¿Hay personal suficiente en ciberseguridad?

Nuevos datos de ciberseguridad se centran en dónde los profesionales de ciberseguridad se quedan cortos, con habilidades blandas, y en cómo la computación en la nube y los controles de seguridad emergen como las mayores brechas de habilidades de los profesionales de ciberseguridad, según el informe de investigación anual de ISACA, ‘State of Cybersecurity 2023, Actualización Global sobre Esfuerzos de Fuerza Laboral, Recursos y Ciberoperaciones’.

El 59% de los responsables de ciberseguridad afirman que sus equipos carecen de personal suficiente, según la novena encuesta anual, que explora el panorama más reciente de las amenazas a la ciberseguridad, los retos y oportunidades de contratación, y los presupuestos, con las opiniones de más de 2.000 responsables de seguridad de todo el mundo.

El informe, patrocinado por Adobe, también muestra que el 50% de los encuestados indicaron que tienen ofertas de empleo para puestos no básicos, frente al 21% con ofertas de empleo para puestos básicos.

Profesionales de ciberseguridad y competencias

La investigación indica que se han hecho algunos avances en la retención de empleados, pero sigue siendo un reto. Más de la mitad (56%) de los responsables de ciberseguridad afirman tener dificultades para retener a profesionales cualificados en este campo, aunque esta cifra ha descendido cuatro puntos con respecto al año pasado.

Sin embargo, seguir reduciendo los problemas de retención puede ser difícil, dado que los beneficios ofrecidos a los profesionales de la ciberseguridad han disminuido, posiblemente debido a la incertidumbre económica.

El reembolso de la matrícula universitaria cayó cinco puntos porcentuales hasta el 28%, las bonificaciones por contratación cayeron dos puntos porcentuales y el reembolso de las tasas de certificación bajó un punto porcentual, en comparación con 2022. 

Habilidades de los profesionales de ciberseguridad

Al contratar, los encuestados dicen que buscan las siguientes cinco principales habilidades técnicas en los profesionales de ciberseguridad:

• Gestión de identidad y acceso (49%)
• Computación en la nube (48%)
• Protección de datos (44%)
• Respuesta a incidentes (44%)
• DevSecOps (36%)

En cuanto a las aptitudes interpersonales, la comunicación (58%), el pensamiento crítico (54%), la resolución de problemas (49%), el trabajo en equipo (45%) y la atención al detalle (36%) son las cinco aptitudes que más buscan los empleadores en los candidatos a puestos de ciberseguridad.

Las habilidades de empatía (13%) y honestidad (17%) son las menos importantes, un dato digno de mención dado que el 62% de los encuestados cree que las organizaciones no denuncian los ciberdelitos.

Los encuestados examinaron las carencias de los profesionales de la ciberseguridad y citaron las habilidades interpersonales (55%), la computación en nube (47%), los controles de seguridad (35%), las habilidades de codificación (30%) y los temas relacionados con el desarrollo de software (30%) como las mayores carencias que observan en la actualidad.

Para mitigar estas carencias de conocimientos técnicos, los encuestados indican que sus tres enfoques principales son la formación de personal no especializado en seguridad que esté interesado en desempeñar funciones de seguridad (45%), el aumento del uso de empleados contratados o consultores externos (38%) y el aumento del uso de programas de reciclaje (21%).

A la hora de abordar las carencias en competencias no técnicas, las organizaciones están aprovechando los sitios web de aprendizaje en línea (53%), la tutoría (46%), los eventos de formación corporativa (42%) y el reembolso de matrículas académicas (20%), aunque el uso del reembolso de matrículas ha descendido cuatro puntos porcentuales.

“Las brechas en habilidades blandas que vemos entre los profesionales de la ciberseguridad son parte de un problema sistémico preocupante que nuestra industria necesita tomar en serio”, dice Jon Brandt, Director de Prácticas Profesionales e Innovación de ISACA.

“Si bien no hay una solución simple, abordar estas necesidades con un enfoque colaborativo que va más allá de la academia tradicional para involucrar capacitación práctica, tutoría y otras vías de aprendizaje puede tener un impacto no solo en los conjuntos de habilidades individuales y los resultados de seguridad empresarial, sino también en la integridad de la profesión en su conjunto”, afirma Brandt.

Amenazas a la ciberseguridad

Al analizar el panorama de las amenazas a la ciberseguridad, casi el 48% indica que su organización está sufriendo más ciberataques que hace un año.

A pesar del difícil panorama de las amenazas, solo el 42% tiene un alto grado de confianza en la capacidad de su equipo de ciberseguridad para detectar y responder a las ciberamenazas.

Las tres principales preocupaciones en materia de ataques siguen siendo las mismas que el año pasado: la reputación de la empresa (79%), la violación de datos (69%) y la interrupción de la cadena de suministro (55%).

Los encuestados también indicaron que la ingeniería social (15%) sigue siendo el principal tipo de ciberataque que experimentan, lo que supone un aumento de dos puntos porcentuales. Le siguen:

• Amenazas persistentes avanzadas (11%)
• Ransomware (10%)
• Desconfiguración de la seguridad (10%)
• Sistema sin parchear (10%)
• Denegación de servicio (9%)
• Exposición de datos confidenciales (9%)

El futuro del profesional de ciberseguridad

El 78% de los encuestados afirma que la demanda de colaboradores individuales técnicos en ciberseguridad aumentará el próximo año, y casi la mitad (48%) espera un aumento de la demanda de directivos de ciberseguridad.

Más de la mitad (51%) cree que los presupuestos de ciberseguridad también aumentarán ligeramente el año que viene.