La falta de profesionales de ciberseguridad: una crisis en el sector

El sector de la ciberseguridad enfrenta una grave crisis: la falta de trabajadores calificados. En junio de 2022, Fortune informó que las empresas están desesperadas por trabajadores en ciberseguridad. Cyber Seek enumera más de 714,000 empleos abiertos en ciberseguridad. Y se espera que la demanda de expertos en ciberseguridad aumente.

La Oficina de Estadísticas Laborales de Estados Unidos dice que aumentará un 33% desde 2020 hasta 2030, mucho más rápido que el promedio de todas las ocupaciones. Cybersecurity Ventures asegura que la situación es parte de una tendencia que comenzó en 2013. Desde entonces, el número de puestos de trabajo en ciberseguridad sin cubrir ha aumentado un 350%.

Para las empresas que buscan contratar profesionales en ciberseguridad, Newsmatic Premium ofrece un kit de contratación para ingenieros en ciberseguridad.

¿Quiénes se verán afectados por la falta de profesionales de seguridad?

La crisis afecta a todos los sectores. A través del Departamento de Seguridad Nacional (DHS), el gobierno de Estados Unidos lanzó en noviembre de 2021 el Sistema de Gestión del Talento en Ciberseguridad (CTMS, por sus siglas en inglés). El CTMS está diseñado para reclutar, desarrollar y retener a profesionales en ciberseguridad mediante la simplificación de los procesos de contratación y ofreciendo compensación competitiva y oportunidades de desarrollo profesional. El sector empresarial también está trabajando para cerrar la brecha, con empresas como Cyber Talent Institute, Sans Institute, Cybint y otras que emergen para responder a la crisis. En contraste, algunas empresas como Deloitte ofrecen capacitación y formación interna en ciberseguridad.

Un entorno de ciberseguridad cada vez más desafiante, el agotamiento de los trabajadores, el aumento de los ciberataques, la falta de diversidad y los largos años que lleva formar a un experto se reportan como los impulsores de la crisis. Sin embargo, algunos de estos factores pueden ser una cuestión de percepción.

¿Por qué es tan desafiante cubrir los roles de ciberseguridad?

Para comprender los desafíos, Newsmatic habló con Ning Wang, CEO de Offensive Security.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

“Como en muchos campos, lleva varios años convertirse en un experto en ciberseguridad. Sin embargo, hay muchos roles en ciberseguridad que no requieren de dos a cuatro años de formación", dijo Wang. Por ejemplo, los analistas de centros de operaciones de seguridad (SOC, por sus siglas en inglés) que trabajan en equipo para monitorear y contrarrestar amenazas, o los respondedores de incidentes, que crean planes de seguridad, políticas y protocolos. Por otro lado, otros trabajos como el de un probador de penetración, que simula ataques cibernéticos y busca vulnerabilidades y errores, requieren más tiempo de formación y a menudo se requiere experiencia.

Wang dice que la habilidad es una cuestión de percepción, y el tiempo que lleva para que una persona se convierta en un experto varía de caso en caso. "Me he encontrado con personas increíblemente comprometidas y motivadas que han logrado obtener nuestra certificación Offensive Security Certified Professional (OSCP) y conseguir un trabajo como probador de penetración en aproximadamente un año", agregó Wang.

¿Su consejo? Saber qué estudiar, cómo aprender, ser dedicado, encontrar mentores y buscar ayuda cuando sea necesario para lograr los objetivos. Wang también aconseja a las empresas encontrar a las personas adecuadas para capacitarlas y proporcionarles materiales de aprendizaje de calidad diseñados específicamente para sus caminos de aprendizaje.

"Todos aprendemos aplicando y haciendo, no solo observando y escuchando, por lo que el aprendizaje práctico es fundamental para la formación en ciberseguridad. Un programa de capacitación que reconozca e incorpore estos elementos logrará resultados más rápidos y mejores, acelerando así el proceso de formación", dijo Wang.

Los buenos expertos en ciberseguridad desarrollan habilidades de resolución de problemas basadas en hipótesis, descubren qué hacer cuando están atascados y aprenden cómo hacer algo con poco tiempo o recursos limitados.

Nuevas generaciones: brechas en la educación en ciberseguridad

Otro factor que se ha informado como impulsor de la crisis de la demanda de empleo es la falta de interés de las nuevas generaciones en la ciberseguridad. En 2018, un informe reveló que solo el 9% de los millennials están interesados en una carrera en ciberseguridad. Wang cree que esto es otra percepción errónea. Ella dice que las nuevas generaciones están interesadas pero aprenden de manera diferente.

Cómo proteger tu computadora de los virus: métodos y consejos

"La forma en que esta generación aprende es diferente. La capacidad de atención es más corta y la necesidad de gratificación instantánea es mucho mayor", dijo Wang. También señaló que las modalidades de capacitación deben cambiar para ser efectivas para las nuevas generaciones, que prefieren el video en lugar del texto y el contenido breve en lugar del largo.

"Necesitamos crear módulos de capacitación más cortos en los medios que las nuevas generaciones prefieren y desarrollar unidades de aprendizaje atómicas que brinden retroalimentación instantánea", dijo Wang. Ella aboga por la tecnología de transmisión para ayudar a los estudiantes a comprender cómo hackear y para que la educación se adapte a las preferencias de aprendizaje irreversibles.

¿Es la inteligencia artificial la solución a la falta de expertos en ciberseguridad?

