few years ago. Of those organizations impacted by the cybersecurity skills shortage, the biggest effects include increasing workloads on cybersecurity personnel, new jobs that remain open for weeks or months, high cybersecurity staff burnout and attrition, and an inability to learn or use security technologies to their full potential. |
La escasez de competencias en ciberseguridad sigue siendo un problema perpetuo sin solución a la vista. Este año, el 57% de las organizaciones afirman que se han visto afectadas por la escasez global de habilidades en ciberseguridad. Si bien se trata de una ligera mejora con respecto a años anteriores, la situación no parece estar mejorando. De hecho, el 44% de los encuestados afirma que las cosas han empeorado en los últimos años, mientras que el 51% afirma que la situación es casi la misma que hace unos años. De las organizaciones afectadas por la escasez de competencias en ciberseguridad, los efectos más importantes incluyen el aumento de las cargas de trabajo en el personal de ciberseguridad, nuevos puestos de trabajo que permanecen abiertos durante semanas o meses, un alto agotamiento y desgaste del personal de ciberseguridad y la incapacidad de aprender o utilizar las tecnologías de seguridad al máximo potencial. |
Many organizations are making basic mistakes in hiring and recruiting cybersecurity professionals. More than three-quarters (76%) of respondents say it is extremely or somewhat difficult to recruit and hire security professionals. This is certainly related to supply and demand in the cybersecurity professional market, but survey respondents pointed to some organizational causes as well: 38% said their organization doesn’t offer competitive compensation, 29% said their HR department doesn’t understand the skills needed for cybersecurity, and 25% said that job postings at their organization tended to be unrealistic. Alarmingly, 59% of respondents said their organization could be doing more to address the cybersecurity skills shortage. |
Muchas organizaciones cometen errores básicos al contratar y contratar profesionales de ciberseguridad. Más de tres cuartas partes (76%) de los encuestados afirman que es extremadamente o algo difícil contratar y contratar profesionales de seguridad. Sin duda, esto está relacionado con la oferta y la demanda en el mercado profesional de la ciberseguridad, pero los encuestados señalaron también algunas causas organizativas: el 38% dijo que su organización no ofrece una compensación competitiva, el 29% dijo que su departamento de RRHH no entiende las habilidades necesarias para la ciberseguridad. y el 25% dijo que las ofertas de empleo en su organización tendían a ser poco realistas. Resulta alarmante que el 59% de los encuestados afirmaran que su organización podría estar haciendo más para hacer frente a la escasez de habilidades en ciberseguridad. |
Specific cybersecurity experience and skills are in high demand. When asked which types of cybersecurity talent were most difficult to hire, 41% said mid-career professionals (i.e., 4-7 years of experience), and 30% said senior career professionals (i.e., 7+ years of experience). Interestingly, organizations have less trouble finding cybersecurity leaders, probably because they only need a few. Survey respondents were also asked which skill set areas were in the shortest supply. The top three were cloud computing security, security analysis and investigations, and application security. |
Hay una gran demanda de experiencia y habilidades específicas en ciberseguridad. Cuando se les preguntó qué tipos de talento en ciberseguridad eran más difíciles de contratar, el 41% dijo que los profesionales en mitad de su carrera (es decir, de 4 a 7 años de experiencia), y el 30% dijo que eran profesionales de alto nivel (es decir, más de 7 años de experiencia). Curiosamente, las organizaciones tienen menos problemas para encontrar líderes en ciberseguridad, probablemente porque solo necesitan unos pocos. También se preguntó a los encuestados qué áreas de conjunto de habilidades estaban en la oferta más corta. Los tres primeros fueron la seguridad informática en la nube, los análisis e investigaciones de seguridad y la seguridad de las aplicaciones. |
Cybersecurity job solicitation is frequent and increasing. Seventy percent of cybersecurity professionals are solicited by recruiters to consider another job at least once per month. This “seller’s market” is only gaining momentum: 71% of survey respondents claim that the pace of recruitment solicitation has increased over the past few years. |
La solicitud de empleo en ciberseguridad es frecuente y va en aumento. Los reclutadores solicitan al 70% de los profesionales de la ciberseguridad que consideren otro trabajo al menos una vez al mes. Este «mercado de vendedores» no hace más que ganar impulso: el 71% de los encuestados afirma que el ritmo de las solicitudes de contratación ha aumentado en los últimos años. |
Cybersecurity professionals have recommendations for addressing the skills shortage. Respondents were asked what their organizations could do to address the impact of the cybersecurity skills shortage. Their top suggestions were to increase the organization’s commitment to cybersecurity training, increase compensation levels to make them more competitive, and provide extra incentives like paying for certifications or participation in industry events. |
Los profesionales de la ciberseguridad tienen recomendaciones para hacer frente a la escasez de competencias. Se preguntó a los encuestados qué podían hacer sus organizaciones para abordar el impacto de la escasez de habilidades en ciberseguridad. Sus principales sugerencias fueron aumentar el compromiso de la organización con la formación en ciberseguridad, aumentar los niveles de compensación para hacerla más competitiva y proporcionar incentivos adicionales, como pagar certificaciones o participar en eventos del sector. |