Los hechos básicos

Al igual que en años anteriores, ESG e ISSA obtuvieron información básica sobre las carreras profesionales de la ciberseguridad. Por ejemplo:

El 79% de los profesionales de la ciberseguridad comenzaron su carrera trabajando en TI.

Cuando se le preguntó qué habilidades resultaron más útiles para pasar de la TI a la ciberseguridad, las respuestas principales fueron los conocimientos y habilidades de operaciones de TI (61%), las habilidades analíticas (53%), los conocimientos y habilidades tecnológicas prácticas (48%) y las habilidades empresariales (en relación con las tecnologías y los procesos de TI) (42%).

Cuando se le preguntaron las razones para convertirse en un profesional de la ciberseguridad, las principales respuestas fueron la oportunidad de utilizar las habilidades y la curiosidad para hacer frente a los desafíos técnicos (43%), la oportunidad de desarrollar habilidades y conocimientos técnicos (40%), ser un paso natural de la carrera de TI (34%) y la atracción por la moralidad de la profesión (29%).

El 28% de los encuestados afirma que tanto ellos como otros profesionales de la ciberseguridad que conocen han experimentado problemas personales importantes debido al estrés asociado con la profesión de ciberseguridad (por ejemplo, abuso de drogas, abuso de alcohol, depresión, etc.).

El 50% de los profesionales de ciberseguridad encuestados afirma que los niveles de estrés laboral aumentaron el año pasado como resultado del apoyo a los trabajadores remotos debido a la pandemia de COVID-19. Para ayudar a aliviar el estrés causado por la pandemia, el 36% de las organizaciones instituyó más «registros» de CISO con el personal, el 32% creó reuniones sociales en línea para el equipo de ciberseguridad y el 24% añadió programas formales de gestión del estrés impulsados por RRHH.

También se preguntó a los encuestados si su organización empleaba a un CISO. A los que sí lo hicieron se les hicieron otras preguntas relacionadas. Sobre este tema, la investigación reveló:

El 73% de los encuestados afirma que su organización emplea un CISO, mientras que el 5% afirma que su organización emplea un CISO virtual (vCISO).

De las organizaciones que emplean a un CISO, el 43% dice que el CISO informa al CIO, el 29% dice que el CISO informa al CEO, el 9% dice que el director de operaciones, el 9% dice «otros» y el 10% no lo sabe.

El 61% de los encuestados afirma que su CISO es un participante activo de la dirección ejecutiva y del consejo de administración (o grupo de supervisión similar), el 14% dice que su CISO no participa activamente en la dirección ejecutiva ni en el consejo de administración (o grupo de supervisión similar), y el 24% no lo sabe. el nivel de participación del CISO de la organización con la dirección ejecutiva y el consejo de administración es adecuado, el 23% no cree que el nivel de participación del CISO de su organización con la dirección ejecutiva y el consejo de administración sea adecuado, y el 26% no lo sabe.

El 43% cree que su CISO ha sido muy eficaz, el 49% cree que su CISO ha sido algo efectivo, el 6% dice que su CISO no ha sido muy eficaz y el 2% afirma que su CISO no ha sido eficaz en absoluto.

Cuando se le pidió que identificara las cualidades más importantes de un CISO exitoso, el 39% dijo que tenía habilidades de liderazgo, mientras que el 30% dijo que tenía habilidades operativas. El 31% restante incluía aptitudes empresariales, técnicas, habilidades de gestión, habilidades de comunicación y otras.

A los encuestados se les preguntó qué factores tienen más probabilidades de provocar que los CISO abandonen una organización por otra. Las respuestas más populares fueron: a los CISO se les ofrece un paquete de compensación más alto en otra organización (33%), la organización no tiene una cultura que haga hincapié en la ciberseguridad (31%) y los presupuestos de ciberseguridad no son proporcionales al tamaño y la industria de la organización (29%).

