5 medidas que pueden ayudar a paliar la escasez de profesionales de la ciberseguridad

Dependiendo de la fuente que lea, el déficit asciende a entre 3,4 y 3,5 millones de individuos en todo el mundo.² Pero no somos el único sector que tiene este problema. El sector de la salud, por ejemplo, se enfrenta a una escasez de más de 10 millones de médicos en todo el mundo³, lo que evidentemente plantea sus propios desafíos. Según la ISACA, el 60 % de las organizaciones tienen dificultades para retener a sus empleados y el 62 % afirman que sus equipos funcionan con un déficit de personal.⁴

Aun así, no todo son malas noticias para el sector de la ciberseguridad: si tomamos ciertas medidas, tanto colectivamente como a nivel de cada organización en particular, podremos amortiguar los efectos de la escasez de profesionales.

¿Cuáles son esas medidas?

1. Una estrategia de contratación más flexible

Que conste que soy firme partidario de los métodos tradicionales de contratación de personal, consistentes en identificar a quienes reúnen la formación, titulaciones, experiencia y aptitudes adecuadas. Sin embargo, hoy en día, encontrar a esas personas es como encontrar un unicornio; como poco, cuestión de suerte.

Si de verdad queremos solventar esta escasez, tenemos que abrir nuevos horizontes. La ciberseguridad es un campo abierto a aquellas personas que demuestran interés por la tecnología, que tienen capacidad para resolver problemas y curiosidad para saber cómo funcionan las cosas; es para quienes se entusiasman con la idea de montar un sistema para hacer algo diferente a aquello para lo que se diseñó y, después, protegerlo de una manera lo más integrada posible.

A la hora de contratar personal, debemos echar una red mucho más amplia. Nuestros candidatos no tienen por qué haberse formado en una institución de enseñanza superior tradicional. Tenemos que encontrar gente resolutiva que, además, sepa trabajar en equipo y haga gala de una ética profesional sólida porque, por desgracia, la ciberseguridad expone a las personas a la posibilidad de hacer el bien o el mal. Cuando abrimos la puerta de nuestra comunidad a una persona nueva, debemos asegurarnos de que acepta los límites y se deja guiar por una brújula moral elevada.

2. Una mayor diversidad

Últimamente se habla mucho de diversidad. En el campo de la ciberseguridad, el acento suele recaer sobre el sexo. Si bien es verdad que necesitamos atraer más mujeres al sector, la diversidad no termina ahí.

Las personas somos multidimensionales y nos influyen infinidad de factores, como nuestro lugar de origen, cultura, edad, religión, etnia… ¿Somos capaces de identificar lo que los recién llegados son capaces de aportar al equipo en términos de aptitud y valores culturales? ¿Añaden un matiz cultural nuevo que pueda contribuir con ideas y perspectivas frescas? ¿Dónde están esas personas y cómo podemos asegurarnos de que tienen la formación adecuada, especialmente si no han recibido una educación superior tradicional?

3. Mentoría

Los programas de mentoría son un concepto relativamente nuevo en nuestro sector y han supuesto un avance positivo a la hora de identificar a aquellos individuos con las competencias, la actitud y la ética adecuadas para trabajar en ciberseguridad. Las asociaciones del sector ofrecen un mecanismo alternativo al de las instituciones de enseñanza superior que puede ayudarnos a llegar a estas personas y evaluar sus competencias.

Las mentorías no sirven únicamente para contratar trabajadores; son un factor importante a la hora de conectar con ellos, incentivar su propio desarrollo, formarlos y retenerlos. Como director tecnológico sobre el terreno, siempre me he preocupado por proporcionar dos cosas fundamentales a los nuevos miembros de mi equipo: un mentor y una trayectoria profesional claramente articulada y con objetivos concretos. La gente necesita saber que no va a dedicar el resto de su vida a supervisar alertas y hacer un trabajo repetitivo y monótono. Todo esto contribuye a construir un capital social sólido y estos son los pilares que lo sostienen.

