Una frase a menudo vinculada al sector de TI es “crisis de habilidades”. Desde oportunidades en áreas emergentes, como la ciencia de datos y la inteligencia artificial, hasta áreas más tradicionales pero en constante cambio, como el almacenamiento y la seguridad, parece haber una necesidad constante de habilidades que escasean.
Actualmente, se les pide a los líderes de TI que aceleren los planes de transformación empresarial posteriores a Covid, lo que generalmente implica aumentar las habilidades de DevOps nativas de la nube. La pandemia llevó a más de dos años de trabajo remoto, lo que significó que la capacitación formal en seguridad pasó a un segundo plano mientras las empresas se apresuraban a garantizar que el personal pudiera seguir siendo productivo.
Pero, según el informe anual Prioridades semanales de TI de TechTarget/Computer encuesta, esto ahora está cambiando. Durante los próximos 12 meses, la capacitación en concientización sobre seguridad será el proyecto de TI más popular en el Reino Unido e Irlanda, y el 66 % de los encuestados planea invertir en esta área. A esto le sigue de cerca la autenticación multifactor, en la que el 51% planea invertir.
La privacidad de datos, la gobernanza y el cumplimiento normativo (piense en el Reglamento general de protección de datos (GDPR), la Ley de privacidad del consumidor de California (CCPA), etc.) están en la agenda del 43% de los compradores, mientras que la detección de amenazas también sigue siendo una de las principales preocupaciones de cara al futuro. con un 40% planeando alguna inversión en esta área.
Aunque la pandemia retrasó o interrumpió muchos proyectos, especialmente los proyectos “en las instalaciones”, la encuesta apunta a una recuperación en 2022 en o por encima de los niveles previos a la pandemia, con un fuerte énfasis en las iniciativas de seguridad de TI para respaldar el trabajo híbrido y las nubes híbridas.
Aunque a mediano y largo plazo, el desarrollo interno de habilidades básicas es fundamental para las iniciativas de transformación empresarial impulsadas por TI, los líderes de TI a menudo deben tomar decisiones tácticas y considerar la subcontratación y el uso de contratistas, cuando corresponda, para complementar y desarrollar la experiencia interna existente. . La transferencia de conocimientos en el trabajo se puede combinar con capacitación en línea o presencial.
Desarrollo de habilidades tecnológicas para la transformación de la nube
Para gestionar la brecha de habilidades de TI, Lydia Leong, vicepresidenta distinguida y analista de investigación de Gartner, aconseja a las organizaciones que comiencen apoyando, monitoreando y midiendo el progreso del equipo de gestión frente a las iniciativas de habilidades en la nube. “Para facilitar este progreso, asegúrese de que los roles en toda la empresa estén divididos por experiencia, lo que permite objetivos de contratación alcanzables”, dice.
Al considerar la capacitación del personal existente, Leong recomienda que las organizaciones mejoren las habilidades de los empleados actuales con habilidades en la nube, utilizando el aprendizaje basado en relaciones y experiencial de expertos. Ella enfatiza que el conjunto de habilidades de los miembros del personal más técnico debe abarcar diferentes dominios de TI. “Asegúrese de que los líderes técnicos que supervisan las iniciativas de nube de su organización sean pensadores estratégicos con perspicacia comercial, perspectivas generales y mentalidad de jugador de equipo que puedan comunicarse con audiencias diversas y ser ágiles en pensamiento y acción”, dice.
Maureen Lonergan, vicepresidenta de AWS Training, dice que una de las formas más efectivas de invertir en capacitación integral es a través de amplios programas de aprendizaje organizacional. Esto requiere capacitación básica en la nube para todo el personal y capacitación técnica profunda para el personal de TI. “Independientemente del tamaño de su organización, habrá desafíos y objeciones que superar”, dice. “Lo más importante es ver la mejora y la actualización de las habilidades de su gente como un imperativo estratégico para el crecimiento y la agilidad de su negocio”.
Leong insta a los líderes de TI a evaluar si necesitan desarrollar las habilidades internas con los nuevos empleados. “Los nuevos empleados también tendrán que tomarse un tiempo para aprender el entorno comercial y de TI, pero el reclutamiento puede optimizarse hacia contrataciones clave y experimentadas que aceleren tales iniciativas de computación en la nube”, dice.
