La Conferencia anual RSA, en California, es un gran “festival de seguridad” que destaca los nuevos sistemas de protección de la información que darán la nota durante los próximos meses. Para los profesionales de seguridad de TI, RSA representa una gran posibilidad de conocer (y obtener) lo que se viene, conocer colegas, y explorar los nuevos desarrollos y las novedades en seguridad de la información. Para mí, este año se destacaron dos temas muy importantes en RSA 2015:

  1. Cada vez hay más y más tecnología de la información para defender, pero…
  2. La cantidad de gente capacitada para asegurar toda esa tecnología es peligrosamente baja.

Estos temas resonaron bastante en las sesiones de la conferencia de la semana pasada, como así también en las conversaciones que se fueron dando en los corredores y lugares de reunión alrededor del Moscone Center de San Francisco.

Además de esta discusión, hubo dos nuevas encuestas que le pusieron algunos números al tema. He incluido enlaces a versiones en PDF de los reportes aquí:

Para mí, los descubrimientos principales de la encuesta del “Estado de la Ciberseguridad” indicaron que el 76% de los encuestados dijo que su empresa había experimentado un aumento en los ataques a la seguridad en 2014, en comparación con 2013; y un 82% pensó que era probable o muy probable que su organización experimentara un ciberataque en 2015 (probable = 44%, muy probable = 38%).

En otras palabras, los ataques van en aumento, y la mayoría de las organizaciones son conscientes de que sus sistemas tienen grandes posibilidades de sufrir un ataque.

La falta de confianza y habilidades

La creciente consciencia de lo inevitable de experimentar un ciberataque se ha convertido en una dosis de realidad, particularmente ahora que la seguridad está finalmente captando la atención de los altos mandos. Cerca del 80% