El 25% de los líderes en ciberseguridad abandonarán el campo para 2025 debido a la presión laboral

Es bien sabido que el campo de la ciberseguridad enfrenta vacantes y una brecha de habilidades. Desafortunadamente, el alivio puede no llegar pronto, si se cumplen las predicciones de la firma de investigación Gartner de que hasta una cuarta parte de los líderes de seguridad abandonarán por completo el campo de la ciberseguridad para 2025 debido a las presiones laborales.

El 25% de los líderes en ciberseguridad abandonarán el campo para 2025 debido a la presión laboral - Tecnología y trabajo | Imagen 1 Newsmatic

En un nuevo informe, la firma predice que casi la mitad de los líderes de ciberseguridad cambiarán de trabajo, y que para 2025, la falta de talento o fallas humanas serán responsables de más de la mitad de los incidentes cibernéticos significativos.

Índice de Contenido
  1. No preguntes a los empleados de ciberseguridad "¿Por qué tan serios?"
  2. Los equipos de ciberseguridad infravalorados en las empresas que avanzan rápidamente y rompen cosas
  3. Aumento del riesgo interno con la insatisfacción y la "rotación de talento"
  4. Taxonomía de las amenazas internas y cómo lidiar con ellas
    1. 3 tipos de actores de amenazas
    2. Secuencia de ataques de amenazas internas
    3. Contrarrestar las amenazas internas
  5. Los humanos: la causa y el blanco

No preguntes a los empleados de ciberseguridad "¿Por qué tan serios?"

Deepti Gopal, analista de director de Gartner, dijo que los líderes de ciberseguridad están quemando las velas por ambos extremos para equilibrar las necesidades tecnológicas, las necesidades comerciales y las necesidades ambientales con el fin de mantener o mejorar la seguridad de su organización.

"Mientras están en la prisa por lograr esto, están realmente muy estresados", dijo Gopal. "Si observas de cerca el mundo de hoy, el entorno de trabajo híbrido lo es todo; eso también impacta a los líderes de ciberseguridad, agregando complejidad a su trabajo y a la forma en que elaboran estrategias".

Agregó que la "armonización de la vida laboral" adoptada por TI equivale a disolver la membrana entre el trabajo y el no trabajo, especialmente porque el trabajo y el hogar están en el mismo lugar.

No te tienes que QUEDAR como gerente: un caso de estudio

"Si escuchas a los líderes de ciberseguridad, escucharás cosas como 'Comienzo mi día con trabajo, correos electrónicos, alertas y café' y 'Trabajo con un grupo de Estrellas que siempre están disponibles'", dijo Gopal. "No se quejan de la carga de trabajo. Todos estos son elementos que indican la presencia de un alto estrés, alta demanda.1- Espera Gopal. "Pero, hay una pérdida de control o la incapacidad de tener una sensación de control sobre el estrés relacionado con el trabajo: la incapacidad de proteger su tiempo para las cosas que más importan. Me gusta pedirles a los líderes que anoten las cosas que absolutamente deben hacer la próxima semana y luego miren sus calendarios, la mayoría de las veces me dicen que no han reservado tiempo para las tareas en su lista!"

Los equipos de ciberseguridad infravalorados en las empresas que avanzan rápidamente y rompen cosas

La investigación de Gartner muestra que los programas de ciberseguridad centrados en el cumplimiento, la baja 2- apoyo ejecutivo y la seguridad a nivel de la industria por debajo del promedio son todos indicadores de una organización que no ve la gestión de riesgos de seguridad como clave para el éxito empresarial. Gopal dijo que es probable que estas organizaciones vean cómo los profesionales de la ciberseguridad se van a trabajar para empresas donde son más valorados, donde su impacto se siente y se valora.

"Cuando la organización tiene prisa por avanzar rápidamente, habrá situaciones en las que la seguridad no sea una prioridad; eso es algo que debe cambiar", dijo Gopal. "Necesitamos ver la ciberseguridad como algo intrínseco al diseño digital".

Aumento del riesgo interno con la insatisfacción y la "rotación de talento"

Paul Furtado, vicepresidente analista de Gartner, dijo que la rotación de talento de profesionales de la ciberseguridad o de otros profesionales de TI podría constituir su propio problema de seguridad, ya que plantea el espectro de comportamientos incorrectos internos.

"La fuerza laboral de ciberseguridad es un microcosmos de la sociedad y está compuesta por individuos que responden de manera diferente a diferentes estímulos de estrés", dijo Furtado. "Para algunos, dejarán su trabajo sin problemas ni interrupciones.

