Las organizaciones de todo el mundo están experimentando un éxodo significativo de empleados en lo que se conoce como la «Gran Renuncia». Un estudio reciente encontró que más de la mitad de los profesionales de la seguridad están considerando renunciar a sus trabajos y está claro que la industria de la ciberseguridad no es inmune a este problema.
Teniendo en cuenta que el 51 % de los profesionales de la ciberseguridad han sufrido estrés y agotamiento debido al aumento de la carga de trabajo durante la pandemia, no es de extrañar que muchas personas estén considerando dejar la industria por completo. Y, por supuesto, otras personas están eligiendo dejar sus trabajos de seguridad cibernética para tener mejores oportunidades en otros lugares.
Cualquiera que sea el caso, un número creciente de despidos en una industria históricamente plagada de importantes brechas de habilidades es alarmante y pone a las organizaciones en mayor riesgo de sufrir graves violaciones de seguridad. Por lo tanto, existe una necesidad urgente de actuar para llegar al fondo de estos despidos y aumentar la retención de empleados de ciberseguridad.
Un serio problema
El Gran Retiro ha afectado a empresas de todas las industrias, pero los expertos creen que la ciberseguridad es uno de los sectores más afectados. Kieron Holyome, vicepresidente de BlackBerry para Reino Unido e Irlanda, Medio Oriente y África, describe la brecha de habilidades en la industria de la ciberseguridad como «casi crítica».
“Un efecto de la Gran Renuncia y la escasez crónica de talento en ciberseguridad es la proliferación de puntos ciegos en las soluciones de seguridad que ocultan vulnerabilidades abiertas”, dice. «Estas vulnerabilidades son utilizadas por los ciberdelincuentes para crear vectores de ataque que pueden permanecer inactivos durante años antes de programarlos para atacar y paralizar las organizaciones».
Ilona Simpson, CIO para Europa, Oriente Medio y África (EMEA) de Netskope, está de acuerdo en que las altas tasas de deserción del personal de seguridad pueden tener graves consecuencias para las empresas. Ella advierte que esto puede conducir a una mala salud mental y una baja productividad en los departamentos de ciberseguridad.
Ella le dice a Computer Weekly: “Con una escasez general de habilidades en todo el mercado, cualquier brecha en los equipos que mantienen la infraestructura crítica se siente y, a menudo, puede tardar meses en llenarse. Los equipos con poco personal tienden a tener exceso de trabajo, lo que puede tener un impacto negativo tanto en la salud mental como en la efectividad del equipo”.
Los equipos de seguridad con poco personal también dificultan que las organizaciones implementen defensas para evitar ataques, fugas de datos y otras ciberamenazas graves. «Además, la escasez de trabajadores calificados en una organización puede causar retrasos en el cambio de programas o iniciativas destinadas a mejorar la seguridad operativa general, lo que deja a la organización más vulnerable a las amenazas», agrega.
“Si bien es posible que las organizaciones subcontraten proyectos de gestión de cambios, el costo puede ser prohibitivo para muchas. Finalmente, a medida que una mayor proporción de la fuerza laboral abandona las organizaciones, la probabilidad de exfiltración de datos, ya sea intencional o accidental, aumenta significativamente”.
Manténgase seguro con menos defensores
Dado que los equipos de ciberseguridad experimentan un éxodo de talento y el ciberdelito en aumento, las organizaciones deben tomar medidas para mejorar el compromiso dentro de sus equipos de ciberseguridad y explorar soluciones alternativas para fortalecer sus defensas en línea. Para empezar, Simpson cree que las empresas deben administrar «cuidadosa y minuciosamente» el proceso de salida antes de que los empleados dejen sus puestos.
“Esta es una oportunidad importante para atraer ex alumnos, en lugar de solo un ex empleado, y mantener la buena voluntad reduce el riesgo de que se eliminen los registros de la empresa debido a la insatisfacción. También permite que el equipo titular comprenda mejor qué brechas deben llenar”, dice.
Las empresas afectadas por la escasez de talento en seguridad cibernética deberían reorganizar sus recursos actuales para abordar «problemas de alta prioridad» y cerrar las brechas de seguridad, según Simpson. También pueden usar tecnologías como la inteligencia artificial (IA) y brindar capacitación sobre seguridad en toda la empresa para llenar el vacío creado por la escasez de habilidades.
«A mediano y largo plazo, una empresa debe buscar formas de mitigar el impacto de los despidos», dice. “Esto podría incluir automatización; Revisión de procesos y pila de tecnología para determinar si AI/ML [machine learning] podría mejorar la actual línea de defensa; o simplemente ejecute programas de capacitación más amplios en toda la organización para aumentar la conciencia sobre los riesgos de seguridad”.
Los líderes de la empresa tienen la responsabilidad de abordar el aumento de los despidos en la industria de la ciberseguridad. Simpson dice que los empleadores deben comprender los objetivos y principios básicos del liderazgo y asegurarse de que no solo asignan tareas, sino que también brindan a los empleados las herramientas y el apoyo que necesitan para tener éxito en el lugar de trabajo.
“El buen liderazgo se enfoca en desarrollar una buena cultura. La marca del empleador, el rol y el salario pueden atraer a las personas a unirse a una organización, pero es la cultura lo que hace que se queden. Los equipos deben estar física y mentalmente cómodos. Los líderes deben crear una cultura de apoyo que recompense a los empleados por su compromiso con la empresa”, dice.
