En esta era de digitalización, el mundo está presenciando un crecimiento exponencial de incidentes que comprometen la seguridad de la información propiedad de empresas o gobiernos. Recientemente, las entregas en el extranjero de Royal Mail sufrieron graves interrupciones debido a un ataque de ransomware vinculado a delincuentes rusos. En 2022, alrededor de 50 sitios web del gobierno indio fueron pirateados y se informaron ocho violaciones de datos. Estos incluyeron un ataque de ransomware en algunos servidores del All India Institute of Medical Science (AIIMS) que paralizó las operaciones del principal instituto médico de la India durante muchas semanas.
El tremendo aumento de este tipo de incidentes ha alimentado la demanda de profesionales de TI calificados que puedan prevenir ataques cibernéticos en activos críticos de TI gubernamentales y comerciales. Pero existe un desajuste considerable en la situación de la oferta y la demanda de profesionales calificados en seguridad cibernética. Para complicar esto aún más, los profesionales que ingresan a este campo enfrentan dificultades para decidir qué habilidades deben adquirir. Este artículo explora qué caminos están disponibles en la capacitación en seguridad cibernética mediante el análisis de informes publicados por dos asociaciones eminentes en el campo de la seguridad de la información.
El primer informe discutido es la última edición del informe anual sobre la fuerza laboral de seguridad cibernética publicado por (ISC)2 titulado Estudio de la Fuerza Laboral de Seguridad Cibernética 2022. Este informe presenta información sobre los desafíos y las oportunidades que enfrentan los profesionales de la seguridad cibernética en todo el mundo. El informe se elaboró tras realizar una encuesta entre 11.779 profesionales de la ciberseguridad. El estudio estima que el tamaño de la fuerza laboral global de seguridad cibernética en 2022 fue de 4,7 millones de personas y la brecha en la fuerza laboral global de seguridad cibernética fue de 3,4 millones de personas, lo que representa un aumento del 26,6% año tras año (YoY) nivel.
Claramente, existe una gran brecha entre la oferta y la demanda de profesionales de ciberseguridad, y la escasez es más evidente en las regiones EMEA y APAC, donde el aumento interanual es superior al 50 %. La mitad de los profesionales de seguridad cibernética menores de 30 años que participaron en la encuesta comenzaron sus carreras en TI y luego se trasladaron a la seguridad cibernética. Ambas certificaciones independientes del proveedor (p. ej., (ISC)2, ISACA o CompTIA) y las certificaciones específicas de proveedores (por ejemplo, Microsoft, Amazon o Cisco) fueron populares entre los encuestados. La mayoría de las organizaciones (55 %) prefirieron que sus empleados adquirieran una certificación de proveedor neutral.
ISACA publicó el segundo informe examinado, titulado Estado de la seguridad cibernética 2022. En este estudio, ISACA realizó una encuesta entre 2031 profesionales de la seguridad cibernética de todo el mundo sobre siete aspectos principales de la seguridad cibernética, que abarcan áreas como la dotación de personal y las habilidades. Los principales hallazgos de este estudio se discuten a continuación:
Dotación de personal de seguridad cibernética: solo el 34 % de los encuestados consideró que el equipo de seguridad cibernética de su organización contaba con el personal adecuado y el 60 % respondió afirmativamente a la pregunta de si tenían dificultades para retener a profesionales calificados en seguridad cibernética. Con respecto a sus expectativas de demanda futura de colaboradores individuales en un rol técnico de seguridad cibernética, el 82 por ciento de los encuestados esperaba un aumento en la demanda.
Brechas de habilidades: Un hallazgo notable de esta encuesta es la mayor brecha de habilidades entre los profesionales de seguridad cibernética. El 54% de los encuestados opinaron que los profesionales de la seguridad cibernética carecían de habilidades blandas como comunicación, flexibilidad y liderazgo. El (ISC)2 estudio también salió con un hallazgo similar. A la pregunta sobre las calificaciones más importantes requeridas para los profesionales de seguridad cibernética que buscan empleo, el 44 % respondió con fuertes habilidades para resolver problemas y el 27 % respondió con fuertes habilidades de pensamiento estratégico.
El Foro Económico Mundial destaca el desajuste de la brecha de competencias y habilidades sociales entre los profesionales de la seguridad cibernética (FEM). Los autores de un artículo sobre brechas en la fuerza laboral señalan que la seguridad cibernética va más allá de los ámbitos de las capas físicas y lógicas tradicionales del ciberespacio: dado que involucra dimensiones humanas y sociales, se debe incluir una capa social en la gestión de la seguridad cibernética.
Para abordar las necesidades de las capas sociales, los profesionales de la seguridad cibernética deben estar capacitados para adquirir habilidades blandas. Además de adquirir habilidades blandas, el estudio de ISACA encontró las siguientes brechas de habilidades en el frente técnico de la seguridad cibernética: computación en la nube (52 %), controles de seguridad (34 %) y habilidades de codificación (30 %). Según los encuestados del estudio de ISACA, las cinco habilidades de seguridad más importantes que necesitan sus organizaciones actualmente son computación en la nube (52 %), protección de datos (47 %), gestión de identidad y acceso (IAM) (46 %), respuesta a incidentes (46 %). %) y DevSecOps (36%).
Los informes de la encuesta publicados por ISACA y (ISC)2 proporcionan información muy útil sobre el estado actual de la situación de la fuerza laboral de seguridad cibernética y las posibilidades futuras. Cabe señalar que la brecha entre la oferta y la demanda en los requisitos de la fuerza laboral de seguridad cibernética no experimentará ninguna disminución en los próximos años. Existe un gran potencial para que los profesionales debidamente capacitados ingresen a este apasionante dominio de la seguridad cibernética, pero el principal desafío es adquirir las habilidades adecuadas. Ambos estudios destacan la necesidad de adquirir el tipo apropiado de habilidades blandas junto con el aprendizaje de las capacidades técnicas necesarias.
Sudeep Subramanian es profesor asociado en el área de negocios internacionales en FORE School of Management en Nueva Delhi, India. Tiene más de dos décadas de experiencia en tecnología de la información y educación gerencial. Su experiencia docente en cursos de gestión se extiende a lo largo de 12 años y pasó ocho años en la industria de TI antes de unirse a la academia. Su experiencia en la industria de TI incluye desarrollo de software, gestión de proyectos, auditoría de sistemas de información y consultoría de seguridad de la información. Es Auditor Certificado de Sistemas de Información (CISA) y Auditor Líder ISO 27001.