6 Razones por las que el reclutamiento de expertos en seguridad apesta

¿Es la escasez de habilidades en el campo de la seguridad tan real como se afirma en los informes?

Con este artículo no quiero decir que sea fácil reclutar y retener a profesionales en ciberseguridad talentosos, simplemente significa quiero dejar caer que muchas organizaciones quizás estén culpando a las malas dinámicas del mercado por sus propias deficiencias.

Ante la gran escasez de expertos en ciberseguridad, se hace evidente que existe una gran brecha pero tiene eso que ver menos quizás no tanto con la escasez de mano de obra, sino más bien con algunos problemas fundamentales entre los líderes empresariales.

Muchas empresas no son capaces de ver la importancia de como se ejecutan sus programas de seguridad y gestionan los recursos humanos su disposición.
Si eres uno de los líderes que informan en las encuestas de la industria que no eres capaz de encontrar a buenos talentos en seguridad, estas son algunas de las posibles razones de ello.

Buscas habilidades muy específicas

Los expertos, dicen que las universidades deben capacitar a los graduados en habilidades de seguridad cibernética, algunos incluso quieren que los niños de secundaria y preparatoria estén capacitados en seguridad cibernética.

La dificultad en esto, se encuentra en que este conjunto de habilidades específicas es un objetivo en movimiento porque en realidad el abarcar un conjunto diverso de especialidades y estar siempre actualizado; es casi imposible.

A medida que cambia el panorama de las amenazas existentes, las demandas entre los expertos en seguridad cibernética cambian y las certificaciones o títulos de seguridad cibernética también; incluso se vuelven obsoletos.

Lo que no se vuelve obsoleto es el conocimiento fundamental en algunas competencias clave, a saber; principios de gestión de riesgos, arquitectura de red, programación + diseño de software y ciencia de datos.

Desafortunadamente, cuando la industria se fija en el reclutamiento enfocado en habilidades muy específicas, ya sea una tecnología específica o un título que se enfoca en ciberseguridad; seguramente vas a contar con un muy pequeño grupo de personas entre el que elegir.

En cambio, existen muchos candidatos con una base sólida en esas competencias clave fundamentales y una aptitud para aprender en el trabajo.  Dichos candidatos probablemente sean fabulosos profesionales de la seguridad de la información, a poco que muestres algo de interés en terminar de formarlo.

“El ejército no grita que no puede encontrar reclutas que ya estén entrenados en combate”

¿Por qué, entonces, tantas agencias gubernamentales y empresas del sector privado se quejan de la falta de profesionales  en ciberseguridad?

En lugar de buscar una lista muy específica de habilidades de seguridad cibernética, las organizaciones tendrían más éxito en la creación de un personal si buscan candidatos que demuestren algunas competencias fundamentales específicas y el valor que se necesita para aprender el resto mientras trabaja.

Estás buscando un pensamiento no convencional en lugar de convencional

Los mejores profesionales de la seguridad tienden a provenir de un campo diferente al de la seguridad, si las organizaciones quieren un tipo de pensadores no convencionales que pueden hacer sombra a los piratas informáticos, tendrían que reconsiderar los lugares convencionales en los que buscan a sus empleados.

“Los expertos que resolverán algunos de los mayores desafíos de seguridad no siempre provendrán de escuelas de primer nivel con diplomas de posgrado, por lo que es importante mirar más allá del currículum”.

Eso significa buscar talento en lugares poco formales, como por ejemplo en hackatones o eventos de capturar la bandera (capture the flag), también se debería considerar buscar talento en otras disciplinas y departamentos.

Por ejemplo, el campo de la ciencia de datos es una habilidad cada vez más importante, porque los equipos de seguridad deben analizar conjuntos de datos cada vez más grandes para correlacionar eventos e identificar comportamientos maliciosos.

Los líderes de seguridad creativos pueden encontrar que es más fácil reclutar a un gurú de la ciencia de datos de un **equipo de análisis de negocios y emparejar a esa persona con el personal de seguridad experimentado que buscar un empleado perfecto con habilidades en seguridad y ciencia de datos.

Caes en la trampa del certificado

El culmen del fracaso en la reclutación de expertos en seguridad para una empresa, es el objetivo de requerir habilidades demasiado específicas bajo la dependencia de un certificado concreto.

“Para ser bueno en seguridad de la información, uno debe ser inteligente, orientado a los detalles, imaginativo y audaz”.

Sin querer ofender a todos aquellos profesionales que apuestan por las certificaciones en seguridad y masters rimbonbantes; el espíritu de un sello certificado va en contra de toda mentalidad en seguridad.

“El propósito de los certificados es asegurar a ciertas personas corporativos que conoces ciertas cualidades; pero eso es algo totalmente predecible y que no demuestra que ese candidato tenga la picardía necesaria para convertirse en un gran experto en ciberseguridad”.

Esto no quiere decir que las organizaciones deban renunciar por completo a las certificaciones, pero aferrarse a ellas como requisitos estrictos y rápidos como medida de selección, es una forma segura de crear una escasez de habilidades creativas dentro de tu equipo de seguridad.