Conseguir un trabajo de ciberseguridad

Por primera vez, ESG y AISS preguntaron a los profesionales de la ciberseguridad cómo encontraban su trabajo actual (véase la figura 1). El porcentaje más alto (38%) afirma que encontró su trabajo mediante la creación de redes con contactos del sector, mientras que un reclutador del sector se puso en contacto con el 24% y el 22% respondió a una oferta de empleo en su empresa (véase la figura 1). No es sorprendente que exista una ligera correlación entre los métodos utilizados para encontrar trabajo y la antigüedad. Los profesionales de ciberseguridad sénior tienen más probabilidades de encontrar sus puestos de trabajo a través de contactos de la industria y reclutadores, mientras que aquellos con menos experiencia tienen más probabilidades de utilizar las ofertas de empleo. Esta información debería ayudar a guiar a los CISO y a los profesionales de RRHH a medida que compiten por llenar las solicitudes de empleo.

A pesar de la continua escasez de habilidades en ciberseguridad, los candidatos cualificados a menudo se quejan de que puede ser muy difícil comenzar una carrera en ciberseguridad. Cuando se reúnen con los candidatos de nivel inicial, a los analistas de ESG y a los miembros de la AISS se les pide asesoramiento en esta área. En 2021, ESG y la AISS abordaron este problema directamente mediante la inclusión de una nueva pregunta de la encuesta en la que se pedía a los encuestados sus recomendaciones para aquellos que deseen entrar en el campo de la ciberseguridad. Casi la mitad (49%) de los encuestados sugirió obtener una certificación básica de ciberseguridad, el 42% propuso unirse a una organización profesional del sector y el 36% recomendó encontrar un mentor que esté dispuesto a ayudar a desarrollar habilidades y un plan de carrera (véase la figura 2). Es de esperar que esta guía ayude a los candidatos de nivel inicial a impulsar sus carreras.

Las carreras en ciberseguridad dependen de la experiencia práctica y de algunas certificaciones

La ciberseguridad se destaca por una gran cantidad de certificaciones técnicas esotéricas, por lo que ESG y la AISS han pedido continuamente a los encuestados que nos digan qué certificaciones han obtenido y cuáles son las más importantes. Al igual que en años anteriores, a los encuestados se les pidió que escribieran la respuesta a esta pregunta, y las respuestas principales se enumeran en la figura 3. De las certificaciones obtenidas, las más útiles para conseguir un trabajo se muestran en la figura 4. En ambos gráficos destaca el profesional certificado de seguridad de sistemas de información (CISSP) de (ISC) 2: es la certificación más popular y la más importante para conseguir un trabajo de ciberseguridad. Otras certificaciones pueden ser importantes desde el punto de vista táctico, pero deben considerarse como vehículos para avanzar en su carrera (en algunos casos) o para ayudar a los profesionales de la ciberseguridad a adquirir conocimientos generales en una subdisciplina de ciberseguridad (por ejemplo, hacker ético certificado).

Los profesionales de la ciberseguridad obtienen una certificación CISSP tras acumular el número necesario de años de experiencia, ya que esta certificación es un requisito para la mayoría de los puestos de trabajo disponibles. Sin embargo, más allá del CISSP, los encuestados adoptan un enfoque más táctico para obtener certificaciones adicionales en función de sus habilidades, intereses y planes de carrera. ESG e ISSA creen que este es el enfoque adecuado para las certificaciones y el desarrollo profesional. En lugar de llenar sus currículums con siglas, los profesionales de la ciberseguridad deben centrarse en la formación práctica, la tutoría y la creación de redes profesionales como medio principal para el desarrollo de habilidades. Por el contrario, las certificaciones deben complementar estas actividades.

ESG y la AISS han creído durante mucho tiempo que la experiencia práctica es el factor más importante en el desarrollo profesional de la ciberseguridad, pero esta suposición se basó en datos anecdóticos. En 2021, ESG e ISSA pusiERON a prueba la hipótesis de la encuesta.

Los datos respaldan de nuevo esta creencia de larga data. Solo el 1% de los encuestados cree que las certificaciones de seguridad son más importantes que la experiencia práctica. Alternativamente, el 52% cree que la experiencia práctica es más importante que las certificaciones, mientras que el 46% valora la experiencia práctica y el logro de la certificación (véase la figura 5). Basándose en la investigación, ESG y la AISS creen que aquellos que creen que la experiencia práctica y la obtención de certificaciones de seguridad son igualmente importantes tienen en mente la certificación CISSP, ya que se considera un requisito fundamental para una carrera en ciberseguridad.

