Research Findings
     
    Remove Translation Translation
    Original Text

    The Basic Facts

    Los hechos básicos

    As in past years, ESG and ISSA got some baseline information regarding cybersecurity professionals’ careers. For example:

    Al igual que en años anteriores, ESG e ISSA obtuvieron información básica sobre las carreras profesionales de la ciberseguridad. Por ejemplo:

    79% of cybersecurity professionals started their careers working in IT.

    El 79% de los profesionales de la ciberseguridad comenzaron su carrera trabajando en TI.

    When asked which skills were most helpful in the move from IT to cybersecurity, the top responses were IT operations knowledge and skills (61%), analytics skills (53%), hands-on technology knowledge and skills (48%), and business skills (as they relate to IT technologies and processes) (42%).

    Cuando se le preguntó qué habilidades resultaron más útiles para pasar de la TI a la ciberseguridad, las respuestas principales fueron los conocimientos y habilidades de operaciones de TI (61%), las habilidades analíticas (53%), los conocimientos y habilidades tecnológicas prácticas (48%) y las habilidades empresariales (en relación con las tecnologías y los procesos de TI) (42%).

    When asked the reasons for becoming a cybersecurity professional, the top responses were the chance to use skills and curiosity to address technical challenges (43%), the opportunity to develop technical skills and knowledge (40%), it being a natural career move from IT (34%), and attraction to the morality of the profession (29%).

    Cuando se le preguntaron las razones para convertirse en un profesional de la ciberseguridad, las principales respuestas fueron la oportunidad de utilizar las habilidades y la curiosidad para hacer frente a los desafíos técnicos (43%), la oportunidad de desarrollar habilidades y conocimientos técnicos (40%), ser un paso natural de la carrera de TI (34%) y la atracción por la moralidad de la profesión (29%).

    28% of survey respondents say that either they or other cybersecurity professionals they know have experienced significant personal issues because of stress associated with the cybersecurity profession (i.e., drug abuse, alcohol abuse, depression, etc.).

    El 28% de los encuestados afirma que tanto ellos como otros profesionales de la ciberseguridad que conocen han experimentado problemas personales importantes debido al estrés asociado con la profesión de ciberseguridad (por ejemplo, abuso de drogas, abuso de alcohol, depresión, etc.).

    50% of cybersecurity professionals surveyed say that job stress levels increased this past year as a result of remote worker support due to the COVID-19 pandemic. To help alleviate stresses caused by the pandemic, 36% of organizations instituted more CISO “check-ins” with staff, 32% created online social meetings for the cybersecurity team, and 24% added formal stress management programs driven by HR.

    El 50% de los profesionales de ciberseguridad encuestados afirma que los niveles de estrés laboral aumentaron el año pasado como resultado del apoyo a los trabajadores remotos debido a la pandemia de COVID-19. Para ayudar a aliviar el estrés causado por la pandemia, el 36% de las organizaciones instituyó más «registros» de CISO con el personal, el 32% creó reuniones sociales en línea para el equipo de ciberseguridad y el 24% añadió programas formales de gestión del estrés impulsados por RRHH.

    Survey respondents were also asked whether their organization employed a CISO. Those that did were asked several other related questions. On this topic, the research revealed:

    También se preguntó a los encuestados si su organización empleaba a un CISO. A los que sí lo hicieron se les hicieron otras preguntas relacionadas. Sobre este tema, la investigación reveló:

    73% of survey respondents say that their organization employs a CISO while 5% say their organization employs a virtual CISO (vCISO).

    El 73% de los encuestados afirma que su organización emplea un CISO, mientras que el 5% afirma que su organización emplea un CISO virtual (vCISO).

    Of those organizations that employ a CISO, 43% say that the CISO reports to the CIO, 29% say the CISO reports to the CEO, 9% say COO, 9% say “other,” and 10% don’t know.

    De las organizaciones que emplean a un CISO, el 43% dice que el CISO informa al CIO, el 29% dice que el CISO informa al CEO, el 9% dice que el director de operaciones, el 9% dice «otros» y el 10% no lo sabe.

    61% of respondents say their CISO is an active participant with executive management and the board of directors (or similar oversight group), 14% say their CISO is not an active participant with executive management and the board of directors (or similar oversight group), and 24% don’t know. 51% think their organization’s CISO’s level of participation with executive management and the board of directors is adequate, 23% do not think their organization’s CISO’s level of participation with executive management and the board of directors is adequate, and 26% don’t know.

    El 61% de los encuestados afirma que su CISO es un participante activo de la dirección ejecutiva y del consejo de administración (o grupo de supervisión similar), el 14% dice que su CISO no participa activamente en la dirección ejecutiva ni en el consejo de administración (o grupo de supervisión similar), y el 24% no lo sabe. el nivel de participación del CISO de la organización con la dirección ejecutiva y el consejo de administración es adecuado, el 23% no cree que el nivel de participación del CISO de su organización con la dirección ejecutiva y el consejo de administración sea adecuado, y el 26% no lo sabe.

    43% believe their CISO has been very effective, 49% believe their CISO has been somewhat effective, 6% say their CISO hasn’t been very effective, and 2% claim their CISO has not been effective at all.

    El 43% cree que su CISO ha sido muy eficaz, el 49% cree que su CISO ha sido algo efectivo, el 6% dice que su CISO no ha sido muy eficaz y el 2% afirma que su CISO no ha sido eficaz en absoluto.

    When asked to identify the most important qualities of a successful CISO, 39% said leadership skills while 30% said operational skills. The remaining 31% included business skills, technical skills, management skills, communications skills, and other.

    Cuando se le pidió que identificara las cualidades más importantes de un CISO exitoso, el 39% dijo que tenía habilidades de liderazgo, mientras que el 30% dijo que tenía habilidades operativas. El 31% restante incluía aptitudes empresariales, técnicas, habilidades de gestión, habilidades de comunicación y otras.

    Survey respondents were asked which factors are likeliest to cause CISOs to leave one organization for another. The most popular answers were: CISOs are offered a higher compensation package at another organization (33%), the organization doesn’t have a culture that emphasizes cybersecurity (31%), and cybersecurity budgets are not commensurate with the organization’s size and industry (29%).

    A los encuestados se les preguntó qué factores tienen más probabilidades de provocar que los CISO abandonen una organización por otra. Las respuestas más populares fueron: a los CISO se les ofrece un paquete de compensación más alto en otra organización (33%), la organización no tiene una cultura que haga hincapié en la ciberseguridad (31%) y los presupuestos de ciberseguridad no son proporcionales al tamaño y la industria de la organización (29%).

