Algunos CISO están removiendo sus planes de personal para hacer frente a los desafíos de reclutamiento, contratación y retención de trabajadores de ciberseguridad.
Dave Stirling, CISO de Zions Bancorporation, no está esperando a que se produzca un cambio en la reserva de talentos o un gran movimiento en el mercado laboral para resolver el déficit de competencias en ciberseguridad. En su lugar, está creando su propia suerte. ¿Cómo? Cambiando su propia estrategia de contratación, “probando cosas diferentes y viendo qué es lo que funciona”.
Con este enfoque, Stirling está reclutando candidatos entre el personal de TI y de operaciones del banco, trabajando con las universidades locales, invirtiendo más en formación y replanteándose la forma de publicar las ofertas de empleo. Reconoció que estas medidas, aunque se tomen en conjunto, no son la solución perfecta a los problemas de búsqueda, contratación y mantenimiento de personal de los que tanto se habla. Sin embargo, dijo que están mejorando su capacidad para contratar y retener a los talentos de ciberseguridad que son difíciles de encontrar.
Se trata de una tendencia alentadora, dadas las estadísticas sobre el déficit de competencias en ciberseguridad. La asociación profesional de gobernanza ISACA, en su informe Estado de la Ciberseguridad 2022: Actualización Global de los Esfuerzos, Recursos y Operaciones Cibernéticas, cuantificó el reto en este punto. Según su encuesta a más de 2.000 profesionales de ciberseguridad, el 63% tiene puestos de ciberseguridad sin cubrir (8% más que en 2021), mientras que el 62% tiene equipos de ciberseguridad sin personal suficiente. Mientras tanto, el 20% afirmó que tarda más de seis meses en encontrar candidatos cualificados en ciberseguridad para los puestos vacantes, y el 60% señaló que tiene problemas para retener a los profesionales cualificados en ciberseguridad (7% más que en 2021).
Al mismo tiempo, los líderes de ciberseguridad mencionaron que necesitan no solo cubrir los puestos existentes, sino aumentar el número de funciones en su personal debido a la creciente superficie de ataque dentro de sus organizaciones, así como al creciente número y sofisticación de los intentos de ataque. Estas dinámicas han impulsado a Stirling a actuar, y a otros a probar también nuevas tácticas.
Y lo están logrando. “Tenemos que hacer algunos cambios muy intencionados en la forma de buscar recursos y de crear capital humano de seguridad”, dijo Lamont Orange, CISO del fabricante de software de seguridad Netskope.
A continuación se presentan cuatro estrategias que Stirling, Orange y otros están utilizando para encontrar y retener el talento en ciberseguridad.
1. Elaborar mejores descripciones de puestos de trabajo de seguridad
Jonathan Fowler también ha tomado medidas para contrarrestar los problemas de personal que ha encontrado como CISO en la empresa tecnológica Consilio. Una de sus estrategias se centra en las descripciones de los puestos de trabajo que utiliza para contratar. Dijo que descubrió que las descripciones de los puestos de trabajo que su empresa había estado utilizando para cubrir los puestos vacantes describían lo que tendría un candidato ideal y las tareas que realizaría. Suele ser una lista larga y a menudo poco realista, mencionó. Así que él y su equipo reescribieron la narrativa, creando descripciones de puestos de trabajo que describían lo que “un gran empleado hace realmente a diario”.
“Se trata realmente de establecer un nivel. Se trata de decir: ‘¿Qué necesito? ¿Cuáles son las tareas básicas absolutas que necesito que se realicen?’ y partir de ahí”, mencionó Fowler, añadiendo que el nuevo enfoque “atrae a personas que tal vez no hayan solicitado el puesto antes porque había una o dos tareas (enumeradas) que nunca habían hecho antes”.
Stirling también reescribió las descripciones de los puestos de trabajo como parte de su estrategia múltiple para hacer frente a los problemas de personal. Hace unos años, él y un equipo de directivos empezaron a revisar las descripciones de los puestos de trabajo para crear descripciones más concisas. O, como él indicó, “para destilarlas y eliminar la palabrería”.
Stirling señaló que en el proceso se dio cuenta de que las descripciones de los puestos de trabajo solían describir a la persona que había ocupado el puesto más recientemente. Eso significaba -sobre todo en el caso de los que dejaban vacantes puestos porque eran promovidos- que la descripción del puesto se excedía de lo que se necesitaba realmente para hacer el trabajo. La práctica también implicaba a menudo que los posibles candidatos que se presentaban reflejaban al trabajador anterior, lo que, según Stirling, obstaculizaba los esfuerzos por atraer talento más diverso.
