En julio de 2021, una investigación conjunta de Enterprise Strategy Group (ESG) y la Asociación de Seguridad de Sistemas de Información (ISSA) encontró que el área con el mayor déficit en habilidades de TI es la seguridad informática en la nube.
La encuesta de 489 profesionales de seguridad cibernética reveló que las principales ramificaciones de la escasez de habilidades fueron una carga de trabajo cada vez mayor para el equipo de seguridad cibernética (62 %), solicitudes de trabajo sin cubrir (38 %) y alto agotamiento entre el personal (38 %).
De manera preocupante, la encuesta informó que el 95% de los encuestados cree que la escasez de habilidades en seguridad cibernética y sus impactos asociados no han mejorado en los últimos años, y el 44% dice que la situación ha empeorado.
Sin embargo, incluso con una grave escasez de profesionales en seguridad cibernética, los candidatos calificados dicen que puede ser muy difícil comenzar una carrera en seguridad cibernética. Cuando se les preguntó por recomendaciones sobre cómo iniciarse en la seguridad cibernética, casi la mitad (49 %) de los encuestados sugirió obtener una certificación básica en seguridad cibernética, el 42 % propuso unirse a una organización profesional de la industria y el 36 % recomendó encontrar un mentor que esté dispuesto a ayudar a desarrollar habilidades. y planes de carrera.
A medida que más empresas adoptan la nube pública y los servicios híbridos, también aumenta la demanda de personas que sepan cómo proteger las configuraciones de la nube y tengan experiencia en DevSecOps. Aquí es donde la seguridad se “desplaza a la izquierda” y se integra en una canalización de desarrollo de software de integración continua y entrega continua (CI/CD) para introducir nuevos productos y funciones habilitados para software.
Estas habilidades son requisitos previos para los CIO y CISO que ofrecen una estrategia de digitalización nativa de la nube. En una publicación de blog sobre la seguridad nativa de la nube, Melinda Marks, analista sénior de ESG, escribió: “Es importante considerar el ahorro de tiempo y personal e invertir en productos que impulsen la eficiencia y reduzcan el agotamiento del personal”.
La certificación reconocida por la industria es parte de ese conjunto de herramientas. No solo ayuda a las personas a dar un paso adelante en su carrera profesional, sino que también les ofrece una forma de aumentar sus ingresos. Desde la perspectiva de un líder de TI, los programas de certificación mejoran la retención del personal. Las personas cuya formación es pagada por su empleador tienen muchas menos probabilidades de verse tentadas a buscar trabajo en otro lugar.
La 17ª edición de Skillsoft’s Habilidades de TI e informe salarial 2022 encontró que el 91% de los 7,952 profesionales de TI encuestados tienen al menos una certificación. La encuesta informó que los encuestados tienen un promedio de cuatro certificaciones en su campo. Más de la mitad (56 %) dijo que la certificación los ayudó a mejorar su trabajo, mientras que el 41 % dijo que los hizo más comprometidos con su trabajo.
La encuesta encontró una correlación entre la certificación profesional reconocida por la industria y el nivel de salario que los empleados pueden alcanzar. Descubrió que las personas con certificaciones de Certified Information Systems Security Professional (CISSP) eran las que más ganaban. Según Skillsoft, los profesionales de TI certificados por CISSP en la región EMEA ganan alrededor de $ 104,863, mientras que aquellos con certificaciones de Certified Information Security Manager (CISM) ganan un promedio de $ 97,304.
Cuando Skillsoft analizó los principales programas de certificación de seguridad cibernética entre los encuestados, descubrió que Microsoft ocupaba el primer lugar, seguido de ISACA, CompTIA, Cisco e (ISC)2. Esto no debería sorprendernos dado el predominio de la formación profesional de Microsoft, que suele ser un requisito previo para convertirse en administrador de sistemas Windows.