    Getting a Cybersecurity Job

    Conseguir un trabajo de ciberseguridad

    For the first time, ESG and ISSA asked cybersecurity professionals how they found their current job (see Figure 1). The highest percentage (38%) say that they found their job by networking with industry contacts while 24% were contacted by an industry recruiter and 22% responded to a job posting at their company (see Figure 1). Not surprisingly, there is a slight correlation between methods used for finding a job and seniority. Senior cybersecurity professionals are more likely to find their jobs through industry contacts and recruiters while those with less experience are more likely to use job postings. This information should help guide CISOs and HR professionals as they compete to fill job requisitions.

    Por primera vez, ESG y AISS preguntaron a los profesionales de la ciberseguridad cómo encontraban su trabajo actual (véase la figura 1). El porcentaje más alto (38%) afirma que encontró su trabajo mediante la creación de redes con contactos del sector, mientras que un reclutador del sector se puso en contacto con el 24% y el 22% respondió a una oferta de empleo en su empresa (véase la figura 1). No es sorprendente que exista una ligera correlación entre los métodos utilizados para encontrar trabajo y la antigüedad. Los profesionales de ciberseguridad sénior tienen más probabilidades de encontrar sus puestos de trabajo a través de contactos de la industria y reclutadores, mientras que aquellos con menos experiencia tienen más probabilidades de utilizar las ofertas de empleo. Esta información debería ayudar a guiar a los CISO y a los profesionales de RRHH a medida que compiten por llenar las solicitudes de empleo.

    Figure 1. How Cybersecurity Professionals Found Their Current Jobs
    Figure 1. How Cybersecurity Professionals Found Their Current Jobs

    Despite the ongoing cybersecurity skills shortage, skilled candidates often complain that it can be very difficult to begin a cybersecurity career. When meeting entry-level candidates, ESG analysts and ISSA members are often asked for advice in this area. In 2021, ESG and ISSA addressed this issue directly by including a new survey question asking survey respondents for their recommendations for those seeking to enter the cybersecurity field. Nearly half (49%) of respondents suggested getting a basic cybersecurity certification, 42% proposed joining a professional industry organization, and 36% recommended finding a mentor who is willing to help develop skills and career plan (see Figure 2). This guidance will hopefully help entry-level candidates jumpstart their careers.

    A pesar de la continua escasez de habilidades en ciberseguridad, los candidatos cualificados a menudo se quejan de que puede ser muy difícil comenzar una carrera en ciberseguridad. Cuando se reúnen con los candidatos de nivel inicial, a los analistas de ESG y a los miembros de la AISS se les pide asesoramiento en esta área. En 2021, ESG y la AISS abordaron este problema directamente mediante la inclusión de una nueva pregunta de la encuesta en la que se pedía a los encuestados sus recomendaciones para aquellos que deseen entrar en el campo de la ciberseguridad. Casi la mitad (49%) de los encuestados sugirió obtener una certificación básica de ciberseguridad, el 42% propuso unirse a una organización profesional del sector y el 36% recomendó encontrar un mentor que esté dispuesto a ayudar a desarrollar habilidades y un plan de carrera (véase la figura 2). Es de esperar que esta guía ayude a los candidatos de nivel inicial a impulsar sus carreras.

    Figure 2. Advice for Individuals Who Want to Get into Cybersecurity
    Figure 2. Advice for Individuals Who Want to Get into Cybersecurity

    Cybersecurity Careers Depend upon Hands-on Experience and Some Certifications

    Las carreras en ciberseguridad dependen de la experiencia práctica y de algunas certificaciones

    Cybersecurity is highlighted by a plethora of esoteric technical certifications, so ESG and ISSA have continually asked survey respondents to tell us which certifications they’ve achieved, and which are most important. As in past years, survey respondents were asked to write in the answer to this question, and the top responses are listed in Figure 3. Of those certifications achieved, the most useful ones for getting a job are graphed in Figure 4 . In both graphics, the certified information systems security professional (CISSP) from (ISC)2 stands out—it’s the most popular certification and the one that’s most important for getting a cybersecurity job. Other certifications may be important tactically but should be viewed as vehicles for career advancement (in some cases) or to help cybersecurity professionals gain general knowledge in a cybersecurity subdiscipline (for example, certified ethical hacker).

    La ciberseguridad se destaca por una gran cantidad de certificaciones técnicas esotéricas, por lo que ESG y la AISS han pedido continuamente a los encuestados que nos digan qué certificaciones han obtenido y cuáles son las más importantes. Al igual que en años anteriores, a los encuestados se les pidió que escribieran la respuesta a esta pregunta, y las respuestas principales se enumeran en la figura 3. De las certificaciones obtenidas, las más útiles para conseguir un trabajo se muestran en la figura 4. En ambos gráficos destaca el profesional certificado de seguridad de sistemas de información (CISSP) de (ISC) 2: es la certificación más popular y la más importante para conseguir un trabajo de ciberseguridad. Otras certificaciones pueden ser importantes desde el punto de vista táctico, pero deben considerarse como vehículos para avanzar en su carrera (en algunos casos) o para ayudar a los profesionales de la ciberseguridad a adquirir conocimientos generales en una subdisciplina de ciberseguridad (por ejemplo, hacker ético certificado).

    Cybersecurity professionals pursue a CISSP certification after accruing the requisite number of years of experience as this certification is a requirement for most available jobs. Beyond the CISSP, however, survey respondents take a more tactical approach to additional certifications based upon their skills, interests, and career plans. ESG and ISSA believe this is the right approach for certifications and career development. Rather than fill their resumes with acronyms, cybersecurity professionals should focus on hands-on training, mentoring, and professional networking as primary means for skills development. Rather, certifications should supplement these activities.

    Los profesionales de la ciberseguridad obtienen una certificación CISSP tras acumular el número necesario de años de experiencia, ya que esta certificación es un requisito para la mayoría de los puestos de trabajo disponibles. Sin embargo, más allá del CISSP, los encuestados adoptan un enfoque más táctico para obtener certificaciones adicionales en función de sus habilidades, intereses y planes de carrera. ESG e ISSA creen que este es el enfoque adecuado para las certificaciones y el desarrollo profesional. En lugar de llenar sus currículums con siglas, los profesionales de la ciberseguridad deben centrarse en la formación práctica, la tutoría y la creación de redes profesionales como medio principal para el desarrollo de habilidades. Por el contrario, las certificaciones deben complementar estas actividades.