Sobre la base de estos datos, los profesionales de ciberseguridad aspirantes y avanzados deben adoptar un enfoque equilibrado para el desarrollo de habilidades. Como se ha indicado anteriormente, la experiencia práctica debe complementarse con las certificaciones de seguridad adecuadas según sea necesario.

Profesionales de ciberseguridad: una visión de 360 grados

¿Cuáles son los factores más importantes que distinguen un trabajo de ciberseguridad satisfactorio e insatisfactorio? Esta pregunta ha sido una constante en el estudio de investigación de la ESG/AISS durante cinco años. Curiosamente, los resultados han sido bastante coherentes. Las tres prioridades principales en 2021 son el compromiso de la dirección empresarial con una ciberseguridad sólida, una compensación financiera competitiva o líder en el sector y la capacidad de trabajar con personal de ciberseguridad altamente cualificado y talentoso (véase la figura 6).

Los directores de TI y los ejecutivos de RRHH toman nota, ya que estos datos representan lo que se tendrá que hacer para contratar y retener a profesionales de la ciberseguridad.

Teniendo en cuenta la satisfacción laboral, ESG e AISS también querían conocer los aspectos más estresantes de un trabajo de ciberseguridad. Casi dos tercios (32%) de los encuestados afirman que están descubriendo sobre TI/iniciativas/proyectos iniciados por otros equipos (dentro de la organización) sin supervisión de seguridad (véase la figura 7). Esto tiene sentido. Los profesionales de la seguridad quieren participar en los proyectos desde el principio para poder «trabajar» en lugar de «atornillar» la seguridad. Del mismo modo, casi un tercio (31%) de los encuestados cree que es estresante trabajar con gestores de negocios desinteresados, mientras que otro 31% apunta a la abrumadora carga de trabajo. Al igual que en la respuesta más alta, el 24% de los profesionales de seguridad creen que es estresante mantenerse al día con las necesidades de seguridad de las nuevas iniciativas de TI. Es evidente que los profesionales de la ciberseguridad quieren participar en los proyectos desde el principio y quieren ver el compromiso de ciberseguridad por parte de las empresas y los asociados de TI. Cuando no existen estas condiciones, es probable que las organizaciones se enfrenten a un alto agotamiento de los empleados y al desgaste del personal.

Como en el pasado, a los profesionales de la seguridad se les preguntó su opinión sobre varios temas (véase la figura 8). Algunas estadísticas destacan:

El conflicto entre la necesidad de formación y el tiempo asignado a la formación sigue siendo un problema crítico: el 91% de los encuestados está de acuerdo en que los profesionales de la ciberseguridad deben mantenerse al día con sus competencias o sus organizaciones se encuentran en una desventaja significativa; sin embargo, el 59% está de acuerdo en que, si bien intentan mantenerse al día con las habilidades de ciberseguridad, es difícil hacerlo dadas las exigencias de sus puestos de trabajo. ESG e ISSA llaman a esta situación la paradoja de la formación en ciberseguridad. Los CISO toman nota y se aseguran de convencer a la organización de que un amplio tiempo de formación y recursos son un requisito absoluto.

Los profesionales de la ciberseguridad tienden a enorgullecerse de su resistencia y competitividad, enmascarando el precio personal que pueden tener estos trabajos. La investigación lo respalda, ya que el 60% está de acuerdo en que una carrera en ciberseguridad puede ser una carga para el equilibrio entre el trabajo y la vida personal, y el 38% está de acuerdo en que a menudo sienten un nivel de estrés poco saludable con su trabajo. En consecuencia, los CISO deben monitorear constantemente la salud mental de los miembros del equipo mientras establecen programas para aliviar el estrés.