Según un informe de Deloitte, las empresas recurren a la inteligencia artificial, el aprendizaje automático y las soluciones de seguridad automatizadas como multiplicadores de fuerza. Se están utilizando nuevas tecnologías de seguridad automatizadas para monitorear, escanear y responder a los ataques que afectan una superficie digital de ataque en constante expansión. Estas tecnologías han sido elogiadas como una solución para la escasez crónica de talento en ciberseguridad. A medida que las organizaciones aprovechan la tecnología de seguridad automatizada y los ataques evolucionan y aumentan, Wang dice que este enfoque podría no ir por el camino correcto por completo.

"Creo que es genial que las empresas estén desarrollando herramientas automatizadas para identificar vulnerabilidades y detectar actividades sospechosas. Sin embargo, no creo que estas herramientas automatizadas puedan cerrar la brecha no cubierta debido a la falta de expertos en seguridad, porque un algoritmo no puede pensar críticamente como lo hacen un hacker o un ser humano", explicó Wang.

Los modelos de aprendizaje automático pueden ser capaces de detectar inicios de sesión y actividades sospechosas, pero estas aplicaciones se construyen en base a datos existentes. A medida que los ataques y las vulnerabilidades evolucionan, presentan nuevos datos que no se tienen en cuenta en las aplicaciones de IA. Esto se conoce como un desvío en un modelo de aprendizaje automático. "No importa cuánto automatizemos, estas herramientas nos ayudan a identificar vulnerabilidades conocidas, pero no pueden ayudarnos a identificar los nuevos tipos de vulnerabilidades", explicó Wang.

Además, la gran mayoría de los ataques no logran vulnerar sistemas con codificación avanzada o forzarse a través de sistemas de seguridad altamente protegidos. Los ciberdelincuentes se han convertido en expertos en la naturaleza humana. Constantemente encuentran nuevas formas de engañar a los trabajadores para que respondan a un correo electrónico, hagan clic en un enlace o descarguen malware. Los expertos dicen que las empresas necesitan fortalecer el elemento humano de la ciberseguridad si quieren que sus operaciones sean más seguras.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

"Necesitamos personas reales que sean tan talentosas como los ciberdelincuentes, que puedan pensar como hackers, para identificar estos nuevos riesgos y mejorar y capacitar nuestras herramientas de IA y ML", dijo Wang.

Las principales organizaciones de ciberseguridad han comprendido esta realidad y muchas están luchando fuego con fuego. Los hackers éticos, los programas de recompensas y el enfoque de mentalidad de hacker están demostrando ser una estrategia ofensiva práctica contra los ataques modernos, como informó recientemente Newsmatic,

"Básicamente, la mejor manera de defenderse es conocer muy bien cómo se puede ser atacado. Desarrollar la mentalidad de hacker es esencial para tener éxito en la industria de la ciberseguridad. No se puede hacer este trabajo simplemente siguiendo una lista de tareas y marcando una serie de tareas", agregó Wang.

Contratar según aptitud y la capacidad de operar bajo presión

A pesar de las inversiones significativas en soluciones de ciberseguridad, el número de ataques no está disminuyendo. Las organizaciones que construyen equipos de seguridad todavía luchan por encontrar talento que responda a la elasticidad, adaptabilidad, resistencia y técnicas implacables de los ciberdelincuentes. Entonces, ¿qué deberían buscar las empresas al contratar talento en ciberseguridad?

Wang dice que los expertos en seguridad deben ser pensadores críticos y solucionadores de problemas creativos, con la tenacidad de no rendirse fácilmente. Deben tener la paciencia para estudiar, observar y sentirse cómodos resolviendo las cosas mediante ensayo y error. Estas aptitudes más innatas son mucho más complejas de enseñar que las habilidades informáticas necesarias para la ciberseguridad.

Según Wang, los gerentes deberían buscar seis atributos al contratarsegún aptitud:

Protege tus contraseñas con PAM: Tu aliado para la seguridad

• Curiosidad: Busca candidatos a los que les guste preguntar "¿Por qué?"
• Creatividad: Busca candidatos que encuentren formas innovadoras de resolver problemas y que no teman pensar fuera de la caja, como lo hacen los hackers.
• Determinación: Pregunta a los nuevos candidatos sobre los desafíos o fracasos que han superado. Alguien que logra metas superando obstáculos es una persona con determinación.
• Voluntad de trabajar duro: Ser inteligente y talentoso ayuda, pero no es suficiente para convertirse en un experto en ciberseguridad. El trabajo duro es necesario.
• Atención a los detalles: Se puede perder mucho tiempo cuando se cometen errores descuidados, especialmente al escribir código.
• Deseo de desarrollar habilidades y profundizar en la sabiduría: El conocimiento profundo permite a las personas forjar habilidades de reconocimiento de patrones, que es uno de los aspectos más fundamentales de la ciberseguridad.

Es importante que las empresas y los gerentes de contratación recuerden que muy pocos candidatos cumplirán todos los requisitos, por eso es importante contratar por potencial. "También hay algo muy gratificante en reconocer el talento y promoverlo a través de la capacitación. Aquellos con aptitud florecerán rápidamente y la empresa que los entrena será recompensada generosamente", dijo Wang.

El kit de contratación para ingenieros en ciberseguridad de Newsmatic Premium elimina parte de la incertidumbre al comenzar el proceso de contratación. Incluye una descripción del trabajo, rangos salariales, preguntas de entrevista y más. Haz clic aquí para descargar el kit de contratación.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a La falta de profesionales de ciberseguridad: una crisis en el sector , tenemos lo ultimo en tecnología 2023.