La escasez global de habilidades en seguridad cibernética no muestra signos de disminuir, con un déficit estimado de profesionales de seguridad que creció en 700 000 o un 26 % en los últimos 12 meses de 2,7 millones a 3,4 millones, según la última evaluación anual del sector realizada por un organismo de certificación y una asociación profesional. (ISC)².
En su Estudio de fuerza laboral de ciberseguridad de 2022(ISC)² descubrió que, aunque ahora hay 4,7 millones de profesionales de seguridad activos en todo el mundo, 460 000 más que en 2021, la creciente demanda de su trabajo entre las organizaciones asustadas por el entorno de amenazas cada vez más activo significa que los esquemas de capacitación y acreditación están luchando para llenar la tubería.
Específicamente en el Reino Unido, (ISC)² evaluó que hay alrededor de 339 000 ciberprofesionales, un 13 % más año tras año, pero hay un déficit de 56 811 trabajadores, más del 70 % año tras año.
“Como resultado de las tensiones geopolíticas y la inestabilidad macroeconómica, junto con las violaciones de datos de alto perfil y los crecientes desafíos de seguridad física, hay un mayor enfoque en la seguridad cibernética y una demanda creciente de profesionales dentro del campo”, dijo Clar Rosso, CEO de (ISC) ².
“El estudio nos muestra que retener y atraer talento fuerte es más importante que nunca. Los profesionales dicen alto y claro que la cultura corporativa, la experiencia, la capacitación y la inversión en educación y la tutoría son fundamentales para mantener a su equipo motivado, comprometido y efectivo”.
Casi las tres cuartas partes de los encuestados en el estudio (ISC)² dijeron que su organización no tenía suficientes empleados de seguridad cibernética y más de la mitad de los que experimentaban escasez de mano de obra sintieron que el déficit de personal los ponía en mayor riesgo de sufrir un incidente. Preocupaciones que incluyen la falta de tiempo para una evaluación o gestión adecuada del riesgo cibernético, mayores descuidos en los procesos y procedimientos, un retraso en la aplicación de parches a los sistemas críticos, falta de tiempo y recursos para la capacitación adecuada y configuraciones incorrectas del sistema.
Los encuestados que indicaron que su organización tenía escasez de personal de seguridad tendían a mencionar la dificultad para encontrar talento calificado, mayor desgaste y rotación entre el personal de seguridad existente, falta de presupuesto de contratación y falta de oportunidades de crecimiento o promoción. Un número significativo también dijo que su empleador no pagaba salarios competitivos.
(ISC)² sugirió que el camino a seguir parecía no ser a través de iniciativas de reclutamiento externo, sino a través de la capacitación de talentos internos, la rotación de responsabilidades laborales, programas de tutoría o alentar a los empleados fuera de la función de TI o cibernética a unirse al campo.
Dijo que sus hallazgos mostraron que las organizaciones que siguieron este camino tendían a ser menos propensas a experimentar escasez de personal.
Para aquellos dentro de la industria, el estudio anual encontró que la satisfacción laboral tendía a ser alta, con un 75% diciendo que estaban algo o muy satisfechos con su trabajo y apasionados por su trabajo. Los encuestados tendían a estar menos satisfechos con sus equipos, departamentos y organizaciones en general específicos, pero cuando informaron problemas, estos tendían a provenir de la cultura del lugar de trabajo, en lugar de la naturaleza del trabajo de seguridad cibernética en sí.
Cuando los ciberprofesionales avanzaron, tendieron a citar oportunidades de crecimiento, como aumentos salariales, ascensos o crecimiento profesional, o una cultura laboral negativa, agotamiento o falta de equilibrio entre la vida laboral y personal.
Los profesionales de la seguridad también tendieron a ser abrumadoramente positivos sobre el trabajo remoto, que ha sido ampliamente adoptado dentro del sector durante la pandemia. Menos de una cuarta parte de los profesionales de la seguridad trabajaban desde casa antes de la COVID-19, pero el 55 % lo hace ahora, y más de la mitad de ellos consideraría renunciar si ya no se les permitiera hacerlo.
Entre otras cosas, los profesionales de la seguridad tendían a calificarse a sí mismos como más productivos cuando se les permitía trabajar de forma remota, aunque los que tenían roles gerenciales tendían a estar en desacuerdo con esto. También mencionaron que poder trabajar de forma remota es útil para evitar el agotamiento.
El estudio (ISC)² también analizó cuestiones relacionadas con una aparente división generacional que parece estar surgiendo en el sector, y se descubrió que los ciberprofesionales menores de 30 años eran mucho más propensos a considerar cuestiones como la diversidad, la equidad y la inclusión (DEI), salud emocional y tener más voz dentro de la organización para ser una prioridad.
Los miembros del personal de seguridad más jóvenes tendían a preocuparse por lo que percibían como una brecha cultural, con colegas más antiguos y la profesión en general acusada de crear una cultura de vigilancia, por ejemplo, barreras artificiales como demandas de educación o certificación, que obstaculizan su avance. .
La división fue más notoria cuando se trató de DEI dentro del sector de la seguridad, otra cosa que investigó la encuesta, y esto probablemente se deba tanto a los cambios culturales generacionales como al cambio demográfico.
Por ejemplo, las mujeres ahora representan el 30 % de los ciberprofesionales menores de 30 años, pero solo el 14 % de los mayores de 60 años, mientras que las personas de origen negro, asiático o de minorías étnicas (BAME) constituyen el 49 % de los ciberprofesionales menores de 30 años. , pero solo el 19% de los mayores de 60 años.
La encuesta también encontró que la industria todavía tiene un problema de inclusión, con un número significativo de mujeres y ciberprofesionales de BAME que dijeron sentirse discriminados en el trabajo, mientras que muchos otros dijeron que no se sentían capaces de ser ellos mismos en el lugar de trabajo, particularmente cuando se trata de neurodiversidad, discapacidad o identidad sexual o de género.
(ISC)² dijo que encontró que las organizaciones que prestaron más atención a DEI e implementaron capacitación y programas de DEI también tenían menos probabilidades de experimentar una escasez de personal de seguridad: 19%, en comparación con 34% que no lo hizo.