Esto se puede complementar con la incorporación de contratistas de agencias de empleo o la contratación de contratistas independientes, lo que puede ser una forma útil de adquirir personas de nivel medio y junior para realizar tareas relacionadas con la nube y trabajar en proyectos en la nube.
Leong cree que contratar contratistas de alto nivel ofrece a los líderes de TI una de las formas más rápidas y efectivas de adquirir las habilidades necesarias, pero advierte que es importante no permitir que dichos contratistas de alto nivel tomen decisiones estratégicas o políticas.
Más allá de los contratistas individuales, las organizaciones también pueden buscar asistencia de una fuente externa, generalmente en la forma de un proveedor de servicios administrados (MSP). Esto puede tomarse como un enfoque basado en proyectos o como un enfoque de servicios administrados a mediano y largo plazo.
Los MSP también suelen ofrecer transferencia de habilidades como parte de los servicios que brindan a los clientes.
Formación cibernética
En cuanto a la seguridad cibernética, Tom Everard, un experto en seguridad cibernética de PA Consulting, señala que el panorama de amenazas cambia constantemente. Él dice que la fuerza laboral, en muchos casos, no ha recibido suficiente capacitación en seguridad cibernética y, sin embargo, el personal a menudo trabaja en un entorno en el que es difícil cumplir con los requisitos de su función mientras se mantiene seguro.
“Algunas personas responden al entrenamiento; algunos no”, dice Everard. “Si una persona no está contenta en el trabajo, podría hacer algo que normalmente no haría y poner en riesgo la seguridad. Una buena capacitación en seguridad y una cultura de seguridad deberían reducir la probabilidad de que esto suceda”.
Tim Holman, director ejecutivo de la consultora de seguridad 2-sec, al analizar si la capacitación en ciberseguridad debe llevarse a cabo internamente o ser proporcionada por capacitadores externos, sugiere que la capacitación en seguridad cibernética no debe considerarse un ejercicio anual para satisfacer el cumplimiento de FCA, ISO o PCI. “El fenómeno del desvanecimiento del entrenamiento ya está bien probado”, dice. “El personal simplemente olvida lo que se les enseña después de unas semanas, o unos meses si tienes suerte. Algunos lo hacen en unos pocos días”.
Una forma de abordar esto, dice Everard, es tener un recurso de fácil acceso donde el personal pueda buscar qué hacer en una situación particular. Esto podría incluir políticas, orientación y pequeños fragmentos de capacitación a los que se hace referencia en el módulo de capacitación principal y que facilitan que el personal haga lo correcto.
Como alternativa, Everard sugiere que las organizaciones brinden capacitación en porciones pequeñas durante todo el año. Él dice que esto se entrega más fácilmente a través de una plataforma subcontratada y puede ser una de las mejores maneras de garantizar que la fuerza laboral adopte un buen comportamiento de seguridad. “También hay numerosos proveedores especializados en capacitación en seguridad que han construido sus plataformas sobre la ciencia y la investigación del comportamiento”, dice.
Everard recomienda que las organizaciones complementen la provisión subcontratada con capacitación interna de liderazgo, gestión y campeones de seguridad para ayudar a fortalecer su cultura de seguridad.
Holman cree que la capacitación interna puede funcionar si la organización tiene un capacitador dedicado o campeones internos de concientización sobre seguridad. Esta es una ruta que tomarán algunas empresas más grandes, dice. Pero la pregunta para los líderes de TI es si la capacitación interna del personal es rentable y es la mejor opción para la organización y sus empleados.
Un conjunto decente de cursos de capacitación, videos, campañas de correo electrónico, etc., que mejoran continuamente la seguridad cibernética, será una fracción del costo de un capacitador interno, dado que el salario promedio en Londres es de alrededor de £ 35,000.
En los círculos de seguridad, la formación continua es clave para la idea del cortafuegos humano. “Las personas son el eje”, dice Merry Song, analista de Turnkey Consulting. Como señala Song, las personas impulsan los programas de capacitación, que se crean en función de sus necesidades.