    Figure 3. Top Five Cybersecurity Certifications Achieved
    Figure 3. Top Five Cybersecurity Certifications Achieved
    Figure 4. Top Five Most Important Certification Necessary to Get a Job
    Figure 4. Top Five Most Important Certification Necessary to Get a Job

    ESG and ISSA have long held the belief that hands-on experience is the most important factor in cybersecurity career development, but this assumption was based on anecdotal data. In 2021, ESG and ISSA tested the hypothesis in the survey.

    ESG y la AISS han creído durante mucho tiempo que la experiencia práctica es el factor más importante en el desarrollo profesional de la ciberseguridad, pero esta suposición se basó en datos anecdóticos. En 2021, ESG e ISSA pusiERON a prueba la hipótesis de la encuesta.

    The data supports this long-held belief again. Only 1% of respondents believe security certifications are more important than hands-on experience. Alternatively, 52% believe that hands-on experience is more important than certifications while 46% place equal value on hands-on experience and certification achievement (see Figure 5). Based on the research, ESG and ISSA believe that those who believe that hands-on experience and achieving security certifications are equally important have the CISSP certification in mind, as this is considered a foundational requirement for a cybersecurity career.

    Los datos respaldan de nuevo esta creencia de larga data. Solo el 1% de los encuestados cree que las certificaciones de seguridad son más importantes que la experiencia práctica. Alternativamente, el 52% cree que la experiencia práctica es más importante que las certificaciones, mientras que el 46% valora la experiencia práctica y el logro de la certificación (véase la figura 5). Basándose en la investigación, ESG y la AISS creen que aquellos que creen que la experiencia práctica y la obtención de certificaciones de seguridad son igualmente importantes tienen en mente la certificación CISSP, ya que se considera un requisito fundamental para una carrera en ciberseguridad.

    Based upon this data, aspiring and advancing cybersecurity professionals should take a balanced approach to skills development. As previously stated, hands-on experience should be supplemented with the appropriate security certifications on an as-needed basis.

    Sobre la base de estos datos, los profesionales de ciberseguridad aspirantes y avanzados deben adoptar un enfoque equilibrado para el desarrollo de habilidades. Como se ha indicado anteriormente, la experiencia práctica debe complementarse con las certificaciones de seguridad adecuadas según sea necesario.

    Figure 5. Hands-on Experience versus Cybersecurity Certifications for Skills Development
    Figure 5. Hands-on Experience versus Cybersecurity Certifications for Skills Development

    Cybersecurity Professionals: A 360 Degree View

    Profesionales de ciberseguridad: una visión de 360 grados

    What are the most important factors that distinguish a satisfactory and unsatisfactory cybersecurity job? This question has been a constant in the ESG/ISSA research study for five years. Interestingly, the results have been fairly consistent. The top three priorities in 2021 are business management’s commitment to strong cybersecurity, competitive or industry-leading financial compensation, and the ability to work with highly skilled and talented cybersecurity staff (see Figure 6).

    ¿Cuáles son los factores más importantes que distinguen un trabajo de ciberseguridad satisfactorio e insatisfactorio? Esta pregunta ha sido una constante en el estudio de investigación de la ESG/AISS durante cinco años. Curiosamente, los resultados han sido bastante coherentes. Las tres prioridades principales en 2021 son el compromiso de la dirección empresarial con una ciberseguridad sólida, una compensación financiera competitiva o líder en el sector y la capacidad de trabajar con personal de ciberseguridad altamente cualificado y talentoso (véase la figura 6).

    CISOs and HR executives take note, as this data represents what it will take to hire and retain cybersecurity professionals.

    Los directores de TI y los ejecutivos de RRHH toman nota, ya que estos datos representan lo que se tendrá que hacer para contratar y retener a profesionales de la ciberseguridad.

    Figure 6. Factors Determining Job Satisfaction
    Figure 6. Factors Determining Job Satisfaction

    With job satisfaction in mind, ESG and ISSA also wanted insight into the most stressful aspects of a cybersecurity job. Nearly two-thirds (32%) of survey respondents claim it is finding out about IT/initiatives/projects that were started by other teams (within the organization) with no security oversight (see Figure 7). This makes sense. Security professionals want to be engaged in projects from the start so they can “bake in” rather than “bolt on” security. Similarly, nearly one-third (31%) of respondents believe it is stressful working with disinterested business managers while another 31% point to the overwhelming workload. Similar to the top response, 24% of security professionals believe it is stressful keeping up with the security needs of new IT initiatives. Clearly, cybersecurity professionals want to be involved in projects from the start and want to see cybersecurity commitment from business and IT associates. When these conditions are absent, organizations will likely face high employee burnout and staff attrition.

    Teniendo en cuenta la satisfacción laboral, ESG e AISS también querían conocer los aspectos más estresantes de un trabajo de ciberseguridad. Casi dos tercios (32%) de los encuestados afirman que están descubriendo sobre TI/iniciativas/proyectos iniciados por otros equipos (dentro de la organización) sin supervisión de seguridad (véase la figura 7). Esto tiene sentido. Los profesionales de la seguridad quieren participar en los proyectos desde el principio para poder «trabajar» en lugar de «atornillar» la seguridad. Del mismo modo, casi un tercio (31%) de los encuestados cree que es estresante trabajar con gestores de negocios desinteresados, mientras que otro 31% apunta a la abrumadora carga de trabajo. Al igual que en la respuesta más alta, el 24% de los profesionales de seguridad creen que es estresante mantenerse al día con las necesidades de seguridad de las nuevas iniciativas de TI. Es evidente que los profesionales de la ciberseguridad quieren participar en los proyectos desde el principio y quieren ver el compromiso de ciberseguridad por parte de las empresas y los asociados de TI. Cuando no existen estas condiciones, es probable que las organizaciones se enfrenten a un alto agotamiento de los empleados y al desgaste del personal.

    Figure 7. Most Stressful Aspects of Cybersecurity Jobs
    Figure 7. Most Stressful Aspects of Cybersecurity Jobs

    As in the past, security professionals were asked their opinions on several topics (see Figure 8). A few stats stand out:

    Como en el pasado, a los profesionales de la seguridad se les preguntó su opinión sobre varios temas (véase la figura 8). Algunas estadísticas destacan:

    Conflict between the need for training and time allocated to training remains a critical issue: 91% of respondents agree that cybersecurity professionals must keep up with their skills or their organizations are at a significant disadvantage, yet 59% agree that while they try to keep up on cybersecurity skills, it is hard to do given the demands of their jobs. ESG and ISSA call this situation the cybersecurity training paradox. CISOs take note and make sure to convince the organization that ample training time and resources are an absolute requirement.

