Crisis de talento humano en operación de ciberseguridad despeja el camino a hackers

El presidente de Estados Unidos, Joe Biden, ha instado a las empresas estadounidenses a que “endurezcan sus defensas cibernéticas inmediatamente” en medio de un riesgo creciente de ciberataques rusos. Para muchos, eso no será fácil.

La guerra por el talento ha sido identificada en todo el país, pero es particularmente aguda en ciberseguridad. Y solo empeoró a medida que la competencia en el mercado laboral más amplio se ha intensificado, aumentando la vulnerabilidad potencial de las empresas a los piratas informáticos y la urgencia de aumentar la fuerza laboral.

Alrededor de un millón de personas trabajan en ciberseguridad en Estados Unidos, pero hay casi 600.000 posiciones vacantes, según datos de CyberSeek. De ellas, 560.000 están en el sector privado. En los últimos 12 meses, las ofertas de trabajo aumentaron un 29%, más del doble de la tasa de crecimiento entre 2018 y 2019, según Gartner TalentNeuron, que rastrea las tendencias del mercado laboral.

“La crisis del talento en ciberseguridad definitivamente ha empeorado mucho”, dijo Jamie Kohn, directora de investigación de recursos humanos de Gartner Inc., una empresa de consultoría e investigación tecnológica. “Pensamos que tal vez teníamos cinco años para atraer a esos profesionales, y ahora estamos tratando de hacerlo de la noche a la mañana”.

Ya era difícil encontrar trabajadores con las habilidades técnicas necesarias para responder a las amenazas cibernéticas antes de que la pandemia de covid-19 obligara a los empleados a trabajar desde casa. Pero una confluencia de eventos aumentó aún más la demanda de puestos como desarrolladores de software, evaluadores de vulnerabilidades, ingenieros de redes y analistas de seguridad cibernética.

Con tantos empleados usando sus redes y computadoras domésticas, los intentos de phishing se dispararon, al igual que los ataques de ransomware en empresas, escuelas, hospitales y otras organizaciones.

La escasez de trabajadores cibernéticos es un problema particular con las organizaciones más pequeñas, desde municipios y bufetes de abogados hasta hospitales y empresas, que no pueden ofrecer salarios lo suficientemente altos para atraer a trabajadores altamente calificados, dijo Max Shuftan, director de programas y asociaciones en SANS Institute, una organización de formación en ciberseguridad.

Si los estadounidenses no hacen algo al respecto, habrá 3,5 millones de puestos de trabajo de seguridad cibernética vacantes para 2025, dijo Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU., aparentemente citando una cifra de Cybersecurity Ventures, una organización de investigación.

El Departamento de Seguridad Nacional (DHS, por sus siglas en inglés) implementó un nuevo sistema para contratar personal de seguridad cibernética en noviembre que permitiría a los trabajadores federales de seguridad cibernética ganar hasta US$255.800, equivalente al salario de la vicepresidenta, Kamala Harris. El nuevo sistema de escala salarial se creó para ayudar al departamento a competir por el talento, de acuerdo con DHS.

La industria de la ciberseguridad tampoco es inmune a las tendencias macroeconómicas más amplias que están alterando el mercado laboral, incluido el deseo de trabajo remoto, horarios flexibles y salarios más altos. Trellix, por ejemplo, adoptará un modelo híbrido en el que los empleados equilibren el trabajo remoto y el trabajo desde la oficina.

En 2020, el salario medio anual de los analistas de seguridad de la información fue de US$107.580, casi el doble de la media de todas las ocupaciones de EE.UU. combinadas, según datos de la Oficina de Estadísticas Laborales.

Debido a que las habilidades de seguridad cibernética tienen una demanda tan alta, los trabajadores tienen margen para negociar y pueden pasar de una empresa a otra con relativa facilidad. Pero contratar profesionales de ciberseguridad de otra empresa no soluciona el problema de fondo: que no hay suficientes trabajadores calificados, dijo Stuart Madnick, profesor de tecnologías de la información en la Sloan School of Management del MIT.

Países como Rusia, China e Israel que tienen el servicio militar obligatorio tienen una mejor fuente de talento de personas calificadas que han sido capacitadas en ciberseguridad a nivel gubernamental, según Bryan Palma, director ejecutivo de Trellix Corp. Dijo que se ha estado comunicando con miembros del Congreso para crear un programa tipo AmeriCorps específicamente para fomentar el talento en seguridad cibernética, porque no hay suficientes estadounidenses capacitados a través del servicio gubernamental.

Otros esfuerzos para aumentar el grupo de talentos incluyen la implementación de cursos de seguridad cibernética en las escuelas secundarias, la oferta de talleres para profesionales de TI de nivel inferior, la realización de capacitaciones en regiones rurales y abandonar los requisitos de grado a favor de las pruebas de aptitud. La automatización de algunas tareas relacionadas con la seguridad también podría ser una solución al problema de contratación.