El 58% de los encuestados está de acuerdo en que los profesionales de la seguridad dedican demasiado tiempo a los aspectos técnicos de la ciberseguridad y no lo suficiente a cómo la ciberseguridad se alinea con la misión corporativa. ESG e ISSA creen que este es un dilema fundamental de la industria, a veces llamado el «problema de los objetos brillantes». Para hacer frente a esto, los CISO siempre deben reforzar el enfoque empresarial de la ciberseguridad dentro del equipo de seguridad.

Curiosamente, a pesar de los desafíos personales que representan estos datos, el 79% de los profesionales de la ciberseguridad coinciden en que están contentos como profesionales de la ciberseguridad. ESG e ISSA creen que este compromiso con la misión, independientemente de los desafíos, es lo que hace que los profesionales de la ciberseguridad sean especiales. En lugar de profesionales de negocios o técnicos, los profesionales de la ciberseguridad se comportan como servidores públicos dedicados, con un enfoque que se inclina hacia el bien mayor en lugar de los elogios personales.

En otra pregunta de opinión, se preguntó a los encuestados cuánto tiempo tarda un profesional de ciberseguridad en volverse competente en su trabajo. La pluralidad de encuestados (35%) cree que se tarda entre 3 y 5 años en desarrollar un dominio real de la ciberseguridad, mientras que el 25% dice que lleva de 2 a 3 años y el 17% afirma que lleva más de 5 años (véase la figura 9). De tres a cinco años es mucho tiempo. Los CISO deben hacer todo lo posible para acelerar el desarrollo de las habilidades del personal y retener a los empleados con este nivel de experiencia.

A menudo se dice que la ciberseguridad es un «deporte de equipo». En otras palabras, el éxito del programa de ciberseguridad de una organización va más allá del equipo de seguridad de la información y depende del compromiso y la cooperación de toda la organización. Con este ideal de colaboración en mente, se pidió a los encuestados que caracterizaran la relación de trabajo entre el equipo de ciberseguridad de su organización y otros departamentos (véase la figura 10). Los datos indican que las mejores relaciones se dan con los equipos de TI, ejecutivos, jurídicos y operaciones, pero ESG e ISSA consideran que hay algunos puntos que son dignos de mención:

El 16% de los encuestados dijo que la relación entre los equipos de seguridad y TI es justa o deficiente. Esto es algo alarmante, ya que estos equipos deben trabajar juntos constantemente en tareas como la implementación de tecnología, la gestión de la configuración y la mitigación de riesgos.

El 21% de los encuestados dijo que la relación entre seguridad y ejecutivos era justa o deficiente. Del mismo modo, el 27% dijo que la relación entre seguridad y el consejo de administración era justa o deficiente. Es probable que se trate de organizaciones que todavía creen que la seguridad está relacionada con la tecnología y no con el negocio. Es probable que estas firmas sigan igualando la seguridad con el cumplimiento normativo.

El 29% de los encuestados dijo que la relación entre seguridad y recursos humanos era justa o deficiente. Esto es motivo de preocupación, ya que los dos grupos trabajan juntos en proyectos como capacitación en concienciación sobre seguridad, contratación y contratación. Es probable que estas tareas se gestionen de manera deficiente en organizaciones con relaciones laborales justas o deficientes de seguridad/RRHH.

¿Qué pueden hacer las organizaciones para mejorar algunas de estas relaciones? A los encuestados se les hizo esta pregunta directamente sobre las relaciones entre los equipos de seguridad, TI y gestión empresarial. Con respecto a la mejora de la relación seguridad/TI, los profesionales de seguridad sugieren asegurarse de que el personal de seguridad esté incluido en todos los proyectos de TI desde el principio, incorporar al personal de ciberseguridad en los grupos de tecnología funcional y aumentar la formación en ciberseguridad para todo el personal de TI (véase la figura 11).

Estas sugerencias son especialmente interesantes. Recuerde que el aspecto más estresante de un trabajo de seguridad identificado anteriormente se relaciona con proyectos e iniciativas de TI que carecen de supervisión de la seguridad. El alivio de este problema no solo reducirá el estrés de los empleados, sino que también mejorará la relación de trabajo entre seguridad y TI, así como la protección general de la seguridad. La incorporación de los miembros del personal de ciberseguridad en grupos de tecnología funcional se lleva a cabo con actividades como DevSecOps centradas en el desarrollo de aplicaciones nativas de la nube. Junto con la formación adicional sobre seguridad (especialmente para desarrolladores de software), las organizaciones están fusionando la seguridad en más aspectos de las personas, los procesos y las tecnologías de TI.

