Cómo Resolver la Escasez de Habilidades de Ciberseguridad

Cómo Resolver la Escasez de Habilidades de Ciberseguridad

Todos hemos leído y escuchado en alguna parte sobre la escasez de habilidades de ciberseguridad. Para mí, esto plantea la cuestión de cómo resolver la escasez de habilidades de ciberseguridad.

En mi vida, aprendí que cada problema tiene una solución. La solución de la escasez de habilidades de ciberseguridad no debería ser diferente. Es solo cuestión de darle una perspectiva y ser creativo.

Esta creatividad solo funciona si está dispuesto a esforzarse en aplicar la solución que requiere este problema.

No se puede resolver y cerrar la brecha para la escasez de habilidades de ciberseguridad de la manera tradicional como: con la educación tradicional y la formación de empleados; creando un currículo de estudios en una universidad, capacitando a una persona sobre cómo “hacer” o “trabajar” en ciberseguridad, presentando una solicitud para un trabajo de ciberseguridad, luego contratar al candidato seleccionado para cubrir el puesto.

Simplemente, no ha funcionado hasta ahora y no funcionará nunca.

Dejen de tratar esta profesión como una oportunidad de educación masiva rentable como cualquier otra profesión. Nuevamente, no funcionará.

Esta es una profesión que requiere un nivel de comprensión que los profesionales habituales no obtienen. Me refiero a las personas del departamento de recursos humanos, algunos altos ejecutivos tradicionales que no lo entienden y los empleados, que piensan que esto se puede resolver lanzando la estructura tradicional de contratación de recursos humanos.

Te vuelvo a decir que no funcionará. Lo sé porque no ha funcionado y la brecha existe hoy en día.

En la metodología científica, aprendí que si aplica un marco a un objeto para cambiar un contenido y luego falla, entonces cambie el marco, no el objeto. Este pensamiento fue ejemplificado por un viejo refrán que dice “solo la estupidez puede hacerte pensar que puedes obtener resultados diferentes haciendo lo mismo una y otra vez”.

Cambiando el marco

Estas son las formas que propongo aquí sobre cómo podemos cerrar la brecha en la escasez de habilidades de seguridad cibernética, lo cual que funcionó para mí.

¿Cómo pueden las empresas, grandes o pequeñas, hacer su parte?

Algunas empresas incurren en el robo de empleados y de los mejores talentos de otras compañías, lo que contribuye a la falta de iniciativa para cerrar la brecha de escasez de habilidades de ciberseguridad. Solo pregúntale a cualquier Headhunter. Su trabajo no es contribuir a cerrar la brecha de habilidades de ninguna profesión. Su trabajo es resolver una necesidad a corto plazo.

Ellos han robado empleados que mi compañía ha invertido tiempo y recursos en ellos. Algunos se fueron y volvieron a mí porque pensaron que la grama era más verde en el otro lado, mientras que otros se fueron para siempre. Esta es una realidad del mercado de trabajo para especialidades de nicho como la ciberseguridad y el personal de Sistemas de Información capacitado en áreas de específicas.

No tengo nada en contra de Headhunters. Me han contactado varias veces para ver si quería trabajar con otras compañías y me mantuvieron al tanto de las necesidades a corto plazo de los demás. Solo están haciendo su trabajo.

Aquí hay algunas ideas que he implementado y trabajado para mí sobre cómo las empresas que necesitan personal de ciberseguridad pueden participar para cerrar la brecha de escasez de habilidades de ciberseguridad.

Creando alianzas con universidades comunitarias

Existen institutos de educación superior que ofrecen títulos en redes de Sistemas de Información o seguridad o títulos similares, lo que sirve como un precursor y una gran base de referencia educativa para comprender el trabajo de un especialista en ciberseguridad. No habría un especialista en ciberseguridad sin entender estos conceptos básicos de Sistemas de Información.

En general, a estos institutos de educación superior les gusta crear alianzas con compañías que estén dispuestas a proporcionar la experiencia práctica para que estos estudiantes practiquen.

Compartiendo mi experiencia

Por ejemplo, la empresa de manufactura farmacéutica con la que trabajaba tenía alianzas con varios colegios comunitarios para proporcionar esta experiencia práctica a estos estudiantes.

Al crear esta alianza, vi la oportunidad de cerrar la brecha de habilidades en mi compañía. Debido a que mi empresa crecía a un ritmo acelerado debido a la demanda en los productos que estábamos fabricando, se nos exigía que creciéramos nuestro personal interno de Sistemas de Información y nuestras habilidades al mismo ritmo, lo cual era un desafío.

El desafío de hacer crecer nuestro personal interno ya establecido de Sistemas de Información era una cosa, pero conseguir personal adicional de Sistemas de Información con habilidades específicas era otra. Como una industria altamente regulada que éramos, se requirió que mis empleados tuvieran las habilidades más conocidas por el personal de Sistemas de Información y algo más.

