¿Podrían los bartenders cerrar la creciente brecha de habilidades tecnológicas en ciberseguridad?

A pesar de los recientes despidos de alto perfil en la industria tecnológica, la demanda de profesionales de ciberseguridad sigue siendo alta pero no cubierta. Con tantos trabajadores de la industria tecnológica buscando su próximo trabajo, ¿por qué no se contrata a estos trabajadores desplazados?

La respuesta podría encontrarse emparejando mejor a los candidatos con menos probabilidades de volver a capacitarse como técnicos de ciberseguridad. La demanda de trabajadores cibernéticos creció un 25% en 2022, y existen muchos comentarios sobre la necesidad de contratar talentos en ciberseguridad de entornos no tradicionales, como camareros o maestros de escuela.

Según los datos publicados a finales de enero por el sitio de análisis de la fuerza laboral de ciberseguridad desarrollado en asociación con la Iniciativa Nacional para la Educación en Ciberseguridad del NIST, CompTIA y Lightcast, el número total de trabajadores de ciberseguridad empleados se mantuvo bastante estable en 2022 en alrededor de 1,1 millones. El número de ofertas de trabajo en línea disminuyó de 769.736 a 755.743 en los 12 meses que finalizaron en diciembre de 2022.

“A pesar de las preocupaciones sobre una economía en desaceleración, la demanda de trabajadores de ciberseguridad sigue siendo históricamente alta. Las empresas saben que el cibercrimen no se detendrá ante una desaceleración del mercado, por lo que los empleadores no pueden permitirse el lujo de pausar su contratación de ciberseguridad”, dijo Will Markow, vicepresidente de Investigación Aplicada y Talento de Lightcast.

Según datos de Lightcast, cada uno de los primeros nueve meses de 2022 estableció récords de mayor demanda mensual de ciberseguridad desde 2012, pero se enfrió en noviembre y diciembre. Un indicador clave es la proporción entre trabajadores de ciberseguridad actualmente empleados y nuevas vacantes, que indica cuán importante es el déficit de trabajadores.

La relación oferta-demanda es actualmente de 68 trabajadores por cada 100 puestos vacantes, ligeramente por encima de la relación del período anterior de 65 trabajadores por cada 100 puestos vacantes. Según estas cifras, se necesitan casi 530.000 trabajadores más de ciberseguridad en Estados Unidos para cerrar las actuales brechas de oferta.

Algunos investigadores de la industria sugieren que contratar talentos en ciberseguridad de entornos no tradicionales, como camareros o maestros de escuela, es una solución ideal e innovadora.

Idea poco realista dadas las barreras tecnológicas

Otros profesionales cibernéticos sostienen que dicha solución no se alinea con la realidad de la industria. Principalmente, las barreras de entrada siguen siendo demasiado altas y muchas organizaciones todavía utilizan métodos de contratación anticuados, como exigir certificaciones que son imposibles de obtener sin experiencia laboral.

Lenny Zeltser, CISO de la empresa de gestión de activos de ciberseguridad Axonius e instructor en la empresa de investigación, certificaciones y formación en ciberseguridad SANS Institute, también encuentra sorprendente que nadie parezca hablar de lo difícil que es ascender en la jerarquía una vez que se consigue un puesto. posición cibernética en primer lugar.

Hay poca o ninguna orientación sobre cómo pasar de profesional cibernético a director de seguridad de la información o CISO. Muchas organizaciones carecen de estándares y estructura sobre cómo pagar a los profesionales cibernéticos, y muchos empleados saben que la única forma de ascender es pasarse a otras empresas, razonó.

La gente simplemente está iniciando la conversación en el lugar equivocado, afirmó Zeltser. Las empresas primero deben abordar lo que él llama la “brecha profesional en ciberseguridad” antes de que la industria cibernética pueda comenzar a cerrar la brecha de habilidades.

Aprender habilidades de seguridad informática no es la cuestión principal, afirmó. Existen numerosas vías para que las personas motivadas adquieran las habilidades necesarias. El problema son las expectativas sobre las habilidades que se requieren.

“Creo que existen muchas oportunidades para que las personas adquieran habilidades de seguridad. Eso me lleva a considerar que tal vez haya algo más en esto”, dijo Zeltser a TechNewsWorld.

"Quizás tengamos expectativas poco realistas sobre quién buscamos".

Olvídese de los candidatos ideales

Quizás la típica posición de unicornio en la que las empresas quieren un profesional de seguridad que pueda hacer todo sea la culpable, señaló. Es un campo tan especializado que contiene muchos subconjuntos especializados, y es difícil ser un experto en todo lo relacionado con la ciberseguridad.

"Simplemente no estamos lo suficientemente abiertos a que personas con conocimientos no técnicos inusuales entren en este campo", reflexionó Zeltser.

Ofreció un ejemplo de sus funciones anteriores dentro de la industria. Los gerentes de contratación con poca variación quieren que sus empleados hagan X, Y y Z. No ver esas capacidades en un currículum coloca a los solicitantes de empleo en la categoría de falta de habilidades.

¿Cuál es la solución? Tome candidatos cibernéticos con algunas de las habilidades y capacítelos para el resto.

Zeltser recordó haber buscado contratar algunos expertos en seguridad que brindaran atención al cliente. La empresa necesitaba personal de seguridad básico pero no podía encontrarlos.

Lo que la empresa terminó haciendo con mucho éxito fue reclutar camareros expertos en tecnología que estuvieran interesados ​​en las computadoras y pudieran configurar su propio Wi-Fi. Pero esto sólo lo hacían en casa, explicó.

