A nivel mundial, las organizaciones están presenciando un éxodo significativo de empleados en lo que se conoce como la Gran Renuncia. Con un estudio reciente que encontró que más de la mitad de los profesionales de la seguridad están contemplando dejar sus trabajos, está claro que la industria de la seguridad cibernética no es inmune a este problema.
Teniendo en cuenta que el 51 % de los profesionales de la seguridad cibernética experimentó estrés y agotamiento como resultado de las mayores cargas de trabajo durante la pandemia, no es de extrañar que muchas personas estén pensando en abandonar la industria por completo. Y, por supuesto, otras personas eligen dejar sus trabajos de seguridad cibernética para buscar mejores oportunidades en otros lugares.
Cualquiera que sea el caso, un número creciente de renuncias en una industria históricamente plagada de brechas de habilidades considerables es alarmante y pone a las organizaciones en un mayor riesgo de violaciones de seguridad graves. Por lo tanto, se requiere una acción urgente para llegar al fondo de estas renuncias y aumentar la retención del personal en el sector de la seguridad cibernética.
un problema serio
La Gran Renuncia ha afectado a empresas de todas las industrias, pero los expertos creen que la seguridad cibernética es uno de los sectores más afectados. Kieron Holyome, vicepresidente para Reino Unido e Irlanda, Medio Oriente y África de BlackBerry, califica la brecha de habilidades en la industria de la seguridad cibernética como “al borde de lo crítico”.
“Un impacto de la Gran Renuncia y la escasez crónica de talento en seguridad cibernética es la prevalencia de puntos ciegos en las soluciones de seguridad, detrás de los cuales se encuentran vulnerabilidades enormes”, dice. “Los ciberdelincuentes utilizan estas vulnerabilidades para plantar vectores de ataque, que pueden permanecer inactivos durante años antes de elegir el momento oportuno para atacar y paralizar las empresas”.
Ilona Simpson, CIO de Europa, Medio Oriente y África (EMEA) en Netskope, está de acuerdo en que las altas tasas de empleados que renuncian a puestos de seguridad pueden tener graves consecuencias para las organizaciones. Ella advierte que esto puede causar problemas de salud mental y baja productividad en los departamentos de seguridad cibernética.
Ella le dice a Computer Weekly: “Con una escasez general de habilidades en todo el mercado, cualquier brecha en los equipos que mantienen la infraestructura crítica se sentirá agudamente y, a menudo, puede tardar meses en llenarse. Los equipos que no tienen suficiente personal tienden a trabajar demasiado, lo que puede tener un impacto negativo tanto en la salud mental como en la efectividad del equipo”.
Los equipos de seguridad con poco personal también dificultan que las empresas implementen defensas para prevenir ataques, fugas de datos y otras ciberamenazas graves. “Además, la escasez de habilidades en una empresa puede provocar retrasos en el cambio de programas o iniciativas diseñadas para mejorar la seguridad operativa general, lo que deja a la empresa expuesta a amenazas durante más tiempo”, agrega.
“Si bien es posible que las empresas subcontraten proyectos de gestión de cambios, el costo puede ser un factor prohibitivo para muchos. Finalmente, con una mayor proporción de la fuerza laboral saliendo de las empresas, la posibilidad de exfiltración de datos, ya sea deliberada o accidental, aumenta significativamente”.
Mantenerse seguro con menos defensores
Con los equipos de seguridad cibernética experimentando un éxodo de talento y con el aumento de los delitos cibernéticos, las organizaciones deberían tomar medidas para mejorar la retención en sus equipos de seguridad cibernética y explorar soluciones alternativas para reforzar sus defensas en línea. Para empezar, Simpson cree que las empresas deben administrar “cuidadosa y minuciosamente” el proceso de salida antes de que los empleados renuncien a sus funciones.
“Esta es una oportunidad clave para ganar ex alumnos, en lugar de solo un ex empleado, y preservar la buena voluntad reduce el riesgo de que los datos corporativos se eliminen debido al descontento. También permite que el equipo titular obtenga una mejor comprensión de las brechas que deben abordar”, dice.
Las empresas afectadas por la falta de talento en seguridad cibernética deberían reorganizar los recursos actuales para gestionar los “problemas de alta prioridad” y cerrar las brechas de seguridad, según Simpson. También pueden adoptar tecnologías como la inteligencia artificial (IA) y brindar capacitación de concientización sobre seguridad en toda la empresa para llenar el vacío dejado por la escasez de habilidades.
“A mediano y largo plazo, una empresa debe explorar oportunidades para mitigar el impacto de las renuncias”, dice. “Esto podría incluir automatización; revisar los procesos y la pila de tecnología para determinar si AI/ML [machine learning] podría mejorar la actual línea de defensa; o simplemente promulgar programas educativos más amplios en toda la organización para crear conciencia sobre los riesgos de seguridad”.
Los líderes empresariales tienen la responsabilidad de abordar las renuncias cada vez mayores en la industria de la seguridad cibernética. Simpson dice que los empleadores deben comprender los propósitos y principios fundamentales del liderazgo, asegurándose de que no solo asignen tareas, sino que también brinden a los empleados las herramientas y el apoyo necesarios para tener éxito en el lugar de trabajo.
“El buen liderazgo se enfoca en generar una buena cultura. La marca del empleador, el rol y el salario pueden ser lo que atrae a las personas a unirse a una organización, pero es la cultura lo que hace que se queden. Hay que hacer que los equipos se sientan cómodos, tanto física como intelectualmente. Los líderes deben crear una cultura de apoyo que recompense a los empleados por comprometerse con los negocios”, dice.