Tus expectativas salariales no son realistas

Existen varios estudios que demuestran que una de las principales razones por las que las organizaciones no son capaces de reclutar talento de calidad en el ámbito de la seguridad es que simplemente no están dispuestas a desembolsar el dinero que los candidatos demandan legítimamente.
a escasez de habilidades es en realidad una escasez de personas dispuestas a trabajar por debajo de su tasa de mercado.

“Es una dinámica de mercado laboral muy interesante. Las empresas se quejan de que no pueden atraer talento, dicen que no pueden mantener el talento y dicen que han intentado todo para hacerlo: Excepto aumentar los salarios”.

Esto se aplica no solo a la contratación, sino también a la retención de aquellos empleados motivados que han hecho el trabajo necesario para mejorar sus habilidades dentro del trabajo a desempeñar.

Tu cultura juega el juego de la culpa

“Muchos equipos de seguridad consideran que las presiones constantes de la “cultura de la culpa de las corporaciones estadounidenses” son demasiado intensas y el miedo a ser despedidos por una infracción a menudo pasa factura”.

Con demasiada frecuencia, los roles de seguridad se crean para que las personas actúen como tótems corporativos en lugar de agentes de cambio significativos y carecen del apoyo ejecutivo, la autoridad y el presupuesto adecuado necesarios para realizar su trabajo.

Esta es una situación de chivo expiatorio total y una que los profesionales de seguridad experimentados pueden detectar con bastante rapidez. A ellos, les hará correr fuera de tu empresa, ya bien sea durante el proceso de la entrevista o poco tiempo después de acceder a trabajar par tu empresa.

Te olvidas de que tus trabajadores son humanos

La razón por la que es tan fácil creer que hay una escasez real de profesionales de seguridad calificados en el mercado es porque todos los profesionales de seguridad han sentido el dolor de estar demasiado al límite en algún momento de su carrera.

Existe mucho que hacer pero con muy pocas horas por trabajador en la lista.

Sin embargo, la escala a la que se lanzan los ataques contra las organizaciones hoy en día pone a los equipos de seguridad en una situación imposible: Nunca habrá suficiente personal de seguridad.

El equipo humano es finito y manejar el panorama de amenazas actual sin cambiar el modus operandi de un programa de seguridad bien establecido, roza lo imposible.

En otras palabras, si respondes a los problemas escalando tu equipo de seguridad cuando en peor situación se encuentra tu empresa, en lugar de automatizar, optimizar operaciones y buscar formas creativas de aprovechar el grupo de talentos de seguridad del que dispones.

Siempre sentirá que no NO tienes suficientes manos para cubrir tus necesidades.¿Es la escasez de habilidades en el campo de la seguridad tan real como se afirma en los informes?

Con este artículo no quiero decir que sea fácil reclutar y retener a profesionales en ciberseguridad talentosos, simplemente significa quiero dejar caer que muchas organizaciones quizás estén culpando a las malas dinámicas del mercado por sus propias deficiencias.

Ante la gran escasez de expertos en ciberseguridad, se hace evidente que existe una gran brecha pero tiene eso que ver menos quizás no tanto con la escasez de mano de obra, sino más bien con algunos problemas fundamentales entre los líderes empresariales.

Muchas empresas no son capaces de ver la importancia de como se ejecutan sus programas de seguridad y gestionan los recursos humanos su disposición.
Si eres uno de los líderes que informan en las encuestas de la industria que no eres capaz de encontrar a buenos talentos en seguridad, estas son algunas de las posibles razones de ello.

Buscas habilidades muy específicas

Los expertos, dicen que las universidades deben capacitar a los graduados en habilidades de seguridad cibernética, algunos incluso quieren que los niños de secundaria y preparatoria estén capacitados en seguridad cibernética.

La dificultad en esto, se encuentra en que este conjunto de habilidades específicas es un objetivo en movimiento porque en realidad el abarcar un conjunto diverso de especialidades y estar siempre actualizado; es casi imposible.

A medida que cambia el panorama de las amenazas existentes, las demandas entre los expertos en seguridad cibernética cambian y las certificaciones o títulos de seguridad cibernética también; incluso se vuelven obsoletos.

Lo que no se vuelve obsoleto es el conocimiento fundamental en algunas competencias clave, a saber; principios de gestión de riesgos, arquitectura de red, programación + diseño de software y ciencia de datos.

Desafortunadamente, cuando la industria se fija en el reclutamiento enfocado en habilidades muy específicas, ya sea una tecnología específica o un título que se enfoca en ciberseguridad; seguramente vas a contar con un muy pequeño grupo de personas entre el que elegir.

En cambio, existen muchos candidatos con una base sólida en esas competencias clave fundamentales y una aptitud para aprender en el trabajo.  Dichos candidatos probablemente sean fabulosos profesionales de la seguridad de la información, a poco que muestres algo de interés en terminar de formarlo.

“El ejército no grita que no puede encontrar reclutas que ya estén entrenados en combate”

¿Por qué, entonces, tantas agencias gubernamentales y empresas del sector privado se quejan de la falta de profesionales  en ciberseguridad?