“Descubrimos que pudimos capacitarlos en las habilidades de seguridad adecuadas en la oficina. Pero lo que no necesitamos entrenarlos y lo que es muy difícil enseñarles es cómo realizar múltiples tareas, cómo pensar con rapidez e interactuar con los humanos”, dijo Zeltser. Resulta que los camareros son muy buenos en eso.

Necesita un resultado final positivo

Zeltser encontró numerosas opciones en las que podía ser más abierto y eso se convirtió en una necesidad. Ser más abierto significa cambiar tu forma de pensar y aceptar personas con antecedentes no técnicos ni convencionales”, ofreció.

“Quiero que en la industria dejemos de decirle a la gente que si ingresan al campo como profesionales de la seguridad, deberían trabajar para alcanzar la cima de la carrera en ciberseguridad, que es el papel de un CISO. La cuestión es que no hay suficientes roles de este tipo”, afirmó.

La industria no necesita tantos ejecutivos de seguridad como otros tipos de profesionales de la seguridad, lo que conduce a que la gente fracase, según Zeltser.

“Les estamos diciendo que trabajen para lograrlo y así es como definimos el éxito. Pero en cambio, podemos hablar de otras formas en que las personas pueden tener éxito porque no todo el mundo debería ser ejecutivo, no todo el mundo debería ser gestor de personas”, añadió.

La brecha de habilidades se une a la brecha de seguridad

Incluso con la escasez de trabajadores capacitados en ciberseguridad, muchas organizaciones están en el camino correcto para proteger y reducir los riesgos cibernéticos para sus negocios. Según Joseph Carson, científico jefe de seguridad y CISO asesor de Delinea, el desafío es que todavía existen grandes brechas de seguridad que los atacantes pueden aprovechar.

"La brecha de seguridad no solo está aumentando entre las empresas y los atacantes, sino también entre los líderes de TI y los ejecutivos de las empresas", dijo a TechNewsWorld.

Carson estuvo de acuerdo en que algunas industrias están mostrando mejoras. Pero el problema todavía existe.

"Hasta que resolvamos el desafío de cómo comunicar la importancia de la ciberseguridad a la junta ejecutiva y a las empresas, los líderes de TI seguirán luchando para conseguir los recursos y el presupuesto necesarios para cerrar la brecha de seguridad", advirtió.

Se necesita una mejor trayectoria profesional

Las organizaciones deben seguir ampliando su grupo de reclutamiento, tener en cuenta el sesgo que puede existir actualmente en el reclutamiento cibernético y brindar capacitación en profundidad a través de aprendizajes, pasantías y capacitación en el trabajo. Esto ayuda a crear la próxima generación de talento cibernético, afirmó Dave Gerry, director ejecutivo de la plataforma de ciberseguridad de colaboración colectiva Bugcrowd.

"Al crear oportunidades de crecimiento profesional y respaldar la misión de ayudar a nuestros clientes, a sus clientes y a la comunidad digital en general a defenderse de los ataques cibernéticos, los empleados sienten que tienen una oportunidad de mejorar ellos mismos y la comunidad en general", dijo a TechNewsWorld.

Gerry agregó que durante años nos han hecho creer que existe una brecha significativa entre la cantidad de puestos vacantes y los candidatos calificados para ocupar esos puestos. Si bien esto es parcialmente cierto, no proporciona una visión precisa del estado actual del mercado.

"Los empleadores deben adoptar un enfoque más activo para contratar personas de entornos no tradicionales, lo que, a su vez, amplía significativamente el grupo de candidatos, desde aquellos con títulos formales hasta personas que, con la formación adecuada, tienen un potencial increíblemente alto", afirmó. dicho.

Quizás una mejor alternativa

La reciente publicación de la Estrategia Nacional de Ciberseguridad generará más demanda que oferta. Esto podría ralentizar los procesos a gran escala, predijo Guillaume Ross, CISO adjunto de la empresa de gestión de activos cibernéticos JupiterOne.

Será fundamental priorizar y reducir al máximo la superficie de ataque. Además, las medidas de seguridad deben garantizar que los desarrolladores, TI e incluso el personal de gestión de procesos/negocios integren la seguridad en su rutina de trabajo diaria.

"Mejorar las habilidades de seguridad de un millón de desarrolladores y trabajadores de TI tendría un impacto mucho mayor que capacitar a un millón de nuevas" personas de seguridad "desde cero", respondió Ross a TechNewsWorld.

Solución universal en general

La escasez de habilidades y ciberseguridad no es únicamente un problema de la industria estadounidense. Una tremenda escasez de expertos capacitados en ciberseguridad es generalizada en todo el mundo, señaló Ravi Pattabhi, vicepresidente de seguridad en la nube de ColorTokens, una firma autónoma de soluciones de ciberseguridad de confianza cero.

Algunas universidades han comenzado a enseñar a los estudiantes algunas habilidades básicas de ciberseguridad, como gestión de vulnerabilidades y refuerzo de la seguridad de los sistemas. Mientras tanto, la ciberseguridad está experimentando un cambio.

“La industria está incorporando cada vez más la ciberseguridad en la etapa de diseño y integrándola en el desarrollo de productos, la integración de códigos y la implementación. Esto significa que los desarrolladores de software probablemente también necesiten habilidades básicas de ciberseguridad, incluido el marco de ataque Mitre y el uso de herramientas de prueba de penetración”, dijo Pattabhi a TechNewsWorld.