    El conflicto entre la necesidad de formación y el tiempo asignado a la formación sigue siendo un problema crítico: el 91% de los encuestados está de acuerdo en que los profesionales de la ciberseguridad deben mantenerse al día con sus competencias o sus organizaciones se encuentran en una desventaja significativa; sin embargo, el 59% está de acuerdo en que, si bien intentan mantenerse al día con las habilidades de ciberseguridad, es difícil hacerlo dadas las exigencias de sus puestos de trabajo. ESG e ISSA llaman a esta situación la paradoja de la formación en ciberseguridad. Los CISO toman nota y se aseguran de convencer a la organización de que un amplio tiempo de formación y recursos son un requisito absoluto.

    Cybersecurity professionals tend to pride themselves on their endurance and competitiveness, masking the personal price these jobs can have. The research supports this as 60% agree that a cybersecurity career can be taxing on one’s work/life balance, and 38% agree that they often feel an unhealthy level of stress with their jobs. Accordingly, CISOs should constantly monitor the mental health of team members while establishing programs for stress relief.

    Los profesionales de la ciberseguridad tienden a enorgullecerse de su resistencia y competitividad, enmascarando el precio personal que pueden tener estos trabajos. La investigación lo respalda, ya que el 60% está de acuerdo en que una carrera en ciberseguridad puede ser una carga para el equilibrio entre el trabajo y la vida personal, y el 38% está de acuerdo en que a menudo sienten un nivel de estrés poco saludable con su trabajo. En consecuencia, los CISO deben monitorear constantemente la salud mental de los miembros del equipo mientras establecen programas para aliviar el estrés.

    58% of survey respondents agree that security professionals spend too much time on the technical aspects of cybersecurity and not enough time on how cybersecurity aligns with the corporate mission. ESG and ISSA believe this is a fundamental industry dilemma, sometimes called the “shiny object problem.” To address this, CISOs must always reinforce the business focus of cybersecurity within the security team.

    El 58% de los encuestados está de acuerdo en que los profesionales de la seguridad dedican demasiado tiempo a los aspectos técnicos de la ciberseguridad y no lo suficiente a cómo la ciberseguridad se alinea con la misión corporativa. ESG e ISSA creen que este es un dilema fundamental de la industria, a veces llamado el «problema de los objetos brillantes». Para hacer frente a esto, los CISO siempre deben reforzar el enfoque empresarial de la ciberseguridad dentro del equipo de seguridad.

    Interestingly, despite the personal challenges represented in this data, 79% of cybersecurity professionals agree that they are happy as cybersecurity professionals. ESG and ISSA believe that this commitment to the mission regardless of the challenges is what makes cybersecurity professionals special. Rather than business or technical professionals, cybersecurity professionals behave like dedicated public servants, with a focus tilting toward the greater good rather than personal accolades.

    Curiosamente, a pesar de los desafíos personales que representan estos datos, el 79% de los profesionales de la ciberseguridad coinciden en que están contentos como profesionales de la ciberseguridad. ESG e ISSA creen que este compromiso con la misión, independientemente de los desafíos, es lo que hace que los profesionales de la ciberseguridad sean especiales. En lugar de profesionales de negocios o técnicos, los profesionales de la ciberseguridad se comportan como servidores públicos dedicados, con un enfoque que se inclina hacia el bien mayor en lugar de los elogios personales.

    Figure 8. Respondents’ Sentiments on Cybersecurity Careers
    Figure 8. Respondents’ Sentiments on Cybersecurity Careers

    In another opinion question, survey respondents were asked how long it takes a cybersecurity professional to become proficient at their job. The plurality of respondents (35%) believe it takes anywhere from 3 to 5 years to develop real cybersecurity proficiency, while 25% say 2 to 3 years and 17% claim it takes more than 5 years (see Figure 9). Three to 5 years is a long time. CISOs should do everything they can to accelerate staff skills development and retain employees with this level of experience.

    En otra pregunta de opinión, se preguntó a los encuestados cuánto tiempo tarda un profesional de ciberseguridad en volverse competente en su trabajo. La pluralidad de encuestados (35%) cree que se tarda entre 3 y 5 años en desarrollar un dominio real de la ciberseguridad, mientras que el 25% dice que lleva de 2 a 3 años y el 17% afirma que lleva más de 5 años (véase la figura 9). De tres a cinco años es mucho tiempo. Los CISO deben hacer todo lo posible para acelerar el desarrollo de las habilidades del personal y retener a los empleados con este nivel de experiencia.

    Figure 9. Length of Time Required to Develop Cybersecurity Proficiency
    Figure 9. Length of Time Required to Develop Cybersecurity Proficiency

    It is often said that cybersecurity is a “team sport.” In other words, an organization’s cybersecurity program success goes beyond the information security team alone and depends upon commitment and cooperation across the entire organization. With this collaborative ideal in mind, survey respondents were asked to characterize the working relationship between their organization’s cybersecurity team and other departments (see Figure 10). The data indicates that the best relationships are with IT, executives, legal, and operations teams, but ESG and ISSA believe a few points are noteworthy:

    A menudo se dice que la ciberseguridad es un «deporte de equipo». En otras palabras, el éxito del programa de ciberseguridad de una organización va más allá del equipo de seguridad de la información y depende del compromiso y la cooperación de toda la organización. Con este ideal de colaboración en mente, se pidió a los encuestados que caracterizaran la relación de trabajo entre el equipo de ciberseguridad de su organización y otros departamentos (véase la figura 10). Los datos indican que las mejores relaciones se dan con los equipos de TI, ejecutivos, jurídicos y operaciones, pero ESG e ISSA consideran que hay algunos puntos que son dignos de mención:

    16% of respondents said the relationship between security and IT teams is fair or poor. This is somewhat alarming since these teams must work together constantly on tasks like technology deployment, configuration management, and risk mitigation.

    El 16% de los encuestados dijo que la relación entre los equipos de seguridad y TI es justa o deficiente. Esto es algo alarmante, ya que estos equipos deben trabajar juntos constantemente en tareas como la implementación de tecnología, la gestión de la configuración y la mitigación de riesgos.