En cuanto a la relación entre la seguridad y la gestión empresarial, los encuestados sugieren que se fomente la participación de la ciberseguridad en la planificación y la estrategia empresarial, se mejore la identificación/cuantificación de los riesgos cibernéticos y se centren los recursos e inversiones de ciberseguridad en los activos críticos para el negocio (véase Figura 12). Al igual que la relación de TI, los profesionales de la ciberseguridad creen que trabajar más cerca y antes con los equipos empresariales puede ser beneficioso. A medida que esto sucede, los equipos de seguridad deben estar preparados con las comunicaciones, los informes y las métricas correctas que presenten la ciberseguridad en un contexto empresarial.

La escasez de habilidades de ciberseguridad persiste y, en muchos casos, sigue empeorando

ESG y la AISS creen que la escasez de competencias en ciberseguridad tiene dos implicaciones importantes. Lo más obvio es la escasez de profesionales de ciberseguridad talentosos, con más ofertas de trabajo en ciberseguridad que candidatos calificados para llenarlas. La otra implicación no se discute con tanta frecuencia, pero es al menos igual de importante: muchos miembros del personal de ciberseguridad actual carecen de las habilidades avanzadas necesarias para salvaguardar los activos empresariales críticos o contrarrestar a los ciberadversarios sofisticados.

Tras investigar la escasez de competencias en ciberseguridad durante cinco años, ESG y AISS están convencidos de que es real e impactante, pero cada informe sobre el tema recibe una buena cantidad de comentarios negativos, cuestionando su existencia. Los comentarios incluyen teorías de que hay muchos profesionales de la ciberseguridad por ahí, si tan solo las organizaciones supieran cómo y dónde reclutarlos.

Basándose en estos comentarios, la ESG y la AISS formularon a los encuestados una pregunta básica en la encuesta de 2021: ¿Se ha exagerado la escasez de conocimientos sobre ciberseguridad? Resulta que un tercio de los encuestados opina que la escasez de competencias ha sido muy o algo exagerada, pero el porcentaje más alto de profesionales de la ciberseguridad (44%) cree que ha recibido la atención adecuada, mientras que el 23% afirma que ha sido subestimada (véase la figura 13).

Como indican claramente otras investigaciones, la escasez de habilidades en ciberseguridad es real, lo que genera muchos problemas para las organizaciones. Sin embargo, al mismo tiempo, la investigación señala el hecho de que algunas organizaciones pueden estar sufriendo heridas autoinfligidas y realmente no contratan bien, no proporcionan el nivel adecuado de capacitación o abordan la escasez de habilidades con las estrategias adecuadas. En esencia, ambos grupos tienen razón: la escasez de competencias es real, pero las organizaciones podrían y deberían hacer más.

Al igual que en años anteriores, ESG e AISS querían comprender las implicaciones de la escasez mundial de competencias en ciberseguridad y cómo está afectando a las organizaciones. Por primera vez, los datos mejoraron ligeramente. Este año, el 57% de las organizaciones afirman que se han visto afectadas por la escasez de competencias en ciberseguridad, en comparación con el 70% en 2020 y el 73% en 2019 (véase la figura 14).

Si bien este dato parece representar una tendencia alentadora, los datos adicionales muestran un panorama diferente. El año pasado, ESG e ISSA añadieron una pregunta para preguntar a los profesionales de la ciberseguridad si creen que la escasez de competencias en ciberseguridad está mejorando o empeorando. Los resultados de este año son preocupantes, ya que el 44% cree que la escasez de competencias en ciberseguridad (y su impacto) ha empeorado en los últimos años, mientras que el 51% dice que hoy es casi igual que en los últimos años (véase la figura 15). Lamentablemente, solo el 5% cree que la situación ha mejorado.

