No faltan personas con habilidades de ciberseguridad; escasea la creatividad en la gestión en opinión de Lamont Orange, CISO de Netskope

Los que leemos muchas publicaciones tecnológicas y de negocio llevamos años oyendo hablar del déficit de habilidades en ciberseguridad. Los estudios suelen afirmar que hay millones de puestos de trabajo sin cubrir porque no hay suficientes candidatos cualificados disponibles para ser contratados. ¡Difiero de esta idea! No faltan personas con habilidades de ciberseguridad; escasea la creatividad en la gestión

Las leyes básicas de la oferta y la demanda implican que siempre habrá personas en la población activa dispuestas a ocupar puestos de trabajo de seguridad bien remunerados. El problema, por tanto, no es que no existan esos trabajadores, sino que los CIOs o CISOs suelen descartar sus currículos si estos no destacan en ellos una lista muy específica de sus cualificaciones. En muchos casos, los responsables de contratación esperan que los candidatos estén completamente formados en todas las tecnologías que su organización utiliza actualmente, lo que no solo dificulta la búsqueda de candidatos cualificados, sino que también reduce la diversidad de experiencia dentro de los equipos de seguridad, lo que, en última instancia, puede debilitar las capacidades de seguridad de la empresa y su talento.

Los CISOs que exigen habilidades técnicas específicas en los candidatos a un puesto de trabajo, expresan su decepción por la ausencia de currículos que cumplan esos requisitos, están creando en realidad el “vacío de habilidades».

Para nosotros hay dos rasgos que consideramos más importantes que la experiencia técnica específica. Uno es el deseo de aprender más sobre seguridad, lo que sugiere que la persona tomará la iniciativa de mejorar continuamente sus habilidades, el otro es tener un conjunto de habilidades que nadie más en nuestro departamento de seguridad tenga.

El énfasis excesivo en las habilidades técnicas crea una escasez artificial de talento

Incluso las tecnologías de seguridad más básicas son increíblemente dinámicas. En la mayoría de las empresas, la infraestructura de TI se encuentra actualmente en medio de una transición masiva de sistemas locales a sistemas basados en la nube. Por tanto, los equipos humanos de seguridad siempre tendrán que aprender nuevas tecnologías.

En este sentido, los CISOs que exigen habilidades técnicas específicas en los candidatos a un puesto de trabajo, que luego expresan su decepción por la ausencia de currículos que cumplan esos requisitos, están creando en realidad el “vacío de habilidades». Su estrecho enfoque a la hora de contratar no les está haciendo ningún favor a largo plazo.

La experiencia en ciberseguridad va más allá de lo técnico

Un enfoque mejor es considerar a los candidatos que tienen poca experiencia en seguridad. Puede que sus conocimientos no coincidan con los que figuran en la descripción de un puesto de trabajo de seguridad, pero pueden aportar una nueva perspectiva que haga que el grupo de seguridad sea aún más eficaz.

La ciberseguridad no es solo un inconveniente de ingeniería aislado en los diagramas de flujo de una pizarra. Es un problema de negocio que requiere una comunicación regular y bidireccional con la alta dirección, las partes interesadas y el consejo de administración. Esto explica por qué incluso algunos CISOs carecen de una larga formación técnica. Además, la política de seguridad mejor diseñada del mundo es inútil a menos que los empleados de todos los niveles de la organización estén convencidos de cumplirla.

No faltan personas con habilidades de ciberseguridad; escasea la creatividad en la gestión

Por tanto, todos los departamentos de ciberseguridad deberían incluir a alguien con excepcionales habilidades de comunicación, que entienda cómo vender los conceptos de seguridad a personas menos técnicas. Incluir esta perspectiva no tradicional en ese grupo de trabajo puede aumentar en gran medida el cumplimiento de los controles en toda la empresa. Del mismo modo, perfiles de negocio y financieros pueden aportar habilidades complementarias al personal de seguridad.

Qué buscar al contratar

En definitiva, a la hora de contratar, la prioridad debe ser mejorar la diversidad de sus habilidades como grupo. Los responsables de contratación deben buscar candidatos que realmente comprendan los factores que impulsan su negocio y cuyos conocimientos fuera de la ciberseguridad complementen su conjunto de habilidades existente.

Al adoptar esta perspectiva más amplia en la contratación de ciberseguridad, se aumenta la diversidad dentro del equipo. De hecho, la diversidad es un valor fundamental; desde el CEO hasta las primeras líneas. Con ello una organización tendrá más éxito y será más resiliente como organización si incluyen profesionales con una amplia gama de perspectivas.

Por último, dicha diversidad será el último paso en la transformación digital. Muchos departamentos de seguridad están lidiando con la evolución de sus controles para reflejar los cambios en su organización. Tendrán más posibilidades de completar esta transición y mantener los recursos seguros en la nube si también modifican la propia sección de seguridad.