En lugar de buscar una lista muy específica de habilidades de seguridad cibernética, las organizaciones tendrían más éxito en la creación de un personal si buscan candidatos que demuestren algunas competencias fundamentales específicas y el valor que se necesita para aprender el resto mientras trabaja.

Estás buscando un pensamiento no convencional en lugar de convencional

Los mejores profesionales de la seguridad tienden a provenir de un campo diferente al de la seguridad, si las organizaciones quieren un tipo de pensadores no convencionales que pueden hacer sombra a los piratas informáticos, tendrían que reconsiderar los lugares convencionales en los que buscan a sus empleados.

“Los expertos que resolverán algunos de los mayores desafíos de seguridad no siempre provendrán de escuelas de primer nivel con diplomas de posgrado, por lo que es importante mirar más allá del currículum”.

Eso significa buscar talento en lugares poco formales, como por ejemplo en hackatones o eventos de capturar la bandera (capture the flag), también se debería considerar buscar talento en otras disciplinas y departamentos.

Por ejemplo, el campo de la ciencia de datos es una habilidad cada vez más importante, porque los equipos de seguridad deben analizar conjuntos de datos cada vez más grandes para correlacionar eventos e identificar comportamientos maliciosos.

Los líderes de seguridad creativos pueden encontrar que es más fácil reclutar a un gurú de la ciencia de datos de un **equipo de análisis de negocios y emparejar a esa persona con el personal de seguridad experimentado que buscar un empleado perfecto con habilidades en seguridad y ciencia de datos.

Caes en la trampa del certificado

El culmen del fracaso en la reclutación de expertos en seguridad para una empresa, es el objetivo de requerir habilidades demasiado específicas bajo la dependencia de un certificado concreto.

“Para ser bueno en seguridad de la información, uno debe ser inteligente, orientado a los detalles, imaginativo y audaz”.

Sin querer ofender a todos aquellos profesionales que apuestan por las certificaciones en seguridad y masters rimbonbantes; el espíritu de un sello certificado va en contra de toda mentalidad en seguridad.

“El propósito de los certificados es asegurar a ciertas personas corporativos que conoces ciertas cualidades; pero eso es algo totalmente predecible y que no demuestra que ese candidato tenga la picardía necesaria para convertirse en un gran experto en ciberseguridad”.

Esto no quiere decir que las organizaciones deban renunciar por completo a las certificaciones, pero aferrarse a ellas como requisitos estrictos y rápidos como medida de selección, es una forma segura de crear una escasez de habilidades creativas dentro de tu equipo de seguridad.

Tus expectativas salariales no son realistas

Existen varios estudios que demuestran que una de las principales razones por las que las organizaciones no son capaces de reclutar talento de calidad en el ámbito de la seguridad es que simplemente no están dispuestas a desembolsar el dinero que los candidatos demandan legítimamente.
a escasez de habilidades es en realidad una escasez de personas dispuestas a trabajar por debajo de su tasa de mercado.

“Es una dinámica de mercado laboral muy interesante. Las empresas se quejan de que no pueden atraer talento, dicen que no pueden mantener el talento y dicen que han intentado todo para hacerlo: Excepto aumentar los salarios”.

Esto se aplica no solo a la contratación, sino también a la retención de aquellos empleados motivados que han hecho el trabajo necesario para mejorar sus habilidades dentro del trabajo a desempeñar.

Tu cultura juega el juego de la culpa

“Muchos equipos de seguridad consideran que las presiones constantes de la “cultura de la culpa de las corporaciones estadounidenses” son demasiado intensas y el miedo a ser despedidos por una infracción a menudo pasa factura”.

Con demasiada frecuencia, los roles de seguridad se crean para que las personas actúen como tótems corporativos en lugar de agentes de cambio significativos y carecen del apoyo ejecutivo, la autoridad y el presupuesto adecuado necesarios para realizar su trabajo.

Esta es una situación de chivo expiatorio total y una que los profesionales de seguridad experimentados pueden detectar con bastante rapidez. A ellos, les hará correr fuera de tu empresa, ya bien sea durante el proceso de la entrevista o poco tiempo después de acceder a trabajar par tu empresa.

Te olvidas de que tus trabajadores son humanos

La razón por la que es tan fácil creer que hay una escasez real de profesionales de seguridad calificados en el mercado es porque todos los profesionales de seguridad han sentido el dolor de estar demasiado al límite en algún momento de su carrera.

Existe mucho que hacer pero con muy pocas horas por trabajador en la lista.

Sin embargo, la escala a la que se lanzan los ataques contra las organizaciones hoy en día pone a los equipos de seguridad en una situación imposible: Nunca habrá suficiente personal de seguridad.

El equipo humano es finito y manejar el panorama de amenazas actual sin cambiar el modus operandi de un programa de seguridad bien establecido, roza lo imposible.

En otras palabras, si respondes a los problemas escalando tu equipo de seguridad cuando en peor situación se encuentra tu empresa, en lugar de automatizar, optimizar operaciones y buscar formas creativas de aprovechar el grupo de talentos de seguridad del que dispones.
Siempre sentirá que no NO tienes suficientes manos para cubrir tus necesidades.

Relacionado

Deja un comentario