    21% of respondents said the relationship between security and executives was fair or poor. Similarly, 27% said the relationship between security and the board of directors was fair or poor. These are likely organizations that still believe that security is related to technology and not the business. It’s likely that these firms still equate security with regulatory compliance.

    El 21% de los encuestados dijo que la relación entre seguridad y ejecutivos era justa o deficiente. Del mismo modo, el 27% dijo que la relación entre seguridad y el consejo de administración era justa o deficiente. Es probable que se trate de organizaciones que todavía creen que la seguridad está relacionada con la tecnología y no con el negocio. Es probable que estas firmas sigan igualando la seguridad con el cumplimiento normativo.

    29% of respondents said the relationship between security and HR was fair or poor. This is of concern since the two groups work together on projects like security awareness training, recruitment, and hiring. These tasks are probably managed sub-optimally at organizations with fair or poor security/HR working relationships.

    El 29% de los encuestados dijo que la relación entre seguridad y recursos humanos era justa o deficiente. Esto es motivo de preocupación, ya que los dos grupos trabajan juntos en proyectos como capacitación en concienciación sobre seguridad, contratación y contratación. Es probable que estas tareas se gestionen de manera deficiente en organizaciones con relaciones laborales justas o deficientes de seguridad/RRHH.

    Figure 10. Relationship Status between Cybersecurity and Other Functional Organizations
    Figure 10. Relationship Status between Cybersecurity and Other Functional Organizations

    What can organizations do to improve some of these relationships? Survey respondents were asked this question directly about the relationships between security, IT, and business management teams. With regard to improving the security/IT relationship, security professionals suggest making sure security staff is included in all IT projects from the beginning, embedding cybersecurity staff within functional technology groups, and increasing cybersecurity training for all IT staff (see Figure 11).

    ¿Qué pueden hacer las organizaciones para mejorar algunas de estas relaciones? A los encuestados se les hizo esta pregunta directamente sobre las relaciones entre los equipos de seguridad, TI y gestión empresarial. Con respecto a la mejora de la relación seguridad/TI, los profesionales de seguridad sugieren asegurarse de que el personal de seguridad esté incluido en todos los proyectos de TI desde el principio, incorporar al personal de ciberseguridad en los grupos de tecnología funcional y aumentar la formación en ciberseguridad para todo el personal de TI (véase la figura 11).

    These suggestions are especially interesting. Recall that the most stressful aspect of a security job identified previously relates to IT projects/initiatives lacking security oversight. Alleviating this issue will not only decrease employee stress but also improve the working relationship between security and IT as well as overall security protection. Embedding cybersecurity staff members into functional technology groups is happening with activities such as DevSecOps focused on cloud-native application development. Along with additional security training (especially for software developers), organizations are fusing security into more aspects of IT people, processes, and technologies.

    Estas sugerencias son especialmente interesantes. Recuerde que el aspecto más estresante de un trabajo de seguridad identificado anteriormente se relaciona con proyectos e iniciativas de TI que carecen de supervisión de la seguridad. El alivio de este problema no solo reducirá el estrés de los empleados, sino que también mejorará la relación de trabajo entre seguridad y TI, así como la protección general de la seguridad. La incorporación de los miembros del personal de ciberseguridad en grupos de tecnología funcional se lleva a cabo con actividades como DevSecOps centradas en el desarrollo de aplicaciones nativas de la nube. Junto con la formación adicional sobre seguridad (especialmente para desarrolladores de software), las organizaciones están fusionando la seguridad en más aspectos de las personas, los procesos y las tecnologías de TI.

    Figure 11. Suggestions for Improving the Relationship between Security and IT
    Figure 11. Suggestions for Improving the Relationship between Security and IT

    In terms of the relationship between security and business management, survey respondents suggest encouraging cybersecurity participation in business planning and strategy, improving cyber-risk identification/quantification, and focusing cybersecurity resources and investments on business-critical assets (see Figure 12). Like the IT relationship, cybersecurity pros believe that working closer and earlier with business teams can be beneficial. As this happens, security teams must be prepared with the right communications, reports, and metrics that present cybersecurity in a business context.

    En cuanto a la relación entre la seguridad y la gestión empresarial, los encuestados sugieren que se fomente la participación de la ciberseguridad en la planificación y la estrategia empresarial, se mejore la identificación/cuantificación de los riesgos cibernéticos y se centren los recursos e inversiones de ciberseguridad en los activos críticos para el negocio (véase Figura 12). Al igual que la relación de TI, los profesionales de la ciberseguridad creen que trabajar más cerca y antes con los equipos empresariales puede ser beneficioso. A medida que esto sucede, los equipos de seguridad deben estar preparados con las comunicaciones, los informes y las métricas correctas que presenten la ciberseguridad en un contexto empresarial.

    Figure 12. Suggestions for Improving the Relationship between Security and Business Management
    Figure 12. Suggestions for Improving the Relationship between Security and Business Management

    The Cybersecurity Skills Shortage Persists, and in Many Cases, Continues to Worsen

    La escasez de habilidades de ciberseguridad persiste y, en muchos casos, sigue empeorando

    ESG and ISSA believe the cybersecurity skills shortage has two major implications. The most obvious is a shortage of talented cybersecurity professionals, with simply more cybersecurity job openings than qualified candidates to fill them. The other implication isn’t as widely discussed but is at least as important: Many members of the current cybersecurity workforce lack the advanced skills necessary to safeguard critical business assets or counteract sophisticated cyber-adversaries.

    ESG y la AISS creen que la escasez de competencias en ciberseguridad tiene dos implicaciones importantes. Lo más obvio es la escasez de profesionales de ciberseguridad talentosos, con más ofertas de trabajo en ciberseguridad que candidatos calificados para llenarlas. La otra implicación no se discute con tanta frecuencia, pero es al menos igual de importante: muchos miembros del personal de ciberseguridad actual carecen de las habilidades avanzadas necesarias para salvaguardar los activos empresariales críticos o contrarrestar a los ciberadversarios sofisticados.

    After researching the cybersecurity skills shortage for five years, ESG and ISSA are convinced that it is real and impactful, yet each report on the subject receives a fair amount of negative feedback, questioning its existence. Comments include theories that there are plenty of cybersecurity professionals to go around, if only organizations knew how and where to recruit them.

    Tras investigar la escasez de competencias en ciberseguridad durante cinco años, ESG y AISS están convencidos de que es real e impactante, pero cada informe sobre el tema recibe una buena cantidad de comentarios negativos, cuestionando su existencia. Los comentarios incluyen teorías de que hay muchos profesionales de la ciberseguridad por ahí, si tan solo las organizaciones supieran cómo y dónde reclutarlos.