Basándose en años de investigación, ESG e AISS creen firmemente que la escasez de competencias en ciberseguridad es una realidad a largo plazo en la que la industria ha progresado poco. Si bien los programas de educación y reclutamiento pueden valer la pena, los CISO deben diseñar programas de seguridad empresarial que se adapten y planifiquen la escasez perpetua de habilidades.

Al igual que en el pasado, a los encuestados que trabajaban en organizaciones afectadas por la escasez de habilidades en ciberseguridad se les preguntó sobre las ramificaciones experimentadas (véase la figura 16). Una vez más, la respuesta más alta (62%) fue que ha aumentado la carga de trabajo del personal existente (similar a los resultados del año pasado, 58%). Esta es, con diferencia, la mayor consecuencia de la escasez de competencias. Además, el 38% de los encuestados indicó que la escasez de competencias ha llevado a que los nuevos puestos de trabajo de seguridad permanezcan abiertos durante semanas o meses (esta puede ser una de las razones por las que el 29% de las organizaciones deben contratar y formar a empleados junior en lugar de candidatos con experiencia). En consonancia con el tema de salud mental descrito anteriormente, el 38% de los encuestados dijo que la escasez de habilidades ha provocado el agotamiento de los empleados y el desgaste de los empleados.

También cabe destacar que un tercio de los encuestados afirma que la escasez de competencias ha llevado a una situación en la que el equipo de ciberseguridad no puede aprender o utilizar algunas tecnologías de seguridad en todo su potencial. Piénselo por un momento: las organizaciones determinan que necesitan una nueva tecnología de seguridad para la prevención, detección o respuesta a amenazas. Atraviesan el rigor de investigar, comprar, probar, configurar, implementar y operar el producto, así como capacitar al personal. Después de todo este trabajo, todavía carecen del personal o de las habilidades necesarias para operar correctamente el producto. Ante esta situación, los CISO deben reevaluar sus prioridades, comprando únicamente tecnologías que puedan utilizarse adecuadamente. En otros casos, las organizaciones deben considerar los servicios administrados como una alternativa a las tecnologías de seguridad infrautilizadas.

Por primera vez, se pidió a las organizaciones que afirmaban verse afectadas por la escasez de habilidades en ciberseguridad que identificaran los factores que contribuían a ello. Las tres respuestas principales incluyeron cuestiones relacionadas con la compensación, la comprensión de los recursos humanos sobre las habilidades de ciberseguridad y el trabajo en un sector que puede resultar poco atractivo para los profesionales de la ciberseguridad (véase la figura 17). También vale la pena señalar que el 25% apuntó a ofertas de trabajo poco realistas (es decir, pedir habilidades que no estaban a la altura de la remuneración ofrecida, requisitos laborales reales, etc.). Hasta cierto punto, estos datos apoyan la teoría de que la escasez de competencias en ciberseguridad está relacionada con la mala gestión y no con la escasez de candidatos cualificados o de habilidades avanzadas.

La compensación es una cuestión binaria: o bien una organización ofrece una compensación competitiva o no. Lo mismo podría decirse de la industria de una organización. Si la compensación o el sector no son atractivos, la empresa contratante se encuentra en clara desventaja y solo tendrá éxito en la contratación si otros atributos del puesto son especialmente atractivos (es decir, horas de trabajo, oportunidades de formación, beneficios, etc.). Con respecto a la compensación, los CISO deben presionar a los departamentos de RRHH, finanzas y otros departamentos para que ofrezcan salarios competitivos, o se enfrentan a una batalla perdida perpetua por la contratación y retención del personal. En cuanto a otros factores mencionados, los CISO deben garantizar que los departamentos de RRHH y los reclutadores estén bien versados en las necesidades de ciberseguridad y que, como parte de su proceso de contratación, realicen ofertas de trabajo precisas y realistas.

Los datos adicionales de los resultados de la encuesta de este año añaden más pruebas sobre el grado de escasez de competencias en ciberseguridad. Según la figura 18, cuando se le pregunta qué tan difícil es contratar profesionales de la ciberseguridad, el 76% de los profesionales de la seguridad afirma que es extremadamente (18%) o algo difícil (58%).