"Otros pueden sentir que los artefactos que han creado o contribuido son su propiedad intelectual personal y, por lo tanto, se llevan una copia. Algunos pueden sentir que quieren extraer algunos datos que pueden ayudarles en su próximo trabajo con otro empleador".

Cómo tener éxito en una entrevista de trabajo para encontrar empleo freelance

Y luego está la posibilidad, más remota quizás, de que las personas, sin importar dónde se encuentren en la organización, vayan más allá del robo para cometer actos de sabotaje o interrupción de sistemas o datos.

"La realidad es que los líderes de seguridad deben estar preparados para cada una de estas situaciones; hay numerosos ejemplos en los que se han producido estos comportamientos", dijo Furtado. "Lo aterrador: en algunos casos, los involucrados no esperarán un despido o una renuncia para comenzar algunos de estos comportamientos.

"Prepararse para gestionar el riesgo interno es fundamental para evitar que se convierta en un evento real de amenaza interna".

Gartner predice que para 2025 la mitad de las medianas y grandes empresas adoptarán programas para lidiar con el riesgo interno, frente al 10% actual.

Taxonomía de las amenazas internas y cómo lidiar con ellas

Furtado dijo que las actividades de amenazas internas típicamente giran en torno a:

  • Phishing.
  • Mala representación.
  • Robo financiero y otras formas de malversación, como el fraude de gastos.
  • Exfiltración o visualización de datos no autorizados.
  • Sabotaje del sistema que involucra malware, ransomware, bloqueo de cuentas y eliminación de datos.

3 tipos de actores de amenazas

Identifica tres tipos de actores:

Cómo gestionar la llegada de un nuevo supervisor
  • Usuarios descuidados: Exponen accidentalmente datos sensibles y/o propietarios, incluidos errores y configuraciones incorrectas.
  • Usuarios malintencionados: Sabotaje intencional o robo de datos por motivos personales o ganancia financiera.
  • Credenciales comprometidas: Credenciales explotadas por alguien fuera de la organización con el fin de robar datos y/o sabotear.

Secuencia de ataques de amenazas internas

Según Furtado, las taxonomías de los ataques internos muestran que muchos exploits determinados y planificados siguen esta secuencia:

  1. El actor comete un error genuino y lo corrige.
  2. Cuando no se experimentan consecuencias, el actor prueba si el error se puede repetir a voluntad.
  3. Se alcanza el punto crítico cuando una combinación de factores estresantes laborales, factores estresantes personales y defectos de carácter permite que el actor racionalice el comportamiento perjudicial como merecido, al servicio de una causa superior, etc.

Contrarrestar las amenazas internas

Para contrarrestar este riesgo, Furtado aconseja a las organizaciones:

  • Regla del tres: Implementar la "regla del tres" para mitigar el riesgo utilizando eficazmente los recursos limitados de seguridad. Furtado dijo que esto implica disuadir a las personas para que no quieran actuar en primer lugar, detectar la actividad y interrumpir el esfuerzo.
  • Cultura de seguridad: Establecer una cultura de seguridad en toda la empresa mediante el desarrollo de un programa formal de riesgo interno alineado con las áreas clave de la organización (especialmente recursos humanos y legal).
  • Gobernanza social y de riesgos: Mitigar el riesgo interno mediante la implementación de tecnologías de comportamiento, medición de riesgos y buenas prácticas de gobernanza.

Figura A

El 25% de los líderes en ciberseguridad abandonarán el campo para 2025 debido a la presión laboral - Tecnología y trabajo | Imagen 2 Newsmatic

Los humanos: la causa y el blanco

Gartner predice que para 2025, la falta de talento o el fracaso humano serán responsables de más de la mitad de los incidentes cibernéticos significativos, debido en parte a los ataques de ingeniería social cada vez más frecuentes y la falta de higiene de datos. Sin embargo, los datos de la firma también sugieren que la percepción del riesgo por parte de los empleados puede no reflejar los peligros claros y presentes de la ciberseguridad. En tal caso, la orientación de arriba hacia abajo puede tener poco valor.

La primavera pasada, cuando Gartner encuestó a unos 1.300 empleados, el 69% de ellos dijo que habían pasado por alto las pautas de ciberseguridad de su organización en los últimos 12 meses, y el 74% dijo que estaría dispuesto a pasar por alto las pautas de ciberseguridad si eso les ayudaba a ellos o a su equipo a alcanzar un objetivo comercial.

Cómo dar responsabilidad con autoridad a tus empleados para mejorar su satisfacción y productividad

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Tecnología y trabajo, allí encontraras muchos artículos similares a El 25% de los líderes en ciberseguridad abandonarán el campo para 2025 debido a la presión laboral , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.