    Based on this feedback, ESG and ISSA asked survey respondents a basic question in the 2021 survey: Has the cybersecurity skills shortage been overstated? As it turns out, one-third of respondents share the opinion that the skills shortage has been greatly or somewhat overstated, but the highest percentage of cybersecurity professionals (44%) believe it has received the right amount of attention, while 23% claim it has been understated (see Figure 13).

    Basándose en estos comentarios, la ESG y la AISS formularon a los encuestados una pregunta básica en la encuesta de 2021: ¿Se ha exagerado la escasez de conocimientos sobre ciberseguridad? Resulta que un tercio de los encuestados opina que la escasez de competencias ha sido muy o algo exagerada, pero el porcentaje más alto de profesionales de la ciberseguridad (44%) cree que ha recibido la atención adecuada, mientras que el 23% afirma que ha sido subestimada (véase la figura 13).

    Figure 13. Opinions on Industry Discussions of the Cybersecurity Skills Shortage
    Figure 13. Opinions on Industry Discussions of the Cybersecurity Skills Shortage

    As further research clearly indicates, the cybersecurity skills shortage is real, leading to lots of problems for organizations. At the same time however, the research points to the fact that some organizations may be experiencing self-inflicted wounds and truly don’t recruit well, provide the right level of training, or address the skills shortage with the right strategies. In essence, both groups are right: The skills shortage is real, but organizations could and should be doing more.

    Como indican claramente otras investigaciones, la escasez de habilidades en ciberseguridad es real, lo que genera muchos problemas para las organizaciones. Sin embargo, al mismo tiempo, la investigación señala el hecho de que algunas organizaciones pueden estar sufriendo heridas autoinfligidas y realmente no contratan bien, no proporcionan el nivel adecuado de capacitación o abordan la escasez de habilidades con las estrategias adecuadas. En esencia, ambos grupos tienen razón: la escasez de competencias es real, pero las organizaciones podrían y deberían hacer más.

    As in past years, ESG and ISSA wanted to understand the implications of the global cybersecurity skills shortage and how it is affecting organizations. For the first time, the data improved slightly. This year, 57% of organizations claim they’ve been impacted by the cybersecurity skills shortage, compared to 70% in 2020 and 73% in 2019 (see Figure 14).

    Al igual que en años anteriores, ESG e AISS querían comprender las implicaciones de la escasez mundial de competencias en ciberseguridad y cómo está afectando a las organizaciones. Por primera vez, los datos mejoraron ligeramente. Este año, el 57% de las organizaciones afirman que se han visto afectadas por la escasez de competencias en ciberseguridad, en comparación con el 70% en 2020 y el 73% en 2019 (véase la figura 14).

    Figure 14. Level of Impact of the Cybersecurity Skills Shortage
    Figure 14. Level of Impact of the Cybersecurity Skills Shortage

    While this data point seems to represent an encouraging trend, additional data paints a different picture. Last year, ESG and ISSA added a question asking cybersecurity professionals whether they believe the cybersecurity skills shortage is improving or getting worse. This year’s results are distressing as 44% believe the cybersecurity skills shortage (and its impact) have gotten worse over the past few years while 51% say it’s about the same today as it was over the past few years (see Figure 15). Sadly, only 5% believe the situation has gotten better.

    Si bien este dato parece representar una tendencia alentadora, los datos adicionales muestran un panorama diferente. El año pasado, ESG e ISSA añadieron una pregunta para preguntar a los profesionales de la ciberseguridad si creen que la escasez de competencias en ciberseguridad está mejorando o empeorando. Los resultados de este año son preocupantes, ya que el 44% cree que la escasez de competencias en ciberseguridad (y su impacto) ha empeorado en los últimos años, mientras que el 51% dice que hoy es casi igual que en los últimos años (véase la figura 15). Lamentablemente, solo el 5% cree que la situación ha mejorado.

    Based upon years of research, ESG and ISSA firmly believe that the cybersecurity skills shortage is a long-term reality where the industry has achieved little progress. While education and recruitment programs may be worthwhile, CISOs must craft enterprise security programs that accommodate and plan for perpetual skills shortages.

    Basándose en años de investigación, ESG e AISS creen firmemente que la escasez de competencias en ciberseguridad es una realidad a largo plazo en la que la industria ha progresado poco. Si bien los programas de educación y reclutamiento pueden valer la pena, los CISO deben diseñar programas de seguridad empresarial que se adapten y planifiquen la escasez perpetua de habilidades.

    Figure 15. The Cybersecurity Skills Shortage Is Not Improving
    Figure 15. The Cybersecurity Skills Shortage Is Not Improving

    As in the past, survey respondents working at organizations impacted by the cybersecurity skills shortage were asked about the ramifications experienced (see Figure 16). Once again, the top response (62%) was that it has increased the workload on existing staff (similar to last year’s results, 58%). This is the biggest consequence of the skills shortage by far. Additionally, 38% of respondents indicated that the skills shortage has led to new security jobs remaining open for weeks or months (this may be one reason why 29% of organizations must hire and train junior employees rather than experienced candidates). Consistent with the mental health theme described previously, 38% of respondents said that the skills shortage has led to employee burnout and employee attrition.

    Al igual que en el pasado, a los encuestados que trabajaban en organizaciones afectadas por la escasez de habilidades en ciberseguridad se les preguntó sobre las ramificaciones experimentadas (véase la figura 16). Una vez más, la respuesta más alta (62%) fue que ha aumentado la carga de trabajo del personal existente (similar a los resultados del año pasado, 58%). Esta es, con diferencia, la mayor consecuencia de la escasez de competencias. Además, el 38% de los encuestados indicó que la escasez de competencias ha llevado a que los nuevos puestos de trabajo de seguridad permanezcan abiertos durante semanas o meses (esta puede ser una de las razones por las que el 29% de las organizaciones deben contratar y formar a empleados junior en lugar de candidatos con experiencia). En consonancia con el tema de salud mental descrito anteriormente, el 38% de los encuestados dijo que la escasez de habilidades ha provocado el agotamiento de los empleados y el desgaste de los empleados.

