Ciberseguridad: 5 pasos para cerrar la brecha de competencias y crear una mano de obra para el futuro

La ciberseguridad fue nombrada uno de los principales problemas a los que se enfrenta el mundo en Davos 2023. Los expertos instaron a una respuesta global a la "tormenta cibernética", observando que la próxima pandemia podría ser la ciberpandemia. La grave escasez de primeros intervinientes, es decir, profesionales de la ciberseguridad, complica y agrava aún más el problema.

Es bien sabido que la mayor parte de un iceberg se encuentra bajo la superficie del agua, y esta es una buena manera de pensar en la brecha de competencias a la que nos enfrentamos en ciberseguridad.

En la punta están las competencias que nos vienen a la mente inmediatamente cuando pensamos en piratas informáticos y en protegernos de la ciberdelincuencia. Pero al igual que el 90% del iceberg que está oculto, la necesidad demasiado aparente de esas habilidades oculta una necesidad más amplia de competencias que apoyen el objetivo más amplio.

Entre ellas se incluyen las capacidades de auditoría, codificación e integración de sistemas, comprensión de la legislación y las políticas, capacidad para entablar relaciones con múltiples partes interesadas y liderar en situaciones de crisis.

El déficit de competencias en ciberseguridad es grande y va en aumento, ya que las organizaciones enfrentan dificultades para cubrir puestos y los trabajadores carecen de las competencias necesarias para empleos que siguen evolucionando con las innovaciones de las nuevas tecnologías.

En nuestro estudio de julio de 2022 sobre riesgos y ciberseguridad de Tata Consultancy Services (TCS), los directores de seguridad de la información (CISO) y los directores de riesgos (CRO) identificaron los conjuntos de habilidades para gestionar, diseñar y dar soporte a la tecnología de ciberseguridad como el principal reto, seguido de los cambios y requisitos del lugar de trabajo, y la evaluación de los ciberriesgos y la cuantificación de los costes pertinentes.

Además, muchos profesionales de la ciberseguridad altamente cualificados evitan ocupar puestos de liderazgo debido a la presión cada vez mayor y al agotamiento, lo que crea una brecha de liderazgo.

Dicho esto, creo que podemos aprovechar la diversidad de talentos en todas las líneas de trabajo -tecnológicas o no- para hacer frente al actual déficit de competencias en ciberseguridad.

Todo lo que necesitamos es un cambio en la narrativa. He aquí cómo:

Las empresas pueden reducir en gran medida la demanda de sus equipos centrados en la ciberseguridad desplegando plataformas de ciberseguridad integradas que mejoren la visibilidad y el control de su panorama de amenazas y automaticen las cargas de trabajo para una defensa proactiva.

Otra opción es cambiar a plataformas en la nube. En nuestro estudio, la mayoría (60%) de los CISO y CRO afirmaron que confían en poder evitar graves consecuencias financieras o de reputación de un ciberataque importante en los próximos tres años.

Una fuente importante de esa confianza, al parecer, procede del hecho de que el 62% de los funcionarios afirman que la nube es al menos tan segura como los servidores locales, o más.

Además, podrían aprovechar la escala y la experiencia de los proveedores de servicios de seguridad gestionados, que se equipan continuamente con las últimas tecnologías.

Contratar por competencias, no por títulos, es un movimiento respaldado por el Presidente de Estados Unidos, Joe Biden, y que él mismo destacó en su Discurso sobre el Estado de la Unión a finales del año pasado. Es una vía que puede liberar una gran cantidad de talento latente, tanto dentro de las organizaciones como fuera de ellas.

La ciberseguridad requiere una variedad de habilidades además de la tecnología. Un equipo cibernético fuerte necesita una combinación de conocimientos profundos, habilidades avanzadas y experiencia en múltiples áreas, como el trato con los reguladores y los funcionarios de cumplimiento, la coordinación con las fuerzas de seguridad y la navegación por las interacciones con diversos organismos gubernamentales y responsables políticos.

Así las cosas, por poco convencional que parezca, la ciberseguridad podría aprovechar lo mejor de lo que pueden ofrecer profesionales como matemáticos, estadísticos, abogados u oficiales militares retirados.

Cuando oye la palabra ciberseguridad, ¿en qué piensa? ¿Un grupo de nerds sentados en una oficina luchando contra un enemigo invisible? ¿Un equipo de hombres blancos vestidos con sudaderas? ¿O tal vez en una franja de trajes grises, hablando en una jerga difícil de penetrar?

Cada uno de estos estereotipos anticuados es parte de la razón por la que la ciberseguridad no ha gozado a menudo del tipo de atractivo asociado a otras profesiones tecnológicas. La gente no reconoce la variedad que ofrece. Nosotros, como profesión, tenemos que hacer más para hablarles directamente, ir a su encuentro donde están, con mensajes que resuenen.

Para mí, la posibilidad de promover la diversidad representa una oportunidad de incorporar a más personas a la conversación, ampliando y ensanchando la gama de opiniones y aptitudes que se ofrecen. Promover la diversidad mediante campañas en las que participen mujeres, asociados de comunidades infrarrepresentadas, jóvenes contratados en ciberseguridad y otros animará a más personas a considerar la ciberseguridad como una opción profesional.

Durante demasiado tiempo, los candidatos se han visto excluidos de oportunidades en las que podrían prosperar por no tener los títulos o certificaciones adecuados. Un cambio hacia la contratación abierta e inclusiva puede ayudar a solucionar este problema.

Los empresarios deben evaluar si las certificaciones son necesarias para determinadas funciones, o si el aprendizaje es suficiente para empezar, y aclarar en consecuencia los requisitos de competencias utilizados en las descripciones de los puestos de trabajo.

Las empresas podrían trabajar colectivamente para mejorar la reserva de talentos de nivel inicial, dirigiéndose a los estudiantes universitarios con campañas que les entusiasmen para una carrera en ciberseguridad, junto con programas para formarles tempranamente para la misma.

En TCS, hemos participado en estos esfuerzos: ofrecemos programas de formación a través de universidades seleccionadas, para ayudar a los estudiantes a adquirir habilidades preparadas para una carrera en ciberseguridad. Con seis semanas de formación específica durante el curso universitario, y de cuatro a seis semanas adicionales de experiencia en el puesto de trabajo, los participantes pueden adquirir rápidamente las competencias necesarias para apoyar los objetivos de ciberseguridad dentro de una organización.

Los esfuerzos para crear una mano de obra más preparada para la cibernética también deben ampliarse con el apoyo de los gobiernos. Este enfoque puede tener dos vertientes, con una función formalizada a través de las universidades y otra destinada a reducir las barreras de acceso para los estudiantes que abandonan los estudios y los estudiantes universitarios.

El fuerte aumento actual de la demanda se reducirá cuando llegue la madurez. La automatización también desempeñará un papel clave en la neutralización de la demanda.

Con el apoyo de prácticas y aprendizaje remunerados, un programa sistemático de reclutamiento y contratación puede crear una cantera de talentos mucho más sólida para ayudar a cubrir los puestos vacantes y apuntalar nuestros sistemas.

Necesitamos nuevas perspectivas sobre la enrevesada matriz de las amenazas modernas a la ciberseguridad, que, en mi opinión, es más probable que provengan de un equipo diverso con una variedad de habilidades y experiencias vitales.

Tener un enfoque integrador es clave para aprovechar el talento ampliamente disponible y crear una plantilla de ciberseguridad diversa, garantizando así que las mejores personas estén disponibles para hacer frente a las amenazas existenciales a las que las organizaciones se enfrentan cada día.