Se requerían habilidades especializadas debido a la industria en la que estábamos y también debido al nivel de personalización de algunos equipos y procesos que ninguna universidad podría enseñar a administrar y usar, por lo tanto, el desafío de adquirir personal de Sistemas de Información con estas habilidades.

La manera en que se cerró la brecha de habilidades en mi empresa para el soporte de Nivel 2 y superior en parte fue tomar a los estudiantes de estas universidades comunitarias y capacitarlos con las habilidades que necesitábamos. Estos estudiantes se prepararon en su universidad con los conjuntos de habilidades necesarios de Sistemas de Información de Redes y Seguridad, y me ocupé de proporcionar una capacitación más profunda a los estudiantes que sabía que podrían realizar el trabajo. Yo lo llamo un ganar-ganar.

Esta es la forma en que contribuí a cerrar la brecha de escasez de habilidades en mi empresa.

Hubo varios beneficios de implementar este programa desde una perspectiva de gerencial.

La forma en que vendí la alianza a la alta gerencia fue explicando los beneficios de adquirir estos empleados especialmente capacitados para satisfacer los requisitos de habilidades de nuestra compañía y, por la misma razón, expliqué cuánto estábamos ahorrando en nuestro presupuesto salarial contratando a estos estudiantes adiestrados por mi equipo y con exelentes resultados.

Lo comparé con la práctica en la industria del robo de empleados, cuando usualmente se le ofreze a este empleado más bonos como práctica común para contratarlos, y el salario que tenía que pagarle a este empleado.

Al poner esto en perspectiva, la alta gerencia pudo comprender los beneficios de la alianza.

Tuve que esforzarme más para adiestrar a un estudiante con solo lo básico, en lugar de contratar a alguien con experiencia en la industria, pero estaba dispuesto a hacer un esfuerzo adicional. Sabía que estos estudiantes no tendrían algo que yo encontraba en la mayoría de los casos de empleados “robados” y que es la falta de buenas prácticas de documentación, que es una necesidad en nuestra industria.

Tener una buena práctica de documentación es algo que no se puede enseñar a cualquiera que haya trabajado en el campo de Sistemas de Información durante años. Es una habilidad que necesita tener y desarrollar al igual que cualquier otra habilidad de Sistemas de Información y saber cómo hacerlo.

He visto casos de empleados saqueados por otras compañías que no tenían esta habilidad y que documentaban incorrectamente algún proceso del sistema, lo que podría descalificar el estado de cumplimiento de un equipo ya en producción y costarle a la compañía millones o peor aún, recibir una visita de la agencia reguladora federal de los Estados Unidos Food and Drug Administration (FDA) y recibir lo que se conoce como la Forma 483. Esto podría significar un desastre para cualquier compañía farmacéutica.

Lo que realmente hace a un especialista en ciberseguridad

En mi publicación “Cómo Iniciar su Propio Negocio de Ciberseguridad” mencioné que parte de convertirse en un consultor con su propio negocio requeriría de usted que la naturaleza lo modifique genéticamente para ver las cosas de manera diferente. No digo que tengas que ser una mutante, aunque algunos te verán así.

Lo que estoy diciendo es que la voluntad requerida para comenzar su propio negocio va más allá de querer hacerlo. Requiere un nivel de pasión obsesiva y de locura para comenzar y mantenerlo. Después de eso, necesitas la iniciativa para seguir adelante.

Iniciativa, es una palabra que no escucho tanto durante el día. Lo menciono 10% a otras personas y el resto me lo digo a mí mismo. Tener iniciativa es muy importante si quieres hacer un trato o ejecutar un plan que tienes.

No esperes a que otros te digan cuándo. Tú tienes que tomar la decisión.

Lo que estoy diciendo aquí se aplica a todos los profesionales de ciberseguridad que existen, incluyéndome a mi. Estamos en un campo que requiere iniciativa y un nivel de voluntad para cruzar algunas líneas para lograr nuestros objetivos.

Nuestras características y comportamiento son muy diferentes al de otras profesiones. Nos desempeñamos mejor cuando nos colocan entre la espada y la pared. El desafío, es nuestro principal motivador y el misterio es solo un problema que vale la pena resolver.

Lo que hace a un profesional de ciberseguridad no es la formación regular de educación de ninguna academia, ni siquiera los títulos que se nos otorgan, no.

Lo que nos hace es la terquedad que desarrollamos cuando alguien dice “No deberías hacer eso”. Eso, ahí mismo, es lo que nos hace.

Nuestro trabajo no es solo proteger los sistemas de usuarios no autorizados. Esa es la descripción de nuestro trabajo para el mundo para que puedan entender lo que hacemos por ellos.

Tome notas, personal de Recursos Humanos…

Nuestro trabajo real es tomar su sistema y desglosarlo, comprender sus complejidades de cómo cada pieza y componente del sistema funciona por sí solo y funciona en conjunto. Eso, ahí mismo, es lo que hacemos mejor.