“El mejor punto de referencia de un buen programa es el compromiso de los empleados, junto con la contribución que hace la capacitación para garantizar que exista una sólida cultura de seguridad dentro de la organización”, dice.
Para Song, las métricas de capacitación pueden incluir la forma en que los empleados interactúan con las actividades de capacitación: ¿cuáles son las tasas de finalización de los distintos módulos, por ejemplo, y los usuarios realizan la capacitación a tiempo o la dejan para el último minuto? Estos detalles pueden indicar la calidad del contenido de la capacitación y la eficacia con la que comunica la importancia del tema, dice.
“Supervisar cualquier aumento en las actividades basadas en la seguridad también es una guía útil para la aceptación de los alumnos”, dice Song. Si el contenido del programa incluye llamados a la acción medibles, como informar correos electrónicos de phishing o alentar a los usuarios a usar administradores de contraseñas, estos cambios de comportamiento se pueden observar y medir, agrega.
Métricas y metodologías de entrenamiento
Al describir su propia experiencia en capacitación, el experto en TI Junade Ali recuerda una experiencia reciente cuando trabajó con un equipo que estaba construyendo una plataforma de capacitación de software para ayudar a mejorar las decisiones de gestión. Según Ali, al equipo con el que estaba trabajando le resultaba difícil presentar la información de una manera que incentivara a los gerentes a aprender más sobre sus equipos e impulsar mejoras en el rendimiento.
Aconsejó al equipo que adoptara las heurísticas desarrolladas por The Behavioral Insights Team, una compañía formada hace aproximadamente una década dentro del gobierno para ayudar a impulsar a los ciudadanos a tomar decisiones más inteligentes sobre la salud, la riqueza y la felicidad. Uno de los modelos mentales que publicó fue el marco Oriente (fácil, atractivo, social y oportuno).
Ali dice que los marcos más avanzados, como Mindspace, introducen otros factores que pueden usarse para impulsar el comportamiento, como aprovechar el hecho de que a las personas les gusta actuar de manera que las haga sentir mejor consigo mismas.
Según la experiencia de Ali, estas pequeñas intervenciones pueden tener grandes efectos. Por ejemplo, el equipo de Behavioral Insights descubrió que al usar recordatorios de mensajes de texto en programas de educación para adultos, hubo un aumento del 8 % en la probabilidad de aprobar los exámenes durante un año académico en un grupo de control.
Al realizar mejoras más complejas a escala, especialmente cuando la evidencia previa es más limitada, Ali dice que es importante medir el impacto para asegurarse de que estas intervenciones no estén haciendo más daño que bien. Por ejemplo, dice que los ensayos controlados aleatorios científicamente sólidos, en los que las personas se asignan aleatoriamente a grupos de control y de prueba, pueden proporcionar respuestas concluyentes rápidamente en una gran base de usuarios, pero “esto puede ser difícil cuando se diseña un programa de capacitación para una pequeña audiencia que están tratando de mover una métrica de estrella polar que tiene un circuito de retroalimentación lento”.
En general, la mayoría de las empresas necesitarán desarrollar algún tipo de formación interna o tener una formación adaptada a su situación específica, dice Paddy Francis, director de tecnología (CTO) de Airbus CyberSecurity. Con respecto a una capacitación de seguridad de propósito general, dice que comprar puede ser una mejor ruta, debido al costo de desarrollar la capacitación y mantenerla en un entorno cibernético cambiante.
Independientemente del tipo de capacitación que se requiera y cómo se entregue, los líderes de TI necesitan algún mecanismo para medir su efectividad. Esto puede ser tan amplio como mirar el nivel de incidentes de seguridad de TI donde la causa raíz es un error del usuario, o una medida del volumen de ideas de proyectos nativos de la nube. El éxito dependerá de que las métricas vayan en la dirección correcta a largo plazo.
Es aquí donde la formación más regular tiene ventaja frente a los cursos anuales. Incluso puede haber un lugar para las “pequeñas intervenciones” de Ali, donde un recordatorio amistoso fomenta las buenas prácticas o inspira a alguien a probar una nueva idea que aprendió en un curso reciente.