Hace unas semanas atras les compartí un post denominado «Las 3 C’s de Concienciación de Seguridad«, bien, continuando con las letras mágicas les traigo este artículo, tambien de nuestros amigos de Darkreading.com.
A medida que las amenazas aumentan y los gerentes de ciberseguridad de las empresas se esfuerzan por crear equipos capaces de hacer frente a un volumen de trabajo cada vez mayor, la escasez de conocimientos en materia de ciberseguridad sigue aumentando cada año con mayor urgencia.
De hecho, un estudio publicado a principios de este año por Enterprise Strategy Group (ESG) muestra que en los últimos cuatro años, el porcentaje de líderes de TI que se quejaron de una problemática escasez de habilidades de ciberseguridad se ha más que duplicado. Las capacidades de seguridad, según ESG, son las más escasas, por delante de la arquitectura y planificación de TI y de la administración de servidores y virtualización, que fueron los números dos y tres, respectivamente.
Si las organizaciones van a sobrevivir a esta crisis de habilidades, van a necesitar ser creativas sobre cómo construir sus equipos. Según muchos expertos en seguridad de muchos años, esto significa repensar lo básico. Es fundamental para el proceso que las organizaciones sean disciplinadas y de mente abierta al reclutar, reciclar y retener al personal.
Esto es lo que los expertos dicen que se necesita para sacar provecho de estas tres «R».
Reclutar
Las organizaciones a menudo se obsesionan tanto con marcar una lista de prerrequisitos de currículum vitae – ya sea certificaciones de seguridad específicas, competencia en tecnología, número exacto de años en la industria, o todo lo anterior – que eliminan a los candidatos excelentes del grupo incluso antes de haber comenzado a reclutarlos.
«Es importante pensar fuera de la caja y tener una mente abierta a la hora de reclutar talentos en seguridad. Arroje los estereotipos por la ventana y concéntrese en comprender el tipo de personas que desea contratar», dice Jennifer Sunshine Steffens, CEO de IOActive. «No pueden tener títulos o certificaciones, no pueden tener años de experiencia en seguridad, y no pueden usar capuchas.»
Como Steffens y otros explican, la seguridad es más una forma de vida y un modo de pensar, por lo que el reclutamiento debería consistir en filtrar por tipos de personalidad y mentalidades más que por listas de control. Los reclutadores de seguridad que se centran más en la selección de personas que pueden completar un equipo en lugar de desempeñar un papel exacto verán un mayor éxito en el futuro, dice David Emerson, CISO de Cyxteram. Esto es particularmente importante si se tiene en cuenta que el ritmo del cambio va a hacer que esos elementos de la lista de verificación sean obsoletos en unos pocos años. Lo más importante es encontrar a alguien que pueda crecer con el equipo.
«La persona que necesita ahora no es necesariamente la persona que necesita dentro de un año, o dentro de tres años, así que asegúrese de que sus contrataciones tengan características duraderas, como dedicación y afición a la resolución colaborativa de problemas, no sólo cualidades puntuales o puntos de currículum vitae de moda», advierte Emerson.
Las organizaciones deben ser igualmente creativas sobre dónde y cómo llevar a cabo las campañas de reclutamiento, añade Steffens.
«En ciberseguridad, hemos encontrado algunos de los mejores talentos buscando fuera de las’normas’ de la industria. Claro, el reclutamiento en ferias universitarias y la oferta de programas de pasantías producirán grandes candidatos, pero con 2 millones de puestos de trabajo vacantes, el talento debe llegar de maneras no tradicionales», dice. «En IOActive, el reclutamiento es parte de nuestra vida diaria. Viajamos alrededor del mundo asistiendo a conferencias, organizando eventos y visitando espacios de hackers para encontrar el talento adecuado».
Finalmente, si usted absolutamente debe llenar una lista específica de métricas de currículum vitae, entonces tendrá que asegurarse de que lo que usted ofrece a un candidato está de acuerdo con las realidades del mercado.
«Las organizaciones tendrán que abrir sus carteras y definir claramente su identidad cultural para ganarse el afecto de aquellos que ya están establecidos como líderes en el campo», dice Jared Coseglia, CEO de TRU Staffing Partners, un reclutador especializado en ciberseguridad.
Reentrenamiento
La contratación basada en el potencial es importante, pero para sacar el máximo provecho de toda esa capacidad latente, es necesario dar a los empleados la oportunidad de aprovecharla. La capacitación es crucial para ayudar al personal existente a mantenerse al día con las tendencias actuales y desarrollar a los nuevos reclutas prometedores.