    It is also noteworthy that one-third of respondents say that the skills shortage has led to a situation where the cybersecurity team is unable to learn or utilize some security technologies to their full potential. Think about that for a moment: Organizations determine they need some new security technology for threat prevention, detection, or response. They go through the rigor of researching, purchasing, testing, configuring, deploying, and operating the product as well as training staff. After all this work, they still lack the staff or skills to operate the product correctly. Given this situation, CISOs must reassess their priorities, only purchasing technologies that can be used appropriately. In other cases, organizations should consider managed services as an alternative to underutilized security technologies.

    También cabe destacar que un tercio de los encuestados afirma que la escasez de competencias ha llevado a una situación en la que el equipo de ciberseguridad no puede aprender o utilizar algunas tecnologías de seguridad en todo su potencial. Piénselo por un momento: las organizaciones determinan que necesitan una nueva tecnología de seguridad para la prevención, detección o respuesta a amenazas. Atraviesan el rigor de investigar, comprar, probar, configurar, implementar y operar el producto, así como capacitar al personal. Después de todo este trabajo, todavía carecen del personal o de las habilidades necesarias para operar correctamente el producto. Ante esta situación, los CISO deben reevaluar sus prioridades, comprando únicamente tecnologías que puedan utilizarse adecuadamente. En otros casos, las organizaciones deben considerar los servicios administrados como una alternativa a las tecnologías de seguridad infrautilizadas.

    Figure 16. How the Cybersecurity Skills Shortage Has Impacted Organizations
    Figure 16. How the Cybersecurity Skills Shortage Has Impacted Organizations

    For the first time, organizations claiming to be impacted by the cybersecurity skills shortage were asked to identify contributing factors. The three top responses included issues related to compensation, HR’s understanding of cybersecurity skills, and working in an industry that may be unattractive to cybersecurity professionals (see Figure 17). It is also worth noting that 25% pointed to unrealistic job postings (i.e., asking for skills that were not commensurate with compensation offered, real job requirements, etc.). To some extent, this data supports the theory that the cybersecurity skills shortage is related to mismanagement rather than a dearth of qualified candidates or advanced skills.

    Por primera vez, se pidió a las organizaciones que afirmaban verse afectadas por la escasez de habilidades en ciberseguridad que identificaran los factores que contribuían a ello. Las tres respuestas principales incluyeron cuestiones relacionadas con la compensación, la comprensión de los recursos humanos sobre las habilidades de ciberseguridad y el trabajo en un sector que puede resultar poco atractivo para los profesionales de la ciberseguridad (véase la figura 17). También vale la pena señalar que el 25% apuntó a ofertas de trabajo poco realistas (es decir, pedir habilidades que no estaban a la altura de la remuneración ofrecida, requisitos laborales reales, etc.). Hasta cierto punto, estos datos apoyan la teoría de que la escasez de competencias en ciberseguridad está relacionada con la mala gestión y no con la escasez de candidatos cualificados o de habilidades avanzadas.

    Compensation is a binary issue—either an organization offers competitive compensation, or it does not. The same could be said of an organization’s industry. If compensation or industry is unappealing, the hiring company is at a distinct disadvantage and will only be successful at recruiting if other job attributes are especially attractive (i.e., working hours, training opportunities, benefits, etc.). With regard to compensation, CISOs must lobby HR, finance, and other departments to offer competitive salaries, or they face a perpetual losing battle for staff recruitment and retention. As for other factors mentioned, CISOs must ensure that HR departments and recruiters are well versed in cybersecurity needs and put together accurate and realistic job postings as part of their recruitment process.

    La compensación es una cuestión binaria: o bien una organización ofrece una compensación competitiva o no. Lo mismo podría decirse de la industria de una organización. Si la compensación o el sector no son atractivos, la empresa contratante se encuentra en clara desventaja y solo tendrá éxito en la contratación si otros atributos del puesto son especialmente atractivos (es decir, horas de trabajo, oportunidades de formación, beneficios, etc.). Con respecto a la compensación, los CISO deben presionar a los departamentos de RRHH, finanzas y otros departamentos para que ofrezcan salarios competitivos, o se enfrentan a una batalla perdida perpetua por la contratación y retención del personal. En cuanto a otros factores mencionados, los CISO deben garantizar que los departamentos de RRHH y los reclutadores estén bien versados en las necesidades de ciberseguridad y que, como parte de su proceso de contratación, realicen ofertas de trabajo precisas y realistas.

    Figure 17. Factors Contributing to How the Cybersecurity Skills Shortage Has Impacted Organizations
    Figure 17. Factors Contributing to How the Cybersecurity Skills Shortage Has Impacted Organizations

    Additional data from this year’s survey results add further evidence to the extent of the cybersecurity skills shortage. According to Figure 18, when asked how difficult it is to recruit cybersecurity professionals, 76% of security professionals say it is either extremely (18%) or somewhat difficult (58%).

    Los datos adicionales de los resultados de la encuesta de este año añaden más pruebas sobre el grado de escasez de competencias en ciberseguridad. Según la figura 18, cuando se le pregunta qué tan difícil es contratar profesionales de la ciberseguridad, el 76% de los profesionales de la seguridad afirma que es extremadamente (18%) o algo difícil (58%).

    Figure 18. Difficulties in Recruiting for Cybersecurity
    Figure 18. Difficulties in Recruiting for Cybersecurity

    Survey respondents were asked to identify areas with the most acute skills shortages. Nearly four in ten (39%) cite cloud computing security, followed by nearly a third (30%) who identify application security and/or security analysis and investigations as areas of personnel deficiency (see  Figure 19).

    Se pidió a los encuestados que identificaran las áreas con mayor escasez de habilidades. Casi cuatro de cada diez (39%) mencionan la seguridad informática en la nube, seguidos de casi un tercio (30%) que identifican la seguridad de las aplicaciones y/o los análisis e investigaciones de seguridad como áreas de deficiencia de personal (véase la figura 19).

    CISOs must understand the level of competition for candidates with these skill sets. It may be worthwhile to craft backup plans if recruitment efforts languish or fail completely. Examples include training software developers and DevOps personnel on application security, recruiting and training server virtualization administrators as cloud computing security specialists, and working with experienced managed services providers.

    Los CISO deben comprender el nivel de competencia de los candidatos con estas habilidades. Puede valer la pena elaborar planes de respaldo si los esfuerzos de reclutamiento languidecen o fracasan por completo. Algunos ejemplos son la formación de desarrolladores de software y personal de DevOps sobre seguridad de aplicaciones, contratación y formación de administradores de virtualización de servidores como especialistas en seguridad informática en la nube y el trabajo con proveedores de servicios gestionados experimentados.

