La escasez de habilidades cibernéticas ha afectado a la industria durante años y no está mejorando. Cyber Security Ventures ha estimado que había 3,5 millones de roles cibernéticos sin cubrir en 2021 y que este número se mantendrá sin cambios en 2025. El problema puede al menos estar estabilizándose, pero sigue siendo una escasez crónica.
El problema se ve agravado por otro fenómeno preocupante que a menudo pasa casi desapercibido: el agotamiento cibernético. Un estudio encontró que el 28% de los profesionales cibernéticos planean salir de la industria en los próximos dos años. Otro encontró que el 54% quiere dejar de fumar. Es un trabajo estresante y exigente que pasa factura a los profesionales que a menudo trabajan demasiado en equipos pequeños.
En mi opinión, hay tres razones clave detrás de esta persistente escasez. En primer lugar, la demanda de profesionales cibernéticos se está disparando a medida que las empresas luchan contra las crecientes amenazas cibernéticas de los piratas informáticos, los delincuentes organizados y los estados nacionales. No preveo ningún cambio en esto, y de hecho puede intensificarse.
En segundo lugar, existen algunas barreras de entrada que empeoran el problema, a saber, la percepción de que para trabajar en el ciberespacio hay que ser muy técnico. Eso es cierto para algunos roles, pero las principales habilidades necesarias son las que muchas personas ya poseerán: pensamiento crítico, resolución de problemas, amor por el aprendizaje, tenacidad. Otra barrera es la diversidad: no lograr atraer suficientes mujeres y personas de otros grupos.
En tercer lugar, está lo que yo llamo hiperespecialización. La forma en que se ha desarrollado la cibernética significa que los requisitos para muchos roles se han vuelto increíblemente especializados. Retrocediendo entre 15 y 20 años, había tres tipos principales de roles cibernéticos: evaluadores de penetración, profesionales de infraestructura (que se ocupan de aspectos como firewalls y sistemas de detección de incidentes o IDS) y riesgo y cumplimiento. El énfasis, o péndulo, solía oscilar entre las soluciones tecnológicas y los marcos y procesos de riesgo y cumplimiento.
En los últimos años, el péndulo ha oscilado fuertemente hacia las soluciones tecnológicas y no ha vuelto a oscilar. A medida que la tecnología se ha desarrollado (incluida la inteligencia artificial, el aprendizaje automático y la nube), han surgido franjas completas de especializaciones, e incluso especializaciones dentro de las especializaciones, por ejemplo, probadores de penetración específicamente para aplicaciones móviles. Existen 436 certificaciones puede hacer en cibernética, y todo esto cuesta cantidades significativas de dinero (y tiempo/estudio).
Por lo tanto, las empresas están tratando de contratar a personas que cumplan todos los requisitos de hiperespecialización, lo que exacerba el problema de la escasez. Nunca podrán armar un pequeño equipo que cubra todas las certificaciones entre ellos.
Se necesitan soluciones políticas
¿Cómo podemos solucionar esta situación crítica? En primer lugar, no hay duda de que necesitamos soluciones de políticas públicas concertadas para atraer a más jóvenes talentosos y que cambian de carrera al ciberespacio. En el Reino Unido, por ejemplo, un estudio realizado en nombre del Departamento de Digital, Cultura, Medios y Deportes (DCMS) descubrió que hay un déficit anual de 10,000 personas que ingresan al grupo de talentos cibernéticos.
Existe una necesidad apremiante de expandir las rutas de entrada a la cibernética a través de opciones de educación superior y superior, iniciativas de capacitación, bootcamps y modelos dirigidos por empleadores. El Reino Unido ha lanzado una nueva generación de calificaciones para jóvenes de 17 a 18 años, por ejemplo, T-levels, que incluye seguridad cibernética.
Junto a esto, tenemos que resolver el problema de la diversidad. Son muy pocas las mujeres que ingresan a la cibernética, a pesar de que muchas poseen naturalmente habilidades muy adecuadas para trabajar en la profesión. Es un problema que se aplica a toda la tecnología. Se está perdiendo demasiado talento: necesitamos cambiar la narrativa.
Como señala el informe DCMS, es “momento de escalar”. A nivel mundial, ha llegado el momento de poner nuevas energías en la construcción de una fuente de talento más sólida en cibernética para que se puedan llenar los puestos de nivel de entrada y las personas puedan desarrollar su experiencia y especialización con el tiempo.
Mientras tanto, ¿qué significa esto para las empresas que necesitan talento cibernético hoy? Aunque no existe una panacea, ciertamente creo que existen algunas formas clave de maximizar las posibilidades de éxito.
Como mínimo, asegúrese de que las descripciones de sus puestos y los anuncios no desanimen a los candidatos exigiendo más de una persona de lo que es posible en términos de especializaciones, certificaciones y experiencia. Esto es algo que veo una y otra vez. Busque personas con lo que yo llamo el “complejo de habilidades” correcto en lugar de insistir en que marquen cien casillas diferentes. Redacte sus anuncios en consecuencia: probablemente verá un aumento significativo en las aplicaciones, y muchas de ellas podrían encajar bien.
Sin embargo, no se limite a modificar la redacción de su anuncio: piense si sus propios requisitos no son realistas. Busque otras opciones: ¿podría realizar más capacitación interna para desarrollar a los miembros del equipo existentes o mejorar las habilidades de los nuevos empleados? Un enfoque de “entrenar para contratar” está demostrando ser un mecanismo exitoso para algunas de las consultorías Big Fourpor ejemplo.
En términos más generales, revise su modelo de recursos para encontrar el equilibrio óptimo. Piense en qué roles debe realizar el personal interno permanente y qué roles podrían realizar los contratistas o socios externos.
Un enfoque estratégico
Tener en cuenta todos estos elementos le ayudará a elevar su enfoque al nivel estratégico. Con esto quiero decir, piense en lo que está tratando de lograr estratégicamente para su función de seguridad en los próximos dos o tres años. Articule esto en una hoja de ruta estratégica. A partir de esto, puede crear su hoja de ruta de talento junto con él, teniendo en cuenta la combinación de recursos.
Demasiadas empresas con las que hablo están adoptando un enfoque incremental y ad-hoc para su personal de seguridad, agregando un rol aquí y un rol allá, según surja la necesidad. Adelántate a esto. Planifique con anticipación. Mapea tus necesidades de talento. Tendrá un impacto sorprendentemente clarificador y hará que tu reclutamiento sea mucho más efectivo.
Este es uno de los objetivos de nuestra práctica de vCISO en Nash Squared, ayudarlo a aclarar su enfoque estratégico y ofrecer servicios de contratación cibernética altamente enfocados.
Tener esta claridad y estructura también se comunicará a los candidatos cuando hables con ellos. Si existe una alineación entre el viaje de seguridad en el que se encuentra su empresa y su viaje profesional personal, lo convertirá en un destino mucho más atractivo para ellos.
Con el ransomware desenfrenado y las amenazas cibernéticas creciendo todo el tiempo, algo que el advenimiento de la computación cuántica solo empeorará, existe una necesidad urgente de que las organizaciones establezcan los fundamentos de su seguridad cibernética ahora.
Para esto, se necesita desesperadamente talento cibernético, y solo lo resolveremos a través de una acción pública y de la industria coordinada a nivel macro, y un enfoque enfocado, definido y estratégico de las empresas mismas.
Obtenga más información sobre las habilidades de seguridad en el informe de liderazgo digital de Nash Squared.