Internacional. Un estudio señala que la escasez de habilidades de seguridad cibernética está empeorando por tercer año consecutivo y ha afectado a casi tres cuartas partes (74 por ciento) de las organizaciones, según el análisis global anual de profesionales de seguridad cibernética, realizado por la Asociación de Seguridad de Sistemas de Información (AISS) y por el analista independiente de la industria Enterprise Strategy Group (ESG).
Además, el informe confirma que la escasez de habilidades de ciberseguridad sigue siendo la causa principal del aumento de los incidentes de seguridad, ya que las organizaciones siguen plagadas por la falta de conciencia de ciberseguridad del usuario final y la incapacidad de mantenerse al día con la creciente carga de trabajo de ciberseguridad. Casi la mitad (48 por ciento) de los encuestados ha experimentado al menos un incidente de seguridad en los últimos dos años con graves ramificaciones que incluyen pérdida de productividad, recursos significativos para la remediación, interrupción de los procesos y sistemas comerciales, y violaciones de datos confidenciales.
De hecho, los profesionales de seguridad cibernética son francamente escépticos sobre sus posibilidades de éxito. Noventa y uno (91) por ciento cree que la mayoría de las organizaciones son vulnerables a un ciberataque significativo. Y un abrumador 94 por ciento cree que el equilibrio de poder es con los ciber-adversarios sobre los ciberdefensores. Con la ventaja del campo de batalla sesgada, las organizaciones enfrentan riesgos cibernéticos crecientes y potencialmente devastadores.
A pesar de estos hallazgos, por tercer año consecutivo, el sesenta y tres (63) por ciento de las organizaciones continúan atrasados en proporcionar un nivel adecuado de capacitación para sus profesionales de seguridad cibernética. La escasez de habilidades más aguda cambió este año a la seguridad en la nube (33 por ciento), seguida por la seguridad de las aplicaciones (32 por ciento) y el análisis e investigaciones de seguridad (30 por ciento).
En una era en la que los líderes empresariales dependen más de la tecnología para el éxito y se enfrentan a un mayor escrutinio y responsabilidad que nunca, esta falta de progreso y el riesgo cibernético resultante para las organizaciones y sus accionistas, clientes y socios comerciales deberían ser motivo de preocupación para empresas y líderes tecnológicos por igual.
La investigación también indica un impacto personal alarmante relacionado con los trabajos de seguridad cibernética. Si bien los profesionales de ciberseguridad siguen dedicados a su oficio, atraídos por los profundos desafíos técnicos y las implicaciones morales, el estudio de este año explora por primera vez las causas y consecuencias del estrés y el agotamiento, que incluyen:
• Aspectos estresantes del trabajo: el cuarenta (40) por ciento respondió respondiendo a las necesidades de seguridad de las nuevas iniciativas de TI, seguido de cerca por las iniciativas de TI "en la sombra", tratando de lograr que los usuarios finales entiendan mejor los riesgos cibernéticos y cambien su comportamiento. para que el negocio comprenda mejor los riesgos cibernéticos.
• Mayor estrés de las nuevas responsabilidades de privacidad de datos: casi un año después, GDPR está en pleno apogeo, y los equipos de seguridad cibernética pueden no estar a la altura de la tarea. El ochenta y cuatro (84) por ciento afirma que el equipo de seguridad cibernética de su organización ha desempeñado un papel más activo con la privacidad de los datos en los últimos 12 meses, pero el 21 por ciento no cree que el equipo de seguridad cibernética haya recibido instrucciones claras y el 23 por ciento no cree que el equipo de ciberseguridad haya recibido el nivel adecuado de capacitación.
• Presiones relacionadas con el trabajo que impulsan el CISO virtual (vCISO) como una opción profesional atractiva: el diez (10) por ciento de las organizaciones ahora emplean un vCISO. Además, el 29 por ciento de los CISO están trabajando como vCISO, mientras que otro 21 por ciento lo está considerando y el 33 por ciento lo consideraría en el futuro. Casi la mitad afirma que trabajar como vCISO aporta más variedad y flexibilidad a un puesto de CISO. Los CISO claramente están tratando de evitar parte de la política y el estrés mientras toman más control de sus carreras.
• “Según los resultados de los proyectos de investigación de este año y del pasado, es seguro concluir que el progreso de la seguridad cibernética ha sido marginal en el mejor de los últimos tres años. La ESG y la AISS están de acuerdo con la cita del investigador de seguridad, autor y receptor del Salón de la Fama de la AISS, Bruce Schneier, "Podemos estar haciendo algunas mejoras de seguridad cibernética, pero estamos empeorando más rápido" Este tema debería ser motivo de preocupación para los tecnólogos, ejecutivos de empresas y ciudadanos privados y continúa causando una amenaza existencial para la seguridad nacional", dijo Jon Oltsik, analista principal senior y miembro del Enterprise Strategy Group (ESG) y autor del informe.
Los 5 roles principales para abordar la crisis de habilidades de seguridad cibernética
- Líderes empresariales: el 23% de los encuestados dice que los gerentes comerciales no entienden ni apoyan un nivel apropiado de seguridad cibernética. La satisfacción laboral y la retención de los empleados dependen en gran medida del compromiso del liderazgo empresarial con la seguridad cibernética, además de los incentivos profesionales y la compensación competitiva. La acción recomendada número uno es agregar objetivos y métricas de seguridad cibernética a los gerentes de negocios y TI
- CISO: los CISO deben ser más activos con los ejecutivos de negocios. Quieren un asiento en la mesa del tablero. El éxito de CISO depende de características como habilidades de comunicación, habilidades de liderazgo, una fuerte relación con los ejecutivos de negocios y una fuerte relación con el CIO y el equipo de liderazgo de TI.
- Practicantes: Si bien el 93 por ciento de los encuestados está de acuerdo en que los profesionales de seguridad cibernética deben mantenerse al día con sus habilidades, el 66 por ciento afirma que las demandas laborales de seguridad cibernética a menudo les impiden el desarrollo de habilidades. Este desequilibrio debe ser abordado. Además, el 57 por ciento de los encuestados dice que las certificaciones de seguridad como CISSP son mucho más útiles para conseguir un trabajo que para hacerlo. Priorizar el desarrollo de habilidades prácticas sobre las certificaciones.
- Recursos humanos y reclutadores: Cuarenta y un (41) por ciento de los encuestados dicen que su organización ha tenido que reclutar y capacitar a personal junior en lugar de contratar profesionales de infosec más experimentados. El diseño de su propio programa de capacitación desarrollará el talento y la lealtad futuros. Lanzar una red más amplia más allá de TI y encontrar habilidades comerciales transferibles y transiciones entre carreras ayudará a expandir el grupo de talentos.
- Educadores y formadores: el desarrollo de KSA con interacción cara a cara es más efectivo, como asistir a cursos específicos de capacitación en seguridad cibernética, participar en organizaciones y eventos profesionales, asistir a ferias comerciales y participar en programas de mentoría en el trabajo.
- Finalmente, el sector privado solo puede hacer mucho. El sector público necesita ayuda invirtiendo más en capacitación y educación, conciencia pública, y becas y subvenciones.
Deje su comentario