Cuando Colonial Pipeline sufrió un ataque masivo de ransomware a principios de 2021, una vulnerabilidad interna se sumó a la crisis: la empresa estaba operando sin su principal gerente de ciberseguridad.

La fuerza laboral de seguridad global debe crecer en un 65% para contar con todo el personal, según un nuevo estudio de (ISC) ², la organización más grande del mundo para profesionales de la ciberseguridad. Si bien las plataformas y herramientas de TI modernas ciertamente pueden automatizar muchas tareas de bajo nivel para ayudar a aliviar a los equipos de seguridad sobrecargados, los directores de seguridad de la información aún deben encontrar mejores formas de retener a los trabajadores existentes y contratar nuevos.

Si no lo hacen, esos puestos vacantes representan una fuente significativa de riesgo, dicen los líderes de seguridad. La escasez de personal está provocando sistemas mal configurados, descuidos en el seguimiento de los procedimientos de seguridad, implementaciones apresuradas y una incapacidad para reconocer nuevas amenazas, el mismo tipo de fallas que a menudo conducen a infracciones.

“Realmente deja a las organizaciones más vulnerables si no cuentan con equipos de ciberseguridad con el personal adecuado”, dice Clar Rosso, director ejecutivo de (ISC) ².

Además, la pandemia de COVID-19 ha hecho que el problema sea especialmente agudo. Más de una cuarta parte de los miembros del personal de seguridad dejaron temporalmente sus trabajos o trabajaron menos horas durante la pandemia, según el informe (ISC) ².

En respuesta, los CISO líderes están adoptando nuevas estrategias para cubrir los puestos vacantes y para evitar que sus trabajadores actuales más valiosos abandonen el barco.

Reclute fuera de TI

Debido a que no hay suficientes profesionales de ciberseguridad altamente capacitados para todos, los CISO y los líderes de recursos humanos buscan cada vez más fuera del grupo de talentos de TI tradicional para encontrar prospectos con la aptitud y las habilidades adaptables. Es cada vez más común que los trabajadores de ciberseguridad más jóvenes comiencen sus carreras fuera de TI. Según el estudio (ISC) ², solo el 38% de los profesionales de seguridad de la generación Z y los millennials comenzaron en TI, en comparación con el 53% de los de la generación X y el 55% de los baby boomers.

“No se va a cubrir una brecha laboral de 2,7 millones contratando a las mismas personas”, dice Rosso.

Para las personas que cambian de carrera, la ciberseguridad es un campo atractivo: tiene puestos vacantes en todas las regiones del mundo con empleadores en diferentes industrias y tiene la promesa de un avance constante. De hecho, el 77% de los profesionales de la ciberseguridad encuestados por (ISC) ² dijeron que estaban satisfechos o extremadamente satisfechos en su trabajo, los niveles más altos jamás reportados en el estudio anual.

Los CISO están considerando cada vez más candidatos con capacidad para resolver problemas, habilidades de comunicación, curiosidad y voluntad de aprender, así como un fuerte pensamiento estratégico. Para esos prospectos, los CISO “invertirán en capacitación para las habilidades técnicas”, dice Rosso.

Las fuerzas armadas, las agencias gubernamentales y las escuelas de oficios son todas fuentes ricas de habilidades que son "fácilmente transferibles a roles de ciberseguridad", dice un estudio de 2020 de Kudelski Security, una empresa global de ciberseguridad. Por ejemplo, Hiring Our Heroes , una fundación apoyada por la Cámara de Comercio de EE. UU., Ofrece “campamentos de entrenamiento” de ciberseguridad de 14 semanas para los veteranos interesados ​​en dar un salto profesional.

Reclutamiento de diversidad objetivo

El reclutamiento de personas que no pertenecen al universo de TI también presenta una oportunidad para que los CISO progresen con los objetivos de diversidad. Las mujeres representan solo el 25% de la fuerza laboral mundial en ciberseguridad, según los informes (ISC) ², y los empleados que no son blancos ocupan solo el 28% de los trabajos de ciberseguridad en América del Norte y en el Reino Unido.

“Está claro que nuestra industria enfrenta serios riesgos futuros si no encuentra formas de reclutar nuevos talentos para sus filas y cubrir el creciente número de vacantes. Pero más que eso, su actual falta de diversidad plantea sus propios riesgos más inmediatos porque los sistemas de la empresa no son homogéneos y tampoco lo son posibles agresores ”, dice Mandy Andress, directora de seguridad de la información de Elastic.

Sacar a relucir esos números tiene un impacto potencialmente mayor más allá de la equidad; también es compatible con los objetivos de seguridad básicos. Ampliar la gama de distritos educativos, geográficos, neurodiversos y LGBTQ en ciberseguridad puede equipar mejor a los equipos de seguridad para evaluar y gestionar una gama cada vez mayor de amenazas.

Andress agregó que el equipo de ciberseguridad que lidera como CISO femenina LGBTQIA + incluye personas que representan la variedad de la naturaleza humana en lo que respecta a la neurodiversidad, la orientación sexual, la identidad de género, la raza y la edad. El panorama es igualmente variado en lo que respecta a los antecedentes, la trayectoria educativa y la experiencia en la industria.

“En un campo multidisciplinario como este, las diferentes perspectivas son críticas. Cuando las amenazas y las tácticas cambian a nuestro alrededor a diario, los diversos puntos de vista de mi equipo ayudan a contrarrestar la complacencia al aportar nuevas ideas a las situaciones ”, dice Andress.

Internamente, las empresas pueden reclutar candidatos más diversos escribiendo descripciones de puestos que no estén sobrecargadas de jerga técnica. "Obtendrá un grupo más sólido de candidatos si escribe descripciones de puestos de alto nivel que son de naturaleza general", dice Rosso, "y amplía los lugares en los que busca nuevas contrataciones".

Aumente la retención con el desarrollo profesional

Incluso después de que se contrata al personal de ciberseguridad, los CISO a menudo enfrentan una batalla cuesta arriba para mantenerlos. Menos del 40% de las organizaciones encuestadas en 2021 por Hays, una firma de búsqueda de ejecutivos de TI, dijeron que podrían retener de manera efectiva el talento de ciberseguridad que reclutaron.

Debido a que la compensación es tan competitiva, las empresas deben distinguirse en otras formas, como el desarrollo profesional. Pagar por cursos de capacitación y certificación, y ayudar a trazar nuevas trayectorias profesionales que prometan un avance constante, puede ser muy eficaz.

“¿Volverás a capacitar a la gente? ¿Traerá gente a un nivel más joven y les dará un mentor o líderes para desarrollarlos más? Esos son factores importantes ”, dice Christine Wright, vicepresidente senior de Hays.

El cambio al trabajo a distancia durante la pandemia podría, en última instancia, generar dividendos al brindar a los empleadores una nueva ventaja para contratar y retener profesionales de la seguridad.

“La pandemia me ha liberado para dejar de pedirle a la gente que se mude a una de las pocas ciudades y, en cambio, me permite encontrar talentos en el país o en el mundo”, dice Justin Berman, CISO de la compañía de atención médica Thirty Madison. "La capacidad de colaborar, comunicarse y funcionar como un equipo en diversas ubicaciones siempre fue fundamental, pero ahora es un diferenciador estratégico en la contratación, porque si no se lo permite, alguien más lo hará".

Matt Palmquist es periodista de negocios independiente y ex editor colaborador de la revista Strategy + Business.