Gracias a la investigación sobre las mejores prácticas de contratación, Stirling afirmó que él y sus directivos eliminaron los requisitos y frases superfluas que animaban a los candidatos cualificados a no presentarse. Por ejemplo, Stirling y su equipo utilizaron “fomentar” en lugar de “imponer” y “colaborar y comunicar” en lugar de palabras que implicaban mando y control, cambios que, según Stirling, reflejaban mejor las necesidades de su departamento de seguridad a la vez que atraían a un mayor número de candidatos.
“Fue un cambio notable cuando hicimos todo eso, y descubrimos que teníamos personas cualificadas que quizá no se habrían presentado antes”, añadió.
2. Ampliar la reserva de talento en seguridad
Algunos CISO han ido más allá: están revisando lo que quieren en los candidatos y optan por cambiar e incluso reducir algunos de los requisitos que se buscan convencionalmente en las contrataciones de ciberseguridad.
Joanna Burkey, la CISO de HP, es una de ellas. Hizo pública su decisión en un post de LinkedIn, en el que declaró: “Me deshice de los requisitos de titulación“. Escribió: “He aprendido que tenemos que ser más flexibles a la hora de contratar cibertalentos. Necesitamos una variedad de niveles de experiencia y una reserva de talento más diversa que incluya a personas que se trasladan desde otras industrias, poblaciones históricamente desatendidas, trabajadores sin títulos tradicionales y personas con habilidades transferibles interesadas en un cambio más adelante en sus carreras”.
Burkey no se limita a prescindir de los requisitos de titulación. Destacó que también está “abierta, receptiva e incluso fomenta la experiencia que no es específica de la cibernética”. Estas medidas le han ayudado a ampliar su grupo de candidatos, dijo, atrayendo a personas con diversas credenciales educativas pero sin títulos, a veteranos militares y a trabajadores experimentados con años de experiencia en el trabajo.
Burkey subrayó que sus decisiones en materia de personal no rebajan el nivel de exigencia. De hecho, tienen el efecto contrario, y explicó que le ayudan a reducir el riesgo organizativo y a aumentar la resiliencia de su empresa al garantizar que cuenta con una dotación complementaria de talento cualificado con diversidad de experiencia y pensamiento. Dijo, por ejemplo, que necesita trabajadores que comprendan la estrategia empresarial, las finanzas y las operaciones (que pueden ser formados en seguridad) para que puedan identificar los puntos débiles que necesitan atención y alinear mejor las estrategias de seguridad con los objetivos funcionales. “Aportan conocimientos sobre las áreas que debemos proteger”, expresó.
3. Construir un conducto de talento de seguridad más fuerte
Travis Gibson, CTO y CSO de Big Brothers Big Sisters of America, adoptó un enfoque similar. Mencionó que se replanteó cuánta experiencia requería para los puestos, así como si era necesario un título universitario para todos los puestos. Como señaló: “No tiene sentido que un puesto de entrada requiera un mínimo de dos años de experiencia”.
Esta postura permite a Gibson considerar a los trabajadores de TI de su organización como una vía viable para el equipo de seguridad. “Están vinculados a la seguridad durante la mayor parte de sus carreras”, resaltó, y añadió que muchos trabajadores de TI están interesados en pasar a la seguridad.
Gibson reconoció que tampoco es fácil encontrar talentos informáticos. Pero destacó que las estadísticas demuestran que la contratación de trabajadores de TI no es tan difícil como la de profesionales de la seguridad. También señaló que es fundamental que los jefes de seguridad como él tengan una buena relación y un enfoque coordinado con los líderes de TI para que la contratación de personal de TI no se vea como una caza furtiva.
Además, afirmó que la contratación de personal de TI, así como la eliminación de los requisitos de experiencia y formación, requiere un compromiso con la formación y el desarrollo profesional. En este sentido, Gibson afirmó que él y sus directores desarrollan planes de formación cuando identifican a candidatos prometedores para que esos trabajadores puedan dar el salto a la seguridad con éxito.
Gibson reveló que ha utilizado esta estrategia para cubrir alrededor del 20% de los puestos de su equipo de seguridad en los últimos años. La estrategia también le permite cubrir los puestos más rápidamente que si hubiera acudido al mercado para contratar. “Además, acabas teniendo habilidades multidisciplinares en el equipo”, añadió.