Tenemos que entender las cosas rompiéndolas en sus componentes básicos para comprender sus vulnerabilidades. Saber dónde están las vulnerabilidades nos permitirá proteger mejor cualquier sistema.

Nos encanta separar los sistemas y ver qué otros usos tienen. Esta es la definición misma de un hacker. Este es un sinónimo de lo que hace un “PenTester” o un especialista de InfoSec. Cruzamos la línea a propósito para ver qué tan bien protegido está un sistema, porque cuando un cibercriminal hace lo mismo, tampoco van a pedirle permiso.

Cuando contrata a un especialista en ciberseguridad, no está contratando a alguien que pueda controlar. Usted está contratando a alguien que debe liberar. Solo bríndeles las herramientas para hacer su trabajo y permítales hacer el resto. Confíen en mí cuando les digo que obtendrán resultados.

Comprender las características y el comportamiento de un especialista en ciberseguridad es importante si queremos cerrar esta brecha de escasez de habilidades porque la verdad es que no estamos hechos para ser medidos por las reglas de contratación comunes de Recursos Humanos.

Nuestra experiencia y educación son de la vida. Nuestros profesores y maestros tienen el mismo nombre, Experiencia. Nuestras referencias solo se pueden encontrar en el mundo digital y solo para que alguien como nosotros las vea y comprenda.

El departamento de recursos humanos debe entender que no pueden encontrar lo que buscan a través de las maneras tradicionales. La academia está muy rezagada con respecto a la tecnología y la metodología que utilizamos para hacer nuestro trabajo. Nadie ni ninguna institución pueden darte la bendición que estás buscando, porque tampoco la conocen.

Estoy diciendo todo esto para que el personal del departamento de recursos humanos de cualquier compañía que busque contratar a un especialista en ciberseguridad pueda entender quiénes somos.

Como dije, solo uno de nosotros puede entender quiénes somos. En este caso, lo que puedo recomendar a alguien de Recursos Humanos es contratar a alguien con experiencia en ciberseguridad y con experiencia en gerencia.

Veo sus pensamientos divagando y diciendo: “Pero acabas de decir que había una escasez de habilidades para la seguridad cibernética, ¿ahora quieres que contrate a alguien con experienia en ciberseguridad y de liderazgo de equipo?”

Sí, y aquí está el por qué. Si necesitas administrar un equipo diverso de profesionales de ciberseguridad, entonces necesita a alguien que pueda comprender sus objetivos y su plan de acción. Sus objetivos y plan de acción son algo poco convencionales porque necesitas comprender que tenemos que poner el sistema bajo arresto de vez en cuando para probar sus vulnerabilidades. Digamos que somos el equivalente de la naturaleza de los glóbulos blancos de su cuerpo, pero para su sistema.

Poner este equipo diverso bajo la supervisión de alguien que no entiende o no lo entiende, creará fricción. La ventaja de tener este líder de equipo es que la compañía puede confiar en esta persona y luego esta persona maneja el equipo para completar el trabajo.

Outsourcing 

El mismo principio se aplica al outsourcing. No puedes subcontratar el riesgo. Puede subcontratar al equipo que trabajará con sus riesgos y vulnerabilidades, pero el riesgo siempre estará con usted.

A pesar de que subcontrata el equipo de ciberseguridad, aún necesita tener a alguien interno responsable de su riesgo y quien estará a cargo de este equipo.

Creando un programa de aprendizaje

Las empresas con personal de Sistemas de Información interno pueden implementar lo que se conoce como un programa de aprendizaje. Esto es realmente fácil de implementar y no requiere costos adicionales.

Por ejemplo, supongamos que necesita recursos adicionales para un área específica de ciberseguridad. Busque dentro de su departamento un candidato y si no puede encontrar un buen candidato, extiéndase a otros departamentos internos, no necesariamente en Sistemas de Información. Si pudo encontrar un candidato con los conceptos básicos para comprender cómo funciona la seguridad cibernética, tome esta persona y colóquela bajo el tutelaje de una persona mayor y con más experiencia que pueda enseñarle al nuevo aprendiz.

Lo hicimos de vez en cuando en otras áreas también. Por ejemplo, no pudimos encontrar un candidato que cumpliera con nuestros requisitos para un Gerente de Cumplimiento de Sistemas de Información, por lo que buscamos en otros departamentos y encontramos un candidato. Lo pusimos bajo la supervisión de otro Gerente de Cumplimiento de otra planta de manufactura y pronto tuvimos nuestro propio Gerente de Cumplimiento.

Gracias a un programa interno.

Ninguna cantidad de datos estadísticos de ninguna fuente puede ayudarlo a solucionar la escasez si no toma medidas.

Las noticias siempre estarán allí y solo empeorarán si no comienza con un plan y toma medidas para reducir la brecha de habilidades de ciberseguridad.

Todo comienza contigo.

by Edgar Vera, MS Cybersecurity

 

No Comments, Be The First!

Your email address will not be published.