Microsoft también lideró las cinco principales certificaciones relacionadas con la seguridad, el gobierno, el cumplimiento y/o la privacidad que persiguen los profesionales de TI encuestados por Skillsoft. Le siguió (ISC)2Amazon Web Services (AWS), CompTIA y Cisco.
No sorprende que Microsoft y AWS estén entre los cinco primeros en certificación de seguridad, gobierno y cumplimiento, dado el crecimiento en las implementaciones de nube pública empresarial.
Según Skillsoft, los gerentes de TI están invirtiendo en mejorar las habilidades del personal para abordar sus brechas de habilidades actuales. Citan los puestos más difíciles de cubrir en las mismas áreas: computación en la nube (30 %), análisis/big data/ciencia de datos (28 %) y seguridad cibernética (25 %).
“Ya sea que su organización planee o ya invierta para ayudar a sus empleados a obtener la certificación, verá un aumento en la productividad, el potencial de innovación y la retención de empleados”
Maureen Lonergan, AWS
Beneficios de la capacitación para el empleador y el empleado
La certificación también tiene un efecto positivo en toda la empresa y aumenta la retención del personal. Maureen Lonergan, vicepresidenta de capacitación y certificación de AWS, dice: “Ya sea que su organización planee o ya invierta para ayudar a sus empleados a obtener la certificación, y considere favorablemente a los candidatos que poseen certificaciones de la industria, verá un aumento en la productividad de su organización, potencial de innovación y retención de empleados”.
Dado que las habilidades de seguridad cibernética tienen una gran demanda, dicha inversión en personas puede ayudar a los CISO a construir un equipo sólido.
“Ofrecer oportunidades para la capacitación en habilidades puede conducir a una mayor satisfacción y retención de los empleados. Además, cuando da un paso más y financia las tarifas del examen de certificación de sus empleados, es menos probable que los empleados busquen empleo en otro lugar”, agrega Lonergan.
Pero si bien las certificaciones son útiles, incluso vitales, para los profesionales de la seguridad, Piers Wilson, director del Chartered Institute of Information Security (CIISec), dice que no deberían existir en el vacío.
“Necesitan una acreditación formal para garantizar que las personas no dediquen su tiempo a acumular calificaciones irrelevantes que se ven bien en el papel pero que no mejoran sus habilidades esenciales ni los preparan para funciones futuras. Esto es especialmente importante dada la actual escasez de habilidades en seguridad cibernética”, dice.
“Acreditación formal [is needed] para garantizar que las personas no dediquen su tiempo a acumular calificaciones irrelevantes que se ven bien en el papel, pero que no mejoran sus habilidades esenciales ni las preparan para funciones futuras”
Piers Wilson, CIISec
Si bien un “mercado de vendedores” para empleados calificados puede parecer excelente para carreras individuales, Wilson dice que existe el riesgo de que alguien sea nombrado o ascendido más allá de sus capacidades, lo que puede tener graves consecuencias tanto para la organización como para el empleado cuando se presenta un desafío real. llega También insta a los CISO a mirar más allá de las habilidades técnicas al evaluar el nivel de capacitación en seguridad cibernética que requiere un equipo.
“Los profesionales también necesitan habilidades comerciales para comprender el lugar de la seguridad en el negocio y guiar a la organización para mejorar su postura general de seguridad”, dice. “Necesitan tener habilidades interpersonales para comunicarse con la empresa en general y los colegas en todos los niveles, y presentar consejos, orientación y mejores prácticas para la empresa. Y necesitan habilidades analíticas para identificar e investigar nuevas amenazas”.
Para Wilson, estas habilidades “no técnicas” ofrecen a los equipos de seguridad de TI la mejor manera de adelantarse a los atacantes cibernéticos, ya que permiten que toda la organización adopte una postura más proactiva. “Obtener certificaciones acreditadas tanto para habilidades técnicas como no técnicas no solo ayudará a los profesionales de la seguridad a mantenerse a la vanguardia de los riesgos. También les ayudará a planificar y asegurar sus propias carreras, por ejemplo, identificando qué habilidades necesitan en los siguientes niveles de la profesión y adquiriéndolas por adelantado”, añade.
