Akamai Technologies señala el nuevo panorama cibernético: más amenazas pero menos profesionales de la seguridad.
ISACA predice que para 2019 habrá una escasez de 2 millones de profesionales de ciberseguridad en todo el mundo. Y en una encuesta publicada por ESG e ISSA en noviembre de 2017, el 70% de los encuestados afirmó que la escasez de habilidades de seguridad estaba afectando a su organización. El estudio también destacó que- el personal experimentado estaba sobrecargado de eventos de Seguridad urgentes que les dejaban poco tiempo para concentrarse en la estrategia de Seguridad o la capacitación.
“Como una empresa mediana, la escasez de habilidades de Seguridad supone un desafío para nosotros, ya que las marcas tecnológicas globales y los institutos financieros sacan gran parte del grupo de talentos del mercado”, afirmó Daniel Schatz, director de Seguridad de la Información de Perform Group . “Una consecuencia de esto es un mercado con candidatos que quizás aún no tengan las habilidades o experiencia requeridas, pero que puedan estipular sueldos asombrosamente altos debido a la demanda”.
La escasez de habilidades de Seguridad no ha pasado desapercibida para las agencias gubernamentales de todo el mundo.
En 2016, el gobierno del Reino Unido declaró que planeaba invertir 2.5 mil millones en la mejora de las defensas de ciberseguridad del país, y parte de este financiamiento se destinó a la capacitación de nuevos profesionales de la Seguridad. Además, en un intento por alentar a los jóvenes a seguir una carrera en eeguridad, el gobierno lanzó el Programa de Escuelas Cibernéticas para enseñar a los jóvenes de 14-18 años los principios básicos de seguridad: programación, análisis forense, criptografía y más.
En mayo de 2017, el gobierno de EU firmó la Orden Ejecutiva de Ciberseguridad, la cual, entre otras iniciativas, pide que el Director de Inteligencia Nacional presente un informe que identifique cómo el país mejorará las habilidades de la fuerza laboral de Seguridad.
El gobierno australiano también ha creado una estrategia de Ciberseguridad que gira en torno a la colaboración entre gobierno, empresas privadas, proveedores de educación y la comunidad de investigación para crear centros de excelencia en universidades con el fin de aumentar el número de profesionales de Seguridad calificados.
En un artículo reciente de Jay Coley, Director Senior de Planificación y Estrategia de Seguridad en Akamai, describe cómo la dramática disminución en el número de estudiantes que estudian ciencias, tecnología, ingeniería y matemáticas ha contribuido a la escasez de habilidades de Seguridad. Esto no es el único factor que ha contribuido a la escasez de habilidades, también hay otros tres conductores.
En primer lugar, la tecnología ha evolucionado a una velocidad sin precedentes en los últimos 10 años, transformando casi todos los aspectos de los negocios. En el pasado, tenía un centro de datos que ejecutaba sus aplicaciones comerciales, y la gran mayoría de los usuarios se sentaba en una oficina local y usaba una PC en el sitio para acceder a las aplicaciones. Esta estructura homogénea hizo que sea relativamente fácil para una empresa protegerse construyendo un perímetro robusto y fijo. Pero ahora, las aplicaciones y los datos viven en la Nube; los usuarios acceden a cargas de trabajo desde teléfonos inteligentes, tablets y computadoras portátiles desde cualquier lugar y en cualquier momento; y muchos de estos dispositivos no son administrados o controlados, ni siquiera son propiedad de la empresa. Este cambio sísmico crea nuevas vulnerabilidades de Seguridad y expone nuevas superficies de ataque.
En segundo lugar, el panorama de amenazas se ha transformado significativamente. Las empresas ahora enfrentan un tsunami de amenazas en constante evolución que se crean y ejecutan a escala industrial. Estas amenazas son sofisticadas y específicas, y los ciberdelincuentes detrás de estos ataques son persistentes, pacientes y altamente incentivados. Agregue a esto el hecho de que se ha desarrollado un ecosistema completo que permite a los actores malintencionados construir, implementar y monetizar el malware y el ransomware aún más. Malware como Servicio (MaaS) y Ransomware como Servicio (RaaS) están disponibles, son baratos de comprar y descargar, y se anuncian abiertamente en sitios populares.
En tercer lugar, los cambios en la tecnología y las prácticas comerciales, junto con la industrialización de las amenazas, han creado una infinidad de nuevos productos y servicios de Seguridad para que las empresas los implementen a fin de mejorar su postura de Seguridad. Si bien es positivo en general, esta afluencia también trae mucha complejidad. En el viejo mundo de un fuerte pero estático perímetro, una compañía probablemente tenía un Firewall y Seguridad EndPoint. Ahora, una empresa puede emplear gateways Web seguros, agentes de Seguridad accesibles en la Nube, protección contra fugas de datos, detección y protección de intrusos, administración de dispositivos móviles, administración de identidades y más. Esa es una cantidad intrincada de tecnologías para implementar, administrar y conectar. Y, los productos mismos se han vuelto más complejos; una pasarela Web segura y líder en el mercado ahora normalmente requiere una semana de capacitación intensiva para llegar a ser competente, por ejemplo.
Cuando observa la confluencia de estos tres controladores, está claro que las empresas modernas necesitan equipos de Seguridad más grandes con un conjunto de habilidades más amplio. Combine esto con la disminución en los estudios STEM, se tiene una tormenta perfecta.