«Las empresas que no proporcionan el espacio y el tiempo para que su personal de seguridad mantenga sus habilidades en forma se están preparando para fracasar», dice Ryan Barrett, vicepresidente de seguridad de Intermedia. «Las compañías con equipos de seguridad exitosos les dan tiempo para realizar evaluaciones internas y enviarlas regularmente a conferencias de seguridad para obtener nuevas perspectivas y entrenamiento práctico.»
La formación también puede ser una gran herramienta para reducir los gastos de contratación de ciberseguridad cuando se utiliza para reciclar o formar a personas inteligentes que ya trabajan para la organización en diferentes funciones fuera de la seguridad. Según Coseglia, esta puede ser una manera muy inteligente de cerrar brechas que no se pueden llenar con reclutamiento externo.
«Busque profesionales que conozcan su cultura y conozcan sus datos de los departamentos terciarios y reinvierta en ellos en lugar de confiar exclusivamente en contrataciones externas», afirma. «Por ejemplo, muchas corporaciones y firmas consultoras están haciendo la transición de profesionales conocedores de la tecnología del e-discovery o de la investigación forense a roles cibercéntricos. Estas personas a menudo tienen las habilidades técnicas, empresariales, de servicio al cliente y/o de gestión de proyectos necesarias para intervenir y proporcionar liderazgo una vez formados en áreas específicas de la ciberseguridad».
Uno de los errores más grandes que cometen las organizaciones es subestimar el potencial que los empleados de TI existentes podrían tener para convertirse en excelentes empleados de ciberseguridad, concuerda Frank Downs, gerente senior de Prácticas de Seguridad de Información Cibernética de ISACA.
«Muchas de estas personas desean seguir siendo relevantes dentro de la organización, pero no cuentan con los fondos ni con los mecanismos necesarios para impartir formación cruzada», dice Downs. «Muchos profesionales de TI quieren ser relevantes para la ciberseguridad. Por el costo de alguna educación adicional, las organizaciones pueden tener a alguien que esté familiarizado con las reglas y la cultura corporativa[que son] directamente aplicables a las necesidades de ciberseguridad».
Retener
Por último, las organizaciones deben recordar que el simple hecho de desempeñar una función no es más que el comienzo de una sólida formación de equipos de ciberseguridad. Y lo que es aún más importante es garantizar que esas funciones permanezcan desempeñadas durante el mayor tiempo posible.
Esto no sucede por arte de magia. Los gerentes de seguridad deben desarrollar una sólida estrategia de retención si quieren permanecer plenamente dotados de personal en un mercado tan competitivo.
«Mientras la demanda de profesionales experimentados siga siendo alta y la oferta baja, una buena estrategia de retención es crucial», dice Tom Gilheany, director de la cartera de formación de seguridad y certificaciones de Cisco Services. «La retención no es necesariamente impulsada sólo por los salarios más altos. La investigación ha demostrado que otros factores juegan un papel sorprendentemente fuerte cuando se trata de la retención de empleados».
Esto significa ofrecer a los empleados programas de desarrollo profesional y de habilidades y proporcionar un camino claro para el crecimiento en sus roles y responsabilidades.
«No se puede contratar y retener a los mejores profesionales de la ciberseguridad sin presentarles oportunidades de crecimiento y una trayectoria profesional», dice Drew Nielsen, CISO de Druva. «Los gerentes también tienen que considerar y mejorar la cultura de la compañía para atraer a los mejores talentos.»
Coseglia está de acuerdo en que la cultura es la salsa secreta para aferrarse a los mejores y más brillantes.
«La cultura es clave para el primer escalón de los ciberprofesionales», afirma. «La cultura puede significar cosas diferentes para diferentes organizaciones. Algunas culturas ofrecen desafíos avanzados, y la naturaleza de su trabajo se convierte en un incentivo, mientras que otras ofrecen diferencias en el estilo de vida cultural».
Así pues, tanto si se trata de dar al personal la oportunidad de hackear la tecnología de la cadena de bloqueo o la inteligencia artificial de los coches sin conductor, o de darles más flexibilidad para trabajar desde casa y conseguir un equilibrio entre trabajo y vida privada, los empresarios deben mejorar su juego para hacer de sus empresas un lugar en el que los profesionales de la seguridad quieran echar raíces.
Artículo original en darkreading.com
Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.
Gracias por leerme y hasta la próxima.