“Esto ciertamente no es fácil en el mundo laboral híbrido (y nadie dijo que lo sería), pero no es imposible. Siempre he encontrado que el mejor talento de seguridad son las personas que aportan curiosidad intelectual y un sesgo para la resolución de problemas a un equipo. Entonces, un paso simple en esos casos es ayudarlos a deshacerse del trabajo administrativo y dejar que se concentren en la resolución de problemas”.
Presión intensa
La naturaleza permanente de mitigar los ataques cibernéticos y las vulnerabilidades puede crear un lugar de trabajo intenso para muchos profesionales de la seguridad cibernética, que ha aumentado drásticamente durante la pandemia. Jake Moore, especialista en seguridad de ESET, teme que este sea uno de los principales contribuyentes a la Gran Renuncia en la industria de la ciberseguridad.
“La industria de la seguridad de la información a menudo puede abrumar a quienes mantienen los engranajes girando y se aseguran de que las ruedas no se caigan, pero junto con la falta de reconocimiento o las pocas oportunidades de desarrollo, pronto puede volverse amargo para quienes sienten la quemadura”, le dice a Computer. Semanalmente.
“Esta industria de la seguridad de la información puede parecer muy prometedora desde el exterior con culturas empresariales atractivas que a menudo se difunden en las redes sociales, pero muchos de los trabajos son agotadores con largas horas constantemente en un intento de mantener a raya las amenazas persistentes”.
Moore cree que la clave para retener a los profesionales de la seguridad cibernética es escuchar sus opiniones, brindarles oportunidades de desarrollo y crear un lugar de trabajo flexible. “Muchos gerentes de generaciones anteriores desean que su fuerza laboral, particularmente en el área técnica, regrese a la oficina más de lo que su personal puede desear, lo que puede alejar a las personas. Ahora estamos más allá de demostrar que se puede confiar en los empleados, por lo tanto, debe seguir el debido respeto.
“Dejar la industria toma mucho más tiempo para reponer el talento perdido, lo que hace que sea más difícil para la próxima generación. Un éxodo masivo de personal puede tener graves consecuencias, que he visto de primera mano cuando se fueron más policías de los que se reclutaron. Esto puede tener el mismo impacto en la seguridad cibernética”, agrega.
Implementar pasos clave
Las brechas de habilidades y las renuncias masivas en la industria de la seguridad cibernética pueden sofocar la innovación, el crecimiento y la postura de seguridad en las empresas, según el CEO de CybSafe, Oz Alashe. Pero confía en que las empresas pueden dar varios pasos efectivos en respuesta a las implicaciones de la Gran Renuncia.
En primer lugar, aconseja a las empresas que gestionen las expectativas de los candidatos a un puesto de trabajo. “Muchos anuncios de trabajo establecen expectativas poco realistas, buscando al candidato listo para el horno para cada puesto. El reclutamiento no alcanza estas alturas”, dice.
“En la industria de la seguridad, no todos los roles requieren experiencia técnica desde el principio. Un ingeniero no necesita ser un genio de la seguridad cibernética para construir un gran producto de seguridad. El talento está ahí. Dale a la gente el apoyo para prosperar”.
Si bien las renuncias pueden resultar en una fuga de cerebros dentro de las organizaciones, pueden resolver este problema mejorando las habilidades del personal existente en áreas cruciales como la seguridad de TI y brindándoles oportunidades para ocupar puestos cibernéticos vacantes.
Alashe dice: “Cada organización tiene personas talentosas ansiosas por aprender más y mejorar su conjunto de habilidades. Encuentre las gemas que ya tiene y bríndeles el apoyo y la capacitación que necesitan para tener éxito. Descubrirá que esto alivia la presión sobre el reclutamiento e incentiva e involucra a las mejores personas para que se queden”.
Los empleadores deben generar confianza con sus especialistas en seguridad cibernética, permitiéndoles trabajar de la manera que mejor se adapte a sus necesidades. “Ofrecer estilos de trabajo verdaderamente flexibles es el camino hacia el éxito. Demasiadas organizaciones confunden el trabajo híbrido con la libertad y la flexibilidad para elegir estilos y arreglos de trabajo. No lo es”, dice Alashe.
“Los empleados quieren que se les confíe en trabajar de la manera que sea mejor para ellos. Si una organización siente que no puede hacer esto, entonces debe considerar si cuenta con la infraestructura y la estrategia de reclutamiento adecuadas. Proporcione una flexibilidad genuina y los mejores empleados le devolverán esa confianza”.
Algunas de las principales organizaciones de seguridad cibernética están adoptando mejores prácticas simples para mantener contentos a sus empleados y, en última instancia, retenerlos. 1Password, por ejemplo, fomenta la comunicación abierta en sus equipos a través de canales dedicados de Slack. También brinda días de salud mental, beneficios para los empleados, como sesiones de meditación a través de la aplicación Headspace y capacitación sobre temas como la respuesta al cambio.
Jeff Shiner, CEO de 1Password, dice: “En realidad, eliminar el agotamiento por completo no es realista. Mientras la pandemia persista y las amenazas aumenten, seguirá siendo un problema con el que tendrán que lidiar tanto las empresas como los empleados. Afortunadamente, existen soluciones para ayudar a aliviar el agotamiento, y las empresas deberían considerar convertirlas en el centro de sus iniciativas de capacitación en habilidades cibernéticas”.
Los especialistas en seguridad de TI desempeñan un papel vital en las organizaciones modernas, ya que garantizan que estén equipados para detectar y responder a amenazas cibernéticas devastadoras. Entonces, ver a esta industria afectada por la Gran Renuncia es muy preocupante. Lo que está claro es que las empresas deben hacer más para alentar a sus empleados de seguridad cibernética a permanecer en sus funciones, ya sea creando un lugar de trabajo más abierto o mejorando la salud mental del personal.