¿La brecha de habilidades en ciberseguridad está haciendo que las organizaciones sean más vulnerables?
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
Numerosas organizaciones están tratando de resolver la brecha de habilidades en ciberseguridad, estimada en 3.5 millones en todo el mundo. Es una cuestión que no se puede resolver confiando en la afluencia habitual de la educación superior. El llamado ha sido reclutar de una manera menos discriminatoria, alentando a personas de profesiones afines o que tengan alguna aptitud y habilidades sociales relevantes a ingresar a la profesión.
Pero en su mayor parte, eso no es lo que está sucediendo. Las organizaciones compiten por recursos del mismo pequeño grupo de personas y esto bien puede amenazar la viabilidad de las iniciativas de seguridad si los profesionales de la ciberseguridad se ven tentados a cambiar de trabajo con mayor frecuencia, lo que genera una fuerza laboral más transitoria.
Una fuerza laboral transitoria no le hace ningún favor a nadie. No ayuda a las personas a alcanzar su potencial cuando su trayectoria es tan corta y las empresas se vuelven más vulnerables porque no tienen la estabilidad y la resiliencia necesarias para crear una postura de seguridad sólida. Además, aquellos con mayores recursos saldrán ganando, lo que dificultará mucho el desarrollo de las nuevas empresas, especialmente de las de las pequeñas y medianas, lo que limitará el crecimiento económico.
Sin embargo, alentar a los solicitantes no calificados a ingresar al sector sin la provisión adecuada también puede resultar contraproducente. Un análisis reciente de la unidad de investigación de SILIKN encontró que el 19.6% de las empresas del sector cibernético emplean personal que carece de las habilidades necesarias y el 54.2% dice que sus solicitantes de empleo carecen de las habilidades técnicas necesarias para realizar el trabajo. Esas empresas tuvieron que contratar personal no calificado o seguir buscando, lo que provocó que las vacantes permanecieran abiertas durante meses. Debido a una fuerza laboral mal equipada, el 73.1% no pudo cumplir sus objetivos de negocios.
Y esto no es sólo un juego de números. Muchos de estos roles se consideran difíciles de cubrir porque son para conjuntos de habilidades especializadas como análisis forense, arquitectura de seguridad, interpretación de códigos maliciosos o pruebas de penetración. O bien, solicitan puestos de alto nivel con entre tres y seis años de experiencia. Incluso si las empresas contratan personas con alto potencial, pero sin la experiencia necesaria, les llevará años mejorar sus habilidades para alcanzar un nivel suficiente.
Además, si se abren las vacantes por completo, corremos el riesgo de diluir la industria al introducir toda una franja de personas sin habilidades técnicas. Sí, las habilidades interpersonales son valiosas y también escasas, pero depender únicamente de ellas para llenar el vacío de fuerza laboral no ayuda en nada a abordar el problema que tienen las empresas: la falta de profesionales capacitados y competentes en ciberseguridad, lo que resulta, una vez más, en una menor resiliencia.
Otro reto importante es que muchas organizaciones se muestran reacias a invertir en formación porque el mercado laboral es muy volátil. Existe el temor de que, al invertir en nuevos empleados, esos miembros del personal se conviertan en un riesgo de fuga y vuelvan a formar parte de ese grupo de talentos en búsqueda de oportunidades laborales.
Pero también hay datos alentadores, pues de los profesionales con los que se ha conversado, el 68.7% dijo que obtienen certificaciones para mejorar sus habilidades, mientras que el 56.3% lo hace para mantenerse actualizado con las tendencias actuales. Sólo el 14.7% dijo que la razón principal por la que realizan capacitación es para solicitar un trabajo fuera de la organización.
Afortunadamente, hay algunas iniciativas interesantes que ofrecen cursos gratuitos en línea. Sin embargo, si bien estos son bienvenidos, no estarán ni cerca de satisfacer la demanda, porque se necesita más formación gratuita, pero debe estar dirigida a objetivos concretos.
Las trayectorias profesionales cibernéticas que deben ser implementadas necesitan estar enfocadas en las habilidades necesarias para roles específicos. En consecuencia, se ha vuelto mucho más fácil ver los cursos específicos necesarios para forjar una carrera, ayudando a las personas, las instituciones educativas y las empresas a planificar en consecuencia. Pero ahora debemos prestar más atención a los roles de mayor demanda, que son los que tienen más probabilidades de ser atraídos por los reclutadores de las empresas. Proporcionar suficiente capacitación en esas áreas puede ayudar a frenar el problema del robo de talentos que probablemente desestabilice el sector.
La ciberseguridad es todo un reto. Se espera que las personas sigan adquiriendo calificaciones exigentes a lo largo de su carrera, porque serán responsables de la seguridad de las organizaciones y de los datos de sus clientes y empleados. Para aquellos que aspiran a ingresar al sector, debemos brindarles la matrícula necesaria.
Tenemos las herramientas; ahora necesitamos identificar aquellos roles que están en crisis. Mapearlos y ofrecer matrículas para apoyar a las personas podría marcar la diferencia para resolver la brecha de habilidades.
Para más información, visite: https://www.silikn.com/