Otros responsables de seguridad también están encontrando formas de crear una mejor cantera de talentos en materia de seguridad. Por ejemplo, la empresa de servicios profesionales Deloitte & Touche está trabajando con la Flatiron School para crear nuevos profesionales de la ciberseguridad. “Buscamos crear una oferta de nuevos talentos”, afirmó Deborah Golden, responsable de riesgos estratégicos y cibernéticos en Estados Unidos de Deloitte.
Los candidatos solicitan la admisión en el Acelerador de Carreras Cibernéticas de Deloitte; la empresa cubre el costo del programa de formación en ciberseguridad de nueve a doce semanas. Hasta ahora, Deloitte ha tenido tres cohortes que han pasado por la formación. Golden dijo que la empresa ofreció a un “gran porcentaje” de los participantes puestos en la empresa. “Y de ellos, hemos tenido una tasa de aceptación del 99%”.
Orange, el CISO de Netskope, también está trabajando para aumentar la cantera de talentos de seguridad a través de la formación en el trabajo y de iniciativas con colegios y universidades de la zona. Por ejemplo, él y su equipo trabajan con los profesores para identificar a los estudiantes que se inscriben en clases de un semestre de duración con formación experimental en ciberseguridad, seguidas de unas prácticas en Netskope.
Orange también promueve las oportunidades de tutoría y seguimiento. Lleva a las universidades lecciones de seguridad tipo estudio de casos del mundo real para garantizar que más graduados estén preparados para trabajar en ciberseguridad cuando se gradúen.
4. Mejorar el entorno de trabajo
Atraer el talento es sólo la mitad de la ecuación: mantener a los trabajadores de ciberseguridad es la otra parte y es igualmente desafiante. El Grupo de Investigación Info-Tech, para su Informe de Prioridades de Seguridad 2022, pidió a los líderes de seguridad y TI que nombraran sus principales prioridades de seguridad y sus principales obstáculos para el éxito de la seguridad en 2022. El talento encabezó la lista en ambas categorías. Alrededor de un 30% mencionó la adquisición y retención de talento como prioridad principal, convirtiéndola en la más citada (por delante de la protección y la respuesta al ransomware y la seguridad de la mano de obra remota). Un 31% citó las limitaciones de personal como principal obstáculo.
Isabelle Hertanto, directora principal de investigación de la práctica de seguridad y privacidad de Info-Tech, dijo que los CISO deben involucrar a sus colegas de negocios desde el principio y con frecuencia para que sean capaces de anticipar qué habilidades de ciberseguridad se necesitarán cuándo y la mejor manera de obtener esas habilidades. Como explicó, este enfoque estratégico permite a los CISO seleccionar a los socios subcontratados que mejor complementan su equipo interno.
“Se trata de pensar en cómo un MSP (proveedor de servicios gestionados) puede reforzar su equipo actual de forma que pueda mitigar el riesgo de perderlo”, afirmó Hertanto. El MSP podría encargarse, por ejemplo, de las tareas rutinarias que el equipo interno considera mundanas o que le distraen. De este modo, los empleados tendrían más tiempo para dedicarse a tareas de mayor valor y para aprender nuevas habilidades de seguridad más avanzadas.
Varios responsables de seguridad se hacen eco de esta perspectiva. Dicen que proporcionar un lugar de trabajo en el que los equipos de seguridad tengan el nivel adecuado de trabajo desafiante pero sin estar constantemente abrumados es fundamental para la retención. “La gente abandona su trabajo porque no se encuentra bien en una empresa o porque no se le atiende”, dijo Deidre Diamond, fundadora y directora general de CyberSN, que ofrece servicios de investigación y colocación para la profesión de la ciberseguridad.
Para contrarrestar esto, Diamond aconsejó a los CISO que organicen sus equipos de manera que los directores tengan el ancho de banda necesario para gestionar realmente a sus equipos, es decir, que tengan tiempo para dar opiniones, asesorar y formar. También recomendó a los CISO que tengan cargas de trabajo realistas para cada puesto. “Eso significa un trabajo por persona, no dos trabajos por persona, que es lo que está ocurriendo ahora”, dijo, reconociendo que es una tarea difícil, pero que es esencial para evitar el agotamiento que hace que los trabajadores se vayan.
-Mary K. Pratt, cio.com