Gernot Krautberger - stock.adobe

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Gartner: Escasez de habilidades de ciberseguridad requiere un nuevo enfoque

En la Cumbre de Gestión de Riesgos y Seguridad de Gartner, los analistas discutieron el desafío de encontrar profesionales capacitados en ciberseguridad y cómo se puede resolver.

National Harbor, Md. – Mientras que la escasez de habilidades de seguridad cibernética continúa afectando a la industria, el «problema real» radica en cómo los líderes de seguridad están abordando el problema, dijo Sam Olyaei, director del grupo de gestión de riesgos y seguridad de Gartner.

«El problema es que nuestra mentalidad tiene que dejar de pensar en los roles abiertos que se pueden contratar en el mercado para optimizar realmente la función de seguridad de manera que realmente pueda ayudarlo a adquirir las competencias que necesitamos», dijo Olyaei a los asistentes durante una sesión en la Cumbre de Gestión de Riesgos y Seguridad de Gartner.

Según una encuesta de Gartner, el 61% de las organizaciones admitió que están luchando para contratar profesionales de seguridad.

La mayoría de las organizaciones luchan porque no saben qué habilidades de seguridad cibernética necesitan o ponen demasiado peso en las certificaciones, dijo Olyaei. No agregaron todo a una estrategia o marco de trabajo para averiguar qué necesitan, agregó.

«Tenemos que buscar técnicas alternativas y emergentes que podamos usar no solo para encontrar a estas personas, sino para construirlas», dijo.

Cuando se trata de roles de seguridad, dijo, hay una falta de estandarización en cuanto a títulos, nombres, terminología y, como resultado, una falta de trayectorias profesionales claras.

«El problema es que no hay una estandarización sobre lo que realmente significan estos títulos», dijo. «Un analista de respuesta a incidentes podría ser potencialmente un analista de seguridad de la información en otra organización. Un ingeniero de seguridad podría ser incluso un arquitecto de seguridad en otra organización».

Olyaei aconsejó a los profesionales de los programas de seguridad que elaboren un proceso de planificación de la estrategia que tenga en cuenta marcos como el marco de la fuerza laboral de ciberseguridad de la Iniciativa Nacional para la Educación en Ciberseguridad (NICE). El marco de la fuerza laboral de ciberseguridad de NICE está diseñado para introducir la estandarización en el aspecto de titulación de los roles de seguridad de la información y ciberseguridad, dijo.

«Eso lo ayudará a identificar las competencias, el conocimiento y los conjuntos de habilidades que podríamos necesitar en el futuro y, en última instancia, adelantar la curva al planear estas cosas hoy», dijo Olyaei.

También recomendó que los profesionales de seguridad utilicen títulos de trabajo atractivos que no solo se centran en el aspecto técnico del trabajo, sino que enfatizan las oportunidades para «desarrollarse y crecer» y «aprender y adaptarse», para ayudar a atraer al candidato adecuado.

Aconsejó invertir en plataformas de simulación de entrenamiento como un rango cibernético, que reproduce el entorno de una organización en un laboratorio, para desarrollar las habilidades de ciberseguridad necesarias para planificar y ejecutar una estrategia de negocio digital.

La automatización de la seguridad en la era de los negocios digitales

Los analistas de Gartner creen que un factor que contribuye a la escasez de habilidades de ciberseguridad son las rápidas transformaciones digitales que están experimentando muchas organizaciones. En la última encuesta de negocios digitales de la compañía, el 85% de las organizaciones informó haber seguido activamente estrategias de optimización digital y el 66% informó que estaba en el camino de la transformación digital.

Las tecnologías emergentes impactarán la seguridad y el riesgo directamente porque la rápida adopción de tecnologías emergentes está creando riesgos, dijo la directora de Gartner, Beth Schumaecker, durante la apertura de la conferencia.

«Tratamos de formar un equipo de administración de riesgos de seguridad que pueda enfrentar todas estas demandas y nos enfrentamos a la nueva realidad de que la transformación digital necesita nuevas habilidades de parte de nuestra gente de seguridad», dijo Schumaecker.

Dado el «apretado mercado laboral de seguridad», Schumaecker aconsejó a las organizaciones pensar en cómo implementar una estrategia de automatización adaptativa que les permita utilizar mejor a las personas y las habilidades que tienen.

Olyaei instó a los profesionales de la seguridad a descubrir habilidades y funciones que puedan automatizarse, y cuáles pueden ser subcontratadas a un proveedor de servicios de seguridad administrados o proveedores de servicios de detección y respuesta administrados.

«Si tiene funciones repetitivas en sus organizaciones hoy, debería buscar automatizar eso de inmediato», dijo. «Aproveche lo que le rodea en términos de tecnologías, conjuntos de herramientas, capacidades, técnicas y, en última instancia, incluso de personas externas».

Los líderes de seguridad también deberían alejarse de un enfoque en silos hacia la ciberseguridad, dijo, porque no funcionará en la seguridad digital ni en las plataformas de negocios digitales.

«Si bien los analistas de seguridad de la información de hoy en día probablemente se centren más en el día a día operativo, cosas como la administración de registros, el monitoreo o la protección de puntos finales, empezará a ver un enfoque con menos silos a medida que pasa a lo digital», dijo. «Muchas veces las organizaciones intentan romper los silos para que tengan personas más versátiles que puedan llegar a las mismas conclusiones».

Las empresas digitales requieren competencias digitales

Adoptar las tecnologías digitales para brindar un nuevo valor y una ventaja competitiva a la empresa también requiere el desarrollo de competencias digitales, según los analistas de Gartner. Los CISO y los líderes de riesgos de seguridad necesitan contratar personas con competencias digitales.

La adaptabilidad es una habilidad de seguridad clave en la era digital, dijo Olyaei.

«Este es alguien que demuestra flexibilidad, agilidad y la capacidad de responder de manera efectiva a las diferentes demandas», dijo.

La capacidad empresarial, la destreza digital, el impulso hacia los resultados, la colaboración y la sinergia son otras competencias digitales clave que los profesionales de seguridad requieren hoy en día, dijo.

El impulso hacia el negocio digital también creará demanda de nuevas habilidades, dijo. Si bien los principales roles de seguridad actualmente en demanda incluyen analista de seguridad de la información y analista de vulnerabilidad/probador de penetración, Olyaei predijo que eso va a cambiar en los próximos años.

«Un probador de penetración, por ejemplo, se mide en función de si pueden o no ingresar en un entorno, el sistema y las aplicaciones de red, etc., y si pueden encontrar o no vulnerabilidades originales», dijo. «Estamos empezando a ver cómo cambia el rol de un examinador de pentración e intentar averiguar si realmente se puede atrapar a un atacante o no en el proceso de usar una vulnerabilidad para infiltrarse en el sistema o el entorno».

A medida que las organizaciones comienzan a madurar, dijo, la demanda del rol de analista de seguridad técnica también disminuirá.

«Muchas de las funciones que debe realizar este analista de seguridad técnica se han subcontratado, automatizado o en muchos casos se incluyen en una función de seguridad común que esta persona debe realizar», dijo Olyaei.

Algunos de los roles emergentes que los CISOs y los CIOs, y los líderes de seguridad y riesgos deben seguir son el director de riesgos digitales, el científico de seguridad de datos, el campeón de seguridad, el administrador de ecosistemas digitales y el director de personal.

«Estos cinco roles se perfilan como una especie de puente entre la seguridad de la información y la seguridad digital... que lo lleva a ese enfoque tradicional de confidencialidad, integridad y capacidad, para centrarse más en la privacidad, la seguridad y la resistencia», dijo.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close