Cada negocio es ahora un negocio digital. Según el Departamento de Cultura, Medios y Deporte del Reino Unido (DCMS), el 96% de las empresas del Reino Unido tienen “alguna forma de exposición digital”, lo que ofrece a los ciberdelincuentes más oportunidades que nunca.
Desde las espectaculares brechas que atraen la atención mundial hasta los lapsos cotidianos, el panorama de amenazas a la seguridad cibernética está evolucionando rápidamente, con los ciberdelincuentes envalentonados para atacar un mundo que adoptó apresuradamente las tecnologías digitales. ForgeRock’s Informe de violación de identidad del consumidor 2021 reveló un aumento del 450% en las violaciones de nombres de usuario y contraseñas, con un costo promedio de $ 8,64 millones, atribuyendo en parte este aumento a la falta de preparación para la seguridad cibernética.
También es una pena, porque los directores ejecutivos habían estado trabajando duro para priorizar la seguridad cibernética antes de la pandemia. Alrededor del 77% de las empresas ahora lo tratan como una prioridad a nivel de la junta, según DCMS. Pero los cambios provocados por la pandemia presentan nuevos desafíos a los líderes empresariales y de seguridad, al tiempo que exacerban los antiguos. Y quizás el obstáculo más persistente para lograr una postura de ciberseguridad suficientemente sólida ha sido la creación, la retención y el escalamiento de los propios equipos de ciberseguridad.
Entonces, en el mundo digital pospandémico actual, donde los delincuentes cibernéticos ven un festín de oportunidades, ¿cuáles son los secretos para construir una función de seguridad cibernética de clase mundial? En mi opinión, los tres elementos clave son atributos, tipos de personalidad y expectativas.
Contrata por atributos, no por experiencia
La escasez de personal con habilidades altamente técnicas en seguridad cibernética, como el diseño de sistemas seguros, está bien documentada en este momento (ver aquí y aquí), pero algo que los líderes de seguridad cibernética a menudo pasan por alto es la importancia de contratar también para habilidades blandas.
Esta es un área donde ha habido mejoras recientemente: una encuesta de Tripwire encontró que el 21% de los encuestados calificaron las habilidades blandas como más importantes que las habilidades técnicas.
Sin embargo, todavía es común encontrar una empresa que intente construir su equipo de seguridad cibernética persiguiendo a un unicornio esquivo con 15 años de experiencia en el dominio que necesitan en ese momento en particular, por ejemplo, DevSecOps o detección de intrusos, y sin considerar el otro. habilidades que necesitarán a largo plazo. Pueden ser la persona más talentosa en ese dominio, pero necesitan suficiente de ese trabajo para mantenerlos ocupados y / o apasionados, lo cual es difícil en el cambiante mundo de la seguridad cibernética.
Y contratar para el negocio hoy no equivale al éxito de mañana. La tecnología cambia, las amenazas evolucionan y su base tecnológica de seguridad cibernética se alinea. Los estándares técnicos actuales pronto estarán desactualizados, por lo que el atributo más importante es poder resolver problemas y adaptarse, para que puedan responder y superar nuevos desafíos.
¿Cómo puedes hacer feliz a alguien si lo encajas en un atributo en lugar de en un agujero en forma de habilidad? Establezca su contratación dentro de una hoja de ruta de tres a cinco años. Por ejemplo, si está contratando a un graduado en seguridad cibernética, esa persona no querrá estar en ese puesto durante 10 años. Depende de usted crear un plan para hacerlos crecer profesionalmente.
Debe utilizarlos en proyectos que le proporcionarán experiencia y habilidades adicionales mientras busca oportunidades para combinar sus habilidades técnicas existentes con otros proyectos. Por ejemplo, pídales que sigan a otros miembros del equipo. Así es como retienes el talento: con una hoja de ruta guiada. Y si realmente necesita ese especialista técnico en un solo aspecto, simplemente contrate a un contratista en lugar de un empleado permanente.
Sea sensible a los tipos de personalidad
Otro rasgo que a menudo se pasa por alto es la inteligencia emocional y los tipos de personalidad. Esto está cambiando: la encuesta de F-Secure de este año a los directores de seguridad de la información (CISO) encontró que dos tercios entendían el papel cada vez más importante de la inteligencia emocional para ayudarlos a navegar en el negocio. Esta mentalidad puede y debe aplicarse en todo el equipo de seguridad cibernética, ya que puede alterar fundamentalmente su cohesión.
Asegurarse de que está formando un grupo cohesionado ayudará a garantizar que los miembros del equipo trabajen bien con los demás. Incluso si tienen el CV más impresionante, su forma de trabajar podría estar en desacuerdo con el equipo y terminar alterando el equilibrio de su equipo. Ninguna cantidad de experiencia puede compensar ese daño, por lo que tomar la decisión correcta sobre cómo un candidato encajará en el ecosistema existente desde el principio es tan importante como evaluar las calificaciones para construir un equipo impactante.
Aquí es donde los CV y muchas entrevistas son seriamente deficientes. No obtienes información sobre la personalidad de alguien leyendo una lista depurada de experiencias o preguntándoles su opinión sobre un marco de seguridad. Por lo tanto, use las entrevistas para ponerse detrás del velo haciendo preguntas inusuales a las que es poco probable que los candidatos tengan respuestas ensayadas, para tener una idea de quiénes son. A menudo pregunto: ‘¿Cuál es tu idea de un buen fin de semana?’ para descubrir cómo priorizan las cosas en la vida y su disposición a responder preguntas con honestidad.
Sea realista sobre las expectativas
A muchos graduados se les han alimentado ideas infladas sobre el mercado laboral de la seguridad cibernética, lo que crea el riesgo de un desajuste entre las expectativas y la realidad. Como resultado, depende de los gerentes de contratación tener claro cómo se ve realmente una carrera, al mismo tiempo que se crean las oportunidades de desarrollo futuras que ayudarán a progresar en las carreras de los nuevos empleados.
El mejor antídoto para las expectativas poco realistas es la transparencia total. Los contratantes deben pintar una imagen muy clara para el candidato de cuál es la realidad para los nuevos empleados, incluido poner el salario en el anuncio de trabajo. En California, las empresas tienen que decirles a los solicitantes la banda salarial del puesto si se les pregunta, pero no veo ningún sentido en esperar.
Para asegurarse de que estos estén en línea con su geografía y la antigüedad del puesto, utilice los puntos de referencia de compensación de Radford para la debida diligencia. Asegúrese de discutir los requisitos salariales al principio del proceso de contratación; es uno de los obstáculos más comunes para la contratación, así que no lo posponga. Y combine esta realineación temprana con un compromiso genuino con la progresión profesional a largo plazo, de modo que incluso si los graduados no obtienen el glamour que se les prometió falsamente desde el principio, saben que hay oportunidades de crecimiento.
Las empresas no pueden permitirse el lujo de tener un equipo de seguridad cibernética formado por profesionales ineficaces en este clima; fracasarán incluso antes de comenzar. Puede parecer obvio, pero escalar y fortalecer su equipo de seguridad cibernética y su talento es un factor fundamental en el que muchas empresas todavía se equivocan.
Pero al contratar por habilidades blandas, no por experiencia, ser sensible a los tipos de personalidad y ser sincero sobre las expectativas de los roles, las empresas pueden reforzar sus defensas en un momento de riesgo elevado y equipar a sus equipos para adaptarse al futuro.
Russ Kirby es CISO en ForgeRock.