Replanteando la escasez de talento en ciberseguridad

Las conversaciones actuales sobre la escasez de talento en ciberseguridad están generando actividad pero resultados limitados. Es raro que pase una semana sin que suene otro artículo, estudio o hilo amplificado en las redes sociales lamentando la crisis. Las ofertas de trabajo de nivel inicial tienen requisitos inalcanzables para los unicornios por una remuneración inferior a la del mercado, los solicitantes tienen expectativas poco razonables de lo que harán en su primer año después de la universidad y el cambio de trabajo y el agotamiento continúan junto con el mercado de trabajo técnico más amplio. Mientras tanto, las universidades, los aceleradores y los programas de tutoría han aprovechado esta oportunidad de mercado y están canalizando más talento "capaz de lograr un propósito" al mercado que nunca antes, a menudo con la promesa de una creciente demanda de sus habilidades en una carrera "emocionante y lucrativa". El mercado de talentos debería estar dando señales de corrección dada la atención y la inversión que ha recibido durante años, pero según la mayoría de los informes no es así.

Este es un problema existencial en materia de seguridad porque, si bien la tecnología desempeña un papel fundamental a la hora de proporcionar soluciones novedosas y más eficientes a los programas de seguridad, la capacidad de un programa de seguridad para evaluar, invertir en y poner en funcionamiento esas tecnologías depende de la disponibilidad de personal calificado en los puestos adecuados. Los proveedores de tecnología y seguridad han superado al mercado, ofreciendo mayores avances cada año que requieren una mayor inversión por parte de los clientes que luchan por mantener el talento y mantenerse al día con la expansión tecnológica. Esto se ve suavizado por la tendencia constante de los proveedores de seguridad a ofrecer servicios administrados incluidos en sus productos, operacionalizando sus ofertas para los clientes de manera inmediata y rentable en beneficio de ambas partes. Sin embargo, la empresa aún enfrenta el desafío de racionalizar estas inversiones y reevaluar continuamente la cobertura a medida que su entorno evoluciona, lo que requiere experiencia incluso si se trata solo de un pequeño equipo de seguridad que administra un programa compuesto completamente de servicios administrados.

Si bien los chistes macabros sobre el “líder de seguridad con estrés insalubre que nunca duerme” todavía suenan ciertos, rara vez son los actores de amenazas avanzadas o las tramas de Hollywood los que impiden el sueño. Se trata de cuestiones humanas como si el equipo está bien, si tienen lo que necesitan, si las personas adecuadas están en los roles adecuados, qué nuevos roles o personas se necesitan, la credibilidad del equipo con las organizaciones pares, la credibilidad del líder con sus pares ejecutivos, y así sucesivamente. Este es un costo de liderazgo, no se limita al liderazgo en seguridad. Va en contra de la narrativa del mercado y sorprende a la gente cuando les digo que veo con más frecuencia a líderes de seguridad recomendándose entre sí libros de negocios y gestión que libros técnicos o de seguridad. Sí, hay debates sobre la última infracción publicitada o sobre cómo los colegas están resolviendo problemas técnicos, pero hay un entusiasmo igual o mayor por compartir un nuevo proceso, estructura de equipo o método de comunicación que tuvo éxito.

Tenemos una escasez de habilidades y liderazgo en seguridad, no una escasez más amplia de talento en seguridad. Esto está frenando la amplia corrección del mercado de talentos de seguridad que debemos ver para lograr una mayor resiliencia en todas las empresas, no solo en los silos tradicionales de los programas de seguridad del 1%. Por ejemplo:

