Las conversaciones actuales sobre la escasez de talento en ciberseguridad están generando actividad pero resultados limitados. Es raro que pase una semana sin que suene otro artículo, estudio o hilo amplificado en las redes sociales lamentando la crisis. Las ofertas de trabajo de nivel inicial tienen requisitos inalcanzables para los unicornios por una remuneración inferior a la del mercado, los solicitantes tienen expectativas poco razonables de lo que harán en su primer año después de la universidad y el cambio de trabajo y el agotamiento continúan junto con el mercado de trabajo técnico más amplio. Mientras tanto, las universidades, los aceleradores y los programas de tutoría han aprovechado esta oportunidad de mercado y están canalizando más talento "capaz de lograr un propósito" al mercado que nunca antes, a menudo con la promesa de una creciente demanda de sus habilidades en una carrera "emocionante y lucrativa". El mercado de talentos debería estar dando señales de corrección dada la atención y la inversión que ha recibido durante años, pero según la mayoría de los informes no es así.
Este es un problema existencial en materia de seguridad porque, si bien la tecnología desempeña un papel fundamental a la hora de proporcionar soluciones novedosas y más eficientes a los programas de seguridad, la capacidad de un programa de seguridad para evaluar, invertir en y poner en funcionamiento esas tecnologías depende de la disponibilidad de personal calificado en los puestos adecuados. Los proveedores de tecnología y seguridad han superado al mercado, ofreciendo mayores avances cada año que requieren una mayor inversión por parte de los clientes que luchan por mantener el talento y mantenerse al día con la expansión tecnológica. Esto se ve suavizado por la tendencia constante de los proveedores de seguridad a ofrecer servicios administrados incluidos en sus productos, operacionalizando sus ofertas para los clientes de manera inmediata y rentable en beneficio de ambas partes. Sin embargo, la empresa aún enfrenta el desafío de racionalizar estas inversiones y reevaluar continuamente la cobertura a medida que su entorno evoluciona, lo que requiere experiencia incluso si se trata solo de un pequeño equipo de seguridad que administra un programa compuesto completamente de servicios administrados.
Si bien los chistes macabros sobre el “líder de seguridad con estrés insalubre que nunca duerme” todavía suenan ciertos, rara vez son los actores de amenazas avanzadas o las tramas de Hollywood los que impiden el sueño. Se trata de cuestiones humanas como si el equipo está bien, si tienen lo que necesitan, si las personas adecuadas están en los roles adecuados, qué nuevos roles o personas se necesitan, la credibilidad del equipo con las organizaciones pares, la credibilidad del líder con sus pares ejecutivos, y así sucesivamente. Este es un costo de liderazgo, no se limita al liderazgo en seguridad. Va en contra de la narrativa del mercado y sorprende a la gente cuando les digo que veo con más frecuencia a líderes de seguridad recomendándose entre sí libros de negocios y gestión que libros técnicos o de seguridad. Sí, hay debates sobre la última infracción publicitada o sobre cómo los colegas están resolviendo problemas técnicos, pero hay un entusiasmo igual o mayor por compartir un nuevo proceso, estructura de equipo o método de comunicación que tuvo éxito.
Tenemos una escasez de habilidades y liderazgo en seguridad, no una escasez más amplia de talento en seguridad. Esto está frenando la amplia corrección del mercado de talentos de seguridad que debemos ver para lograr una mayor resiliencia en todas las empresas, no solo en los silos tradicionales de los programas de seguridad del 1%. Por ejemplo:
En los últimos 5 años hemos visto avances en el aumento del rol ejecutivo de los líderes de seguridad en los negocios impulsados por la regulación, una ola de gasto corporativo en tendencias tecnológicas como código abierto y la nube y traiga su propio dispositivo, un negocio de ransomware en auge y un manejo indebido de datos de alto perfil y prácticas inseguras por parte de administradores de datos corporativos. Esto recuerda la progresión que atravesaron las empresas con sus líderes financieros después de que se promulgó la ley Sarbanes-Oxley (SOX) en respuesta a escándalos corporativos y financieros de alto perfil, elevando su punto de vista único en la alta dirección y la sala de juntas. Las medidas implementadas en el ámbito de la seguridad aún no han alcanzado el rigor de la SOX. Los próximos dos años serán reveladores sobre si el progreso de los líderes en seguridad continúa, impulsado por la continua expansión global de las regulaciones de seguridad y privacidad y la atención de las juntas directivas, o si se desacelera o se revierte, a medida que el clima macroeconómico obliga a las empresas a reevaluar sus inversiones en tecnología y seguridad.
Si repetimos la historia, es probable que haya una desaceleración o una reversión, ya que las inversiones de las empresas en seguridad y protección suelen correlacionarse con las condiciones del mercado, a pesar de que sus impactos normalmente no están correlacionados. Un ejemplo de esta asimetría es que los presupuestos de los defensores se reducen en función de los ingresos o ganancias de la empresa, lo que puede ser razonable (responsabilidad fiduciaria), pero la financiación y los incentivos de los atacantes no. El elefante en la habitación es que esto sucedería mientras la definición de roles de los líderes de seguridad, la responsabilidad corporativa y la responsabilidad personal están siendo examinadas públicamente. Es razonable esperar que un cierto porcentaje de líderes de seguridad opten por abandonar la empresa o el puesto si una desaceleración o reversión se ve agravada por respuestas indeseables a estas preguntas, lo que empeora la escasez de liderazgo en seguridad y tiene un efecto dominó en el grupo más amplio de talentos de seguridad. Los líderes de seguridad y sus empresas deberían tomarse el trabajo de discutir estos desafíos ahora, no cuando los vientos en contra son más fuertes, para entender cómo pueden evolucionar el rol y la organización del liderazgo en seguridad y qué significa eso para la sustentabilidad del programa y su gente.