Se pidió a los encuestados que identificaran las áreas con mayor escasez de habilidades. Casi cuatro de cada diez (39%) mencionan la seguridad informática en la nube, seguidos de casi un tercio (30%) que identifican la seguridad de las aplicaciones y/o los análisis e investigaciones de seguridad como áreas de deficiencia de personal (véase la figura 19).

Los CISO deben comprender el nivel de competencia de los candidatos con estas habilidades. Puede valer la pena elaborar planes de respaldo si los esfuerzos de reclutamiento languidecen o fracasan por completo. Algunos ejemplos son la formación de desarrolladores de software y personal de DevOps sobre seguridad de aplicaciones, contratación y formación de administradores de virtualización de servidores como especialistas en seguridad informática en la nube y el trabajo con proveedores de servicios gestionados experimentados.

La investigación también señala que es más difícil contratar profesionales de ciberseguridad a mitad de carrera y sénior, mientras que menos organizaciones tienen problemas para contratar personal de seguridad básico o líderes en ciberseguridad (véase la figura 20).

Si bien a las organizaciones les resulta difícil contratar y contratar personal de ciberseguridad, constantemente se reclutan profesionales de seguridad para nuevos puestos con promesas de salarios más altos, mejores beneficios y una variedad de beneficios. De hecho, se solicita al 70% de los profesionales de ciberseguridad encuestados que consideren otras oportunidades laborales al menos una vez al mes (véase la figura 21). Además, el 71% de los encuestados cree que la frecuencia/volumen de las solicitudes de empleo ha aumentado en los últimos años. La ciberseguridad sigue siendo realmente un mercado de vendedores.

En 2021, se volvió a pedir a los encuestados que identificaran quién es responsable de abordar la escasez de competencias en ciberseguridad. Los encuestados indican que los CISO/OSC realmente son dueños de este problema (véase la figura 22). ¿Estas personas y las organizaciones para las que trabajan están haciendo lo suficiente para hacer frente a la escasez de habilidades de ciberseguridad? No según los encuestados, ya que el 27% cree que su organización podría estar haciendo algo más para hacer frente a la escasez de competencias, mientras que casi un tercio (32%) afirma que sus organizaciones podrían estar haciendo mucho más aquí (véase la figura 23).

Como se indicó anteriormente, estos datos refuerzan la necesidad de que los CISO/OSC y las organizaciones para las que trabajan planifiquen la escasez de personal y habilidades al incluir planes para el uso adicional de servicios profesionales/administrados y automatización de procesos. Las organizaciones también deben investigar, probar y poner a prueba soluciones de seguridad «inteligentes» basadas en análisis avanzados. Estas tecnologías varían ampliamente en términos de eficacia y deben abordarse con cautela, pero vale la pena seguir su potencial para aumentar las habilidades humanas en el futuro.

Como la mayoría de los encuestados creían que sus organizaciones podrían hacer más para hacer frente a la escasez de competencias, ESG y AISS les pidieron algunas recomendaciones específicas (véase la figura 24). Los profesionales de la ciberseguridad sugirieron acciones como aumentar el compromiso con la formación en ciberseguridad, aumentar la compensación, proporcionar beneficios adicionales y crear o mejorar un programa de pasantías en ciberseguridad.

Las tres recomendaciones principales son claras; las organizaciones deben ofrecer una compensación competitiva, beneficios y oportunidades de formación para atraer a los mejores talentos de ciberseguridad. Además de estos conceptos básicos, los encuestados tienen algunos consejos adicionales, como buscar talento más allá de la seguridad y la TI, trabajar más estrechamente con organizaciones profesionales de ciberseguridad y aumentar el trabajo con los colegios y universidades locales. En resumen, el éxito de la contratación de ciberseguridad requiere un poco de experimentación y creatividad. Las organizaciones deben arriesgarse con el objetivo de crear programas atractivos para la comunidad de ciberseguridad. Los CISO deben recopilar más comentarios y obtener la ayuda del departamento de RRHH para crear este tipo de entorno.