• La creciente demanda de talentos de seguridad de nivel inicial solo se puede aprovechar con un retorno positivo si existen líderes capaces de reconocer y desarrollar ese talento. Esto es especialmente crítico ya que muchos profesionales en sus inicios y mediados de carrera en campos paralelos están interesados en orientar sus carreras hacia la seguridad, lo que proporciona un grupo de talentos más amplio y con mayor madurez en el lugar de trabajo.
• Solo se debe permitir que el programa de seguridad crezca si puede racionalizarse dentro del contexto del negocio para permitir y contribuir a su éxito, lo que requiere una comprensión del negocio y habilidades de comunicación más amplias que las que generalmente se esperan de un líder de dominio profundo encasillado. El programa y su eficacia quedan limitados sin estas capacidades.
• Es más probable que los colaboradores individuales de nivel medio y superior de calidad se sientan atraídos por un líder empático que esté desarrollando un programa con la visión de prepararlos para el éxito dentro del negocio, y no que se dejen llevar reactivamente por los incendios y la publicidad exagerada para construir otra "Oficina de Aceptación de Riesgos". Es necesario contar con diversidad de responsabilidades y antigüedad para el trabajo del equipo, pero también para orientar y ayudar a desarrollar el talento joven. El líder de seguridad no debería hacer esto solo, especialmente a medida que el programa escala.
• Una vez que la organización de seguridad mantenga talento de nivel junior, medio y senior sin renovarlo demasiado, surgirán nuevas oportunidades. Una organización sustentable puede comenzar a buscar de manera oportunista talentos con habilidades avanzadas y especializadas a medida que su organización madura y se acerca a ser un “1%”. Los profesionales experimentados con habilidades como seguridad de aplicação y de la nube, y búsqueda y modelado de amenazas seguirán siendo escasos hasta que esta búsqueda más amplia de talentos produzca dichos profesionales.

En los últimos 5 años hemos visto avances en el aumento del rol ejecutivo de los líderes de seguridad en los negocios impulsados por la regulación, una ola de gasto corporativo en tendencias tecnológicas como código abierto y la nube y traiga su propio dispositivo, un negocio de ransomware en auge y un manejo indebido de datos de alto perfil y prácticas inseguras por parte de administradores de datos corporativos. Esto recuerda la progresión que atravesaron las empresas con sus líderes financieros después de que se promulgó la ley Sarbanes-Oxley (SOX) en respuesta a escándalos corporativos y financieros de alto perfil, elevando su punto de vista único en la alta dirección y la sala de juntas. Las medidas implementadas en el ámbito de la seguridad aún no han alcanzado el rigor de la SOX. Los próximos dos años serán reveladores sobre si el progreso de los líderes en seguridad continúa, impulsado por la continua expansión global de las regulaciones de seguridad y privacidad y la atención de las juntas directivas, o si se desacelera o se revierte, a medida que el clima macroeconómico obliga a las empresas a reevaluar sus inversiones en tecnología y seguridad.

Si repetimos la historia, es probable que haya una desaceleración o una reversión, ya que las inversiones de las empresas en seguridad y protección suelen correlacionarse con las condiciones del mercado, a pesar de que sus impactos normalmente no están correlacionados. Un ejemplo de esta asimetría es que los presupuestos de los defensores se reducen en función de los ingresos o ganancias de la empresa, lo que puede ser razonable (responsabilidad fiduciaria), pero la financiación y los incentivos de los atacantes no. El elefante en la habitación es que esto sucedería mientras la definición de roles de los líderes de seguridad, la responsabilidad corporativa y la responsabilidad personal están siendo examinadas públicamente. Es razonable esperar que un cierto porcentaje de líderes de seguridad opten por abandonar la empresa o el puesto si una desaceleración o reversión se ve agravada por respuestas indeseables a estas preguntas, lo que empeora la escasez de liderazgo en seguridad y tiene un efecto dominó en el grupo más amplio de talentos de seguridad. Los líderes de seguridad y sus empresas deberían tomarse el trabajo de discutir estos desafíos ahora, no cuando los vientos en contra son más fuertes, para entender cómo pueden evolucionar el rol y la organización del liderazgo en seguridad y qué significa eso para la sustentabilidad del programa y su gente.