“Ciertamente no es fácil en el mundo híbrido del trabajo (y nadie lo dijo), pero no es imposible. Siempre he encontrado que los mejores talentos de seguridad son las personas que aportan curiosidad intelectual y una propensión a la resolución de problemas a un equipo. En estos casos, un paso simple es liberarlos del trabajo administrativo y dejar que se concentren en resolver el problema”.
Presión intensa
Defenderse contra ataques cibernéticos y vulnerabilidades las 24 horas del día, los 7 días de la semana puede crear un trabajo intenso para muchos profesionales de la ciberseguridad, que se ha incrementado dramáticamente durante la pandemia. Jake Moore, especialista en seguridad de ESET, teme que este sea uno de los principales contribuyentes a la gran recesión en la industria de la ciberseguridad.
“La industria de la seguridad de la información a menudo puede ser abrumadora para aquellos que mantienen las ruedas girando y manteniendo las ruedas en el buen camino, pero combinado con la falta de reconocimiento o las pocas oportunidades de desarrollo, puede volverse amargo rápidamente para aquellos que sienten la quemadura”, le dice a Computer Weekly.
«Esta industria de la seguridad de la información puede parecer muy prometedora desde el exterior, con culturas corporativas acogedoras que a menudo giran en torno a las redes sociales, pero muchos de los trabajos son tediosos, ya que tienen que trabajar muchas horas constantemente para mantener a raya las amenazas persistentes».
Moore cree que la clave para retener a los profesionales de la ciberseguridad es escuchar sus comentarios, brindarles oportunidades de desarrollo y crear un lugar de trabajo flexible. “Muchos gerentes de generaciones anteriores desean que su fuerza laboral, particularmente en tecnología, regrese a la oficina más de lo que deberían, lo que puede desanimar a los empleados. Ya no podemos demostrar que se puede confiar en el personal, por lo que se debe seguir con el debido respeto.
“Dejar la industria toma mucho más tiempo para reponer el talento perdido, lo que hace que sea más difícil para la próxima generación. Un éxodo masivo de empleados puede tener consecuencias nefastas, lo que he visto de primera mano cuando se han ido más oficiales de los que se han contratado. Esto también puede afectar la ciberseguridad”, agrega.
Implementar pasos importantes
Las brechas de habilidades y los despidos masivos en la industria de la ciberseguridad pueden sofocar la mentalidad de innovación, crecimiento y seguridad en las organizaciones, según Oz Alashe, director ejecutivo de CybSafe. Pero confía en que las empresas pueden tomar varios pasos efectivos para responder al impacto de la Gran Retirada.
En primer lugar, asesora a las empresas sobre cómo gestionar las expectativas de los solicitantes de empleo. “Muchas ofertas de trabajo generan expectativas poco realistas y buscan al candidato listo para cada puesto. El reclutamiento no llega a esas alturas”, dice.
“En la industria de la seguridad, no todos los roles requieren conocimientos técnicos desde el principio. Un ingeniero no tiene que ser un experto en ciberseguridad para crear un gran producto de seguridad. El talento está ahí. Dale a la gente el apoyo para prosperar”.
Si bien los despidos pueden causar una fuga de cerebros dentro de las organizaciones, pueden resolver este problema al mejorar las habilidades de los empleados existentes en áreas críticas como la seguridad de TI y darles la oportunidad de ocupar puestos cibernéticos vacantes.
Alashe dice: “Cada organización tiene empleados talentosos que están ansiosos por aprender más y mejorar sus habilidades. Encuentra los tesoros que ya tienes y bríndales el apoyo y la capacitación que necesitan para tener éxito. Descubrirá que esto reduce la presión de contratación y alienta a las mejores personas a quedarse».
Los empleadores deben generar confianza con sus especialistas en ciberseguridad para que puedan trabajar de la manera que mejor se adapte a sus necesidades. “Ofrecer estilos de trabajo verdaderamente flexibles es el camino hacia el éxito. Demasiadas empresas confunden el trabajo híbrido con la libertad y flexibilidad para elegir estilos y arreglos de trabajo. No lo es», dice Alashe.
“Los empleados quieren tener la confianza de que están trabajando de la mejor manera para ellos. Cuando una organización siente que esto no es posible, debe considerar si cuenta con la infraestructura y la estrategia de contratación adecuadas. Ofrezca flexibilidad real y las mejores personas le devolverán esa confianza”.
Algunas de las principales organizaciones de seguridad cibernética emplean mejores prácticas simples para mantener contentos a sus empleados y, en última instancia, mantenerlos. 1Password, por ejemplo, fomenta la comunicación abierta dentro de sus equipos a través de canales dedicados de Slack. También ofrece días de salud mental, beneficios para empleados como sesiones de meditación a través de la aplicación Headspace y capacitación sobre temas como cómo responder al cambio.
Jeff Shiner, CEO de 1Password, dice: «En realidad, eliminar el agotamiento por completo no es realista. Mientras la pandemia continúe y las amenazas se intensifiquen, seguirá siendo un problema que deberán abordar tanto las empresas como los empleados. Afortunadamente, existen soluciones para aliviar el agotamiento y las organizaciones deberían considerar colocarlas en el centro de sus iniciativas de capacitación en habilidades cibernéticas”.
Los especialistas en seguridad de TI desempeñan un papel crucial en las organizaciones modernas para garantizar que puedan detectar y responder a las ciberamenazas devastadoras. Entonces es muy preocupante ver a esta industria afectada por la Gran Renuncia. Lo que está claro es que las organizaciones deben hacer más para alentar a su fuerza laboral de seguridad cibernética a permanecer en su función, ya sea creando un lugar de trabajo más abierto o mejorando la salud mental de los empleados.