    Figure 19. Area(s) with Biggest Shortage of Cybersecurity Skills by Technology Category
    Figure 19. Area(s) with Biggest Shortage of Cybersecurity Skills by Technology Category

    The research also points out that it is most difficult to recruit mid-career and senior cybersecurity professionals while fewer organizations have trouble recruiting entry-level security staff or cybersecurity leadership (see Figure 20).

    La investigación también señala que es más difícil contratar profesionales de ciberseguridad a mitad de carrera y sénior, mientras que menos organizaciones tienen problemas para contratar personal de seguridad básico o líderes en ciberseguridad (véase la figura 20).

    Figure 20. Area(s) with Biggest Shortage of Cybersecurity Skills by Experience Levels
    Figure 20. Area(s) with Biggest Shortage of Cybersecurity Skills by Experience Levels

    While organizations find it difficult to recruit and hire cybersecurity staff, security professionals are constantly being recruited for new positions with promises of higher pay, better benefits, and an assortment of perks. In fact, 70% of the cybersecurity professionals surveyed are solicited to consider other job opportunities at least once per month (see Figure 21). Furthermore, 71% of survey respondents believe that the frequency/volume of job solicitations has increased over the past few years. Cybersecurity truly remains a seller’s market.

    Si bien a las organizaciones les resulta difícil contratar y contratar personal de ciberseguridad, constantemente se reclutan profesionales de seguridad para nuevos puestos con promesas de salarios más altos, mejores beneficios y una variedad de beneficios. De hecho, se solicita al 70% de los profesionales de ciberseguridad encuestados que consideren otras oportunidades laborales al menos una vez al mes (véase la figura 21). Además, el 71% de los encuestados cree que la frecuencia/volumen de las solicitudes de empleo ha aumentado en los últimos años. La ciberseguridad sigue siendo realmente un mercado de vendedores.

    Figure 21. Frequency of Solicitations for Cybersecurity Jobs
    Figure 21. Frequency of Solicitations for Cybersecurity Jobs

    In 2021, survey respondents were once again asked to identify who is responsible for addressing the cybersecurity skills shortage. Respondents indicate that CISOs/CSOs really own this problem (see Figure 22). Are these individuals and the organizations they work for doing enough to address the cybersecurity skills shortage? Not according to survey respondents, as 27% believe their organization could be doing somewhat more to address the skills shortage while nearly one-third (32%) say their organizations could be doing much more here (see Figure 23).

    En 2021, se volvió a pedir a los encuestados que identificaran quién es responsable de abordar la escasez de competencias en ciberseguridad. Los encuestados indican que los CISO/OSC realmente son dueños de este problema (véase la figura 22). ¿Estas personas y las organizaciones para las que trabajan están haciendo lo suficiente para hacer frente a la escasez de habilidades de ciberseguridad? No según los encuestados, ya que el 27% cree que su organización podría estar haciendo algo más para hacer frente a la escasez de competencias, mientras que casi un tercio (32%) afirma que sus organizaciones podrían estar haciendo mucho más aquí (véase la figura 23).

    As previously stated, this data reinforces the need for CISOs/CSOs and the organizations they work for to plan for staff and skills shortages by including plans for additional use of professional/managed services and process automation. Organizations should also research, test, and pilot “smart” security solutions based on advanced analytics. These technologies vary widely in terms of efficacy and should be approached cautiously, but their potential to augment human skills in the future is worth pursuing.

    Como se indicó anteriormente, estos datos refuerzan la necesidad de que los CISO/OSC y las organizaciones para las que trabajan planifiquen la escasez de personal y habilidades al incluir planes para el uso adicional de servicios profesionales/administrados y automatización de procesos. Las organizaciones también deben investigar, probar y poner a prueba soluciones de seguridad «inteligentes» basadas en análisis avanzados. Estas tecnologías varían ampliamente en términos de eficacia y deben abordarse con cautela, pero vale la pena seguir su potencial para aumentar las habilidades humanas en el futuro.

    Figure 22. Responsibilities for Addressing the Impact of the Cybersecurity Skills Shortage
    Figure 22. Responsibilities for Addressing the Impact of the Cybersecurity Skills Shortage
    Figure 23. Organizational Response to the Cybersecurity Skills Shortage
    Figure 23. Organizational Response to the Cybersecurity Skills Shortage

    With most respondents believing that their organizations could do more to address the skills shortage, ESG and ISSA asked them for some specific recommendations (see Figure 24). Cybersecurity professionals suggested actions like increasing the commitment to cybersecurity training, increasing compensation, providing additional perks, and creating or improving a cybersecurity internship program.

    Como la mayoría de los encuestados creían que sus organizaciones podrían hacer más para hacer frente a la escasez de competencias, ESG y AISS les pidieron algunas recomendaciones específicas (véase la figura 24). Los profesionales de la ciberseguridad sugirieron acciones como aumentar el compromiso con la formación en ciberseguridad, aumentar la compensación, proporcionar beneficios adicionales y crear o mejorar un programa de pasantías en ciberseguridad.

    The top three recommendations are clear; organizations need to offer competitive compensation, benefits, and training opportunities to attract top cybersecurity talent. Aside from these basics, survey respondents have some additional advice such as looking beyond security and IT for talent, working more closely with cybersecurity professional organizations, and increasing work with local colleges and universities. In summary, successful cybersecurity recruiting requires a bit of experimentation and creativity. Organizations should take chances with the goal of creating programs that are attractive to the cybersecurity community. CISOs should gather further feedback and enlist the HR department’s help to create this type of environment.

    Las tres recomendaciones principales son claras; las organizaciones deben ofrecer una compensación competitiva, beneficios y oportunidades de formación para atraer a los mejores talentos de ciberseguridad. Además de estos conceptos básicos, los encuestados tienen algunos consejos adicionales, como buscar talento más allá de la seguridad y la TI, trabajar más estrechamente con organizaciones profesionales de ciberseguridad y aumentar el trabajo con los colegios y universidades locales. En resumen, el éxito de la contratación de ciberseguridad requiere un poco de experimentación y creatividad. Las organizaciones deben arriesgarse con el objetivo de crear programas atractivos para la comunidad de ciberseguridad. Los CISO deben recopilar más comentarios y obtener la ayuda del departamento de RRHH para crear este tipo de entorno.

    Figure 24. Actions that Could Be Used to Address the Cybersecurity Skills Shortage
    Figure 24. Actions that Could Be Used to Address the Cybersecurity Skills Shortage