Capacitación a bajo costo
Al analizar un plan de capacitación para profesionales de seguridad de TI, Rob Dartnall, director ejecutivo de SecAlliance y presidente del Consejo del Reino Unido de Crest, cree que los CISO no necesariamente deben buscar cursos grandes y costosos para su personal, sino suscripciones a plataformas, academias e incluso cursos gratuitos. tutoriales en línea y webcasts. En su experiencia, la capacitación no debe ser un escenario único para todos. Los líderes de seguridad de TI deben tener en cuenta que diferentes personas aprenden de diferentes maneras y todos se benefician de la variedad.
Dartnall señala que hay algunos recursos fantásticos disponibles, muchos gratuitos, para que los profesionales de la seguridad cibernética los usen para capacitarse más fácilmente y perfeccionar sus habilidades, con pruebas certificadas.
“Una de las cosas más importantes que debemos hacer como industria es crear el tiempo, el espacio, el entorno y el presupuesto para permitir que el talento mejore continuamente”
Rob Dartnall, Alianza Secundaria
“Una de las cosas más importantes que debemos hacer como industria es crear el tiempo, el espacio, el entorno y el presupuesto para permitir que el talento mejore continuamente. Donde algunas industrias impulsan el desarrollo continuo para que las personas sean más senior o estén certificadas, nosotros en seguridad cibernética también debemos hacer esto, porque el panorama de amenazas cibernéticas está en constante evolución”, dice Dartnall.
Al describir su propio enfoque, Dartnall agrega: “Personalmente, me encantan los recursos como Immersive Labs y Hack the Box. ¿Por qué? Porque pueden reflejar rápidamente el panorama de amenazas reales, con laboratorios prácticos que pueden evaluar las habilidades defensivas y ofensivas contra las técnicas más nuevas, alineando rápidamente las habilidades de un individuo con situaciones de la vida real”.
Según la experiencia de Dartnall, muchas de estas plataformas también se alinean con el desarrollo profesional y las vías de certificación. “La mayor parte del trabajo está hecho para nosotros”, dice. Pero también cree que, para agregar variedad, siempre habrá un lugar para la capacitación intensiva en el aula, dirigida por un tutor.
Los dos métodos de aprendizaje más efectivos citados por los profesionales de TI encuestados en la encuesta de Skillsoft son las sesiones de capacitación formales dirigidas por expertos en el trabajo y las sesiones de capacitación en línea dirigidas por un instructor en vivo. Skillsoft descubrió que aproximadamente el 70 % de los profesionales de TI que participaron en este tipo de capacitación consideraron que eran de muy a extremadamente efectivos.
Según Skillsoft, la popularidad combinada con la efectividad de la capacitación en línea dirigida por un instructor ha llevado a un aumento en el aprendizaje, con el 54% de los encuestados participando en dichos cursos. Este método ayuda a las personas a equilibrar el trabajo y la vida familiar con sus requisitos de capacitación, lo que les permite aprender de manera efectiva al ritmo que más les convenga.
Finalmente, al analizar en qué áreas de capacitación en seguridad enfocarse, una encuesta reciente de CIISec de 135 profesionales de seguridad de TI encontró que más de la mitad (57 %) consideró que el pensamiento analítico y las habilidades de resolución de problemas eran las más importantes en la profesión, en comparación con el 24 %. quienes calificaron las habilidades de comunicación como la máxima prioridad. Solo el 18 % calificó las habilidades técnicas como más importantes que otras habilidades, lo que sugiere que la capacitación y la certificación en seguridad cibernética deberían enfatizar áreas como el pensamiento analítico y la resolución de problemas sobre las habilidades técnicas.
