La disrupción digital que golpeó a las empresas en la última década no llegó como un solo tsunami. En cambio, surgió en una serie de olas que culminaron en un renacimiento tecnológico que generó una dependencia organizacional adicional de TI y aceleró un problema que ya se había vuelto obvio: la escasez de recursos de seguridad.
La escasez de recursos de seguridad cibernética es real y tiene un efecto profundo en los esfuerzos de las organizaciones para crecer y mantener una función de seguridad efectiva. Un informe reciente de Harvey Nash indicó que casi la mitad de los líderes digitales en el Reino Unido admitieron una escasez de habilidades de seguridad , y el 40% reveló que luchan por mantener al personal. De hecho, cuando se les preguntó acerca de su mayor barrera para la ejecución de la estrategia de seguridad, el 43 % identificó una falta de recursos de habilidades: más que presupuesto (35 %), tecnología (13 %) y soporte a nivel de directorio (9 %).
Cuando los líderes de seguridad consideran cómo abordar este desafío, a menudo recurren a una colección de respuestas estándar:
- Anime a las escuelas y universidades a identificar el talento temprano y a incorporar a los estudiantes como aprendices.
- Busque talento dentro de su red de campeones.
- Deje de alcanzar la luna: busque talento en bruto en lugar de productos terminados.
- Fomente la diversidad mediante la elaboración de anuncios de trabajo y roles para adaptarse a diferentes circunstancias.
Hay valor en cada una de estas sugerencias, sin embargo, se han conocido durante años y, sin embargo, el problema crece. Debemos profundizar más en busca de ideas que realmente puedan ‘mover el dial’.
Un problema de percepción.
Dos desafíos contribuyen al problema.
El primero es simplemente la percepción de la tecnología. La generación de profesionales de la seguridad que ahora ocupa posiciones de liderazgo creció junto con la tecnología, viendo cómo maduraba en línea con el crecimiento de su propio conocimiento y experiencia. Podían visualizar y comprender toda la pila, a diferencia de muchos que ahora ven la tecnología como un consumible o una ‘aplicación’. Esto elimina un elemento de comprensión y posiciona a TI para que sea como la administración de instalaciones, donde el personal simplemente espera que la salud, la seguridad y la protección de su espacio de oficina se brinden en un estado impecable, sin curiosidad sobre cómo entraron o permanecen sus habitaciones. , en esa condición.
El segundo es la percepción de seguridad. Cada historia de seguridad cibernética ampliamente leída es una de fallas y riesgos crecientes. Nuestra incapacidad para mantenernos al día con el panorama de amenazas pinta un panorama sombrío que muchos estudiantes pueden tratar de evitar. Si los periódicos estuvieran llenos de historias de edificios que se derrumban, ¿realmente aspirarías a ser constructor, a pesar de las obvias oportunidades comerciales?
Pasos a seguir
¿Qué pasos prácticos podemos tomar para combatir estas percepciones y abordar el problema?
Renovar la imagen de la seguridad cibernética como una fuerza para el bien en el mundo
Muchos CISO obtienen satisfacción personal de su función al enmarcar sus responsabilidades como “ayudar a la sociedad”, y el 44% lo menciona como su principal fuente de satisfacción laboral en una encuesta de CISO de 2021. Cada profesional de seguridad elimina una porción de riesgo de una empresa, y cada empresa contribuye a una sociedad funcional, vibrante y optimista. En lugar de centrarnos en los fracasos, debemos posicionar la marca de seguridad cibernética como una cruzada justa para crear un mundo mejor.
Amplíe el alcance
Demasiadas personas perciben la ciberseguridad como un mundo técnico complejo dominado por geeks con capucha. No pueden ver la gran oportunidad que tienen de agregar valor con sus propias habilidades. Necesitamos ampliar la visión para que cada empleado pueda convertirse en un socio de la familia de la seguridad y enriquecerla con sus propios talentos. Los vendedores, abogados, líderes de crisis, autores y diseñadores de juegos pueden ser parte de una estrategia de seguridad holística, agregando valor y reduciendo el riesgo, sin alejarse de su pasión principal.
Aliviar la tensión en el personal de seguridad
Demasiado personal senior está dejando la industria debido al estrés y al exceso de trabajo. El rol de liderazgo en seguridad se ha vuelto increíblemente amplio, con la responsabilidad de proteger contra riesgos y amenazas en todo el negocio y, sin embargo, el equipo sigue siendo una pirámide con una base estrecha. Al devolver claramente la responsabilidad a las unidades de negocios para que se adhieran a los estándares y responsabilizarlos a ellos (en lugar del equipo de seguridad) cuando se quedan cortos, podemos liberar al liderazgo de gran parte del estrés, minimizando la rotación de personal.
Ajustar el proceso de la entrevista.
Cambie el proceso para que las entrevistas de trabajo dejen de ser una diatriba de preguntas y respuestas. Pida a los candidatos que presenten un tema después de solo 30 minutos de preparación. Deles escenarios y problemas para resolver para que pueda ver sus mentes en funcionamiento, y no solo poner a prueba su memoria. Busque la pasión y el entusiasmo en lugar del conocimiento o los certificados, ya que los primeros conducirán y superarán a los segundos con el tiempo.
Mantener los recursos actualizados
Los analistas de seguridad a menudo avanzan solo para construir su currículum con experiencia en tecnología atractiva. Retenga el talento en desarrollo comprometiéndose a mantener su tecnología actualizada e invirtiendo en la capacitación y el desarrollo del personal. Haga que permanecer en su organización sea tan atractivo como mudarse a otro lugar.
Estableciendo soluciones
Este problema ha ido creciendo durante años, y ninguna acción por sí sola abordará el desequilibrio entre la oferta y la demanda. Las soluciones tácticas pueden permitir que las organizaciones sigan adelante; sin embargo, debemos reconocer que el software se está “comiendo el mundo” y nuestra sociedad depende cada vez más de la tecnología para funcionar. La demanda de sistemas resistentes y seguros apenas está comenzando, y si deseamos tener alguna posibilidad de superar este problema, o incluso adelantarnos, entonces cada uno de nosotros debe asumir la responsabilidad de posicionar la industria de manera positiva. Esa es la única solución estratégica.
Fuente:
Editor’s Choice. (2022p, abril 22). Overcoming the biggest cyber security staff challenges. Information Age. Recuperado 22 de abril de 2022, de https://www.information-age.com/overcoming-biggest-cyber-security-staff-challenges-123499229/