4. Liderazgo y cultura

En cierto modo, la ciberseguridad es como el salvaje Oeste estadounidense. En comparación con otras profesiones con décadas o, incluso, siglos de antigüedad, la nuestra es relativamente joven: 30 o 40 años, a lo sumo. En este entorno, no todas las personas con cargos de responsabilidad cuentan con la formación técnica o con la experiencia de haber trabajado en primera línea de batalla.

Es importante que en los puestos intermedios y altos haya también personas que aúnen competencias técnicas con visión empresarial para saber liderar y dirigir a su equipo con acierto. No tienen por qué ser expertas en ciberseguridad, ni mucho menos, pero sí necesitan unos conocimientos mínimos que les permitan comunicarse y entenderse con quienes sí lo son. He visto procesos de selección en los que los entrevistadores sabían menos que los entrevistados.

5. Tecnología

En este afán de paliar la escasez de profesionales, la tecnología ha pasado a desempeñar un papel muy importante. Es un cambio importante para nuestro sector, hoy y en el futuro. Con el auge de la automatización, el aprendizaje automático y la inteligencia artificial (IA), el uso de la tecnología puede servir para ampliar y complementar nuestros recursos humanos.

Podemos mitigar los efectos de la falta de personal, no necesariamente sustituyendo a los humanos por máquinas, sino utilizando las máquinas para liberar a las personas y permitirles hacer un trabajo más interesante y complejo que requiera el factor humano de la creatividad. Si la gente encuentra un sentido más profundo en su trabajo, se sentirá más atraída hacia nuestro sector y más satisfecha en su puesto laboral. Así pues, podemos empezar a cambiar la propuesta de valor y nuestra forma de pensar acerca de nuestros empleados para atraer y retener a los mejores.

Resumen

Nuestras posibilidades de atraer nuevos empleados hacia nuestro sector y nuestras empresas aumentan conforme abordamos la escasez de profesionales desde una perspectiva global.

Hay que echar una red más amplia que nos permita llegar a aquellos individuos que reúnan las competencias, la actitud y la brújula moral adecuadas para trabajar en el campo de la ciberseguridad, aunque no tengan la formación ni las titulaciones académicas que siempre hemos buscado. También debemos entender que dichos candidatos tendrán que esforzarse por aprender nuevos conocimientos, competencias y habilidades para mejorar.

Además, esta nueva perspectiva supone hacer que nuestro sector y los trabajos que ofrecemos resulten atractivos y sugerentes para personas de diversos bagajes culturales y procurar a nuestros empleados las herramientas, formación y orientación laboral que les hagan felices y les permitan conseguir sus objetivos.

Para ello, debemos invertir en tecnologías modernas que se apoyen en la automatización, el aprendizaje automático y la IA, por una parte, y cultivar un estilo de liderazgo basado en aspectos como la comunicación, la diversidad cultural y los programas de mentoría, por otra. Uno de mis mantras reza: «contratar por la actitud, formar en competencias y guiar para conseguir el mejor desempeño».

Está claro que no vamos a subsanar el déficit de profesionales de la ciberseguridad de la noche a la mañana. Pero, hasta que llegue ese momento, hay muchas cosas que podemos hacer, sobre todo ahora que sabemos que los buenos profesionales de la ciberseguridad no solo reducen el riesgo, sino que también son un factor estratégico de innovación para nuestras organizaciones.

1. Cybersecurity Workforce Study, (disponible en inglés), (ISC)², 20 de octubre de 2022
2. Cybersecurity Workforce Study, (disponible en inglés), (ISC)², 20 de octubre de 2022
3. Why is there a global medical recruitment and retention crisis?, (disponible en inglés), Foro Económico Mundial, 9 de enero de 2023
4. State of Cybersecurity 2022 Report, (disponible en inglés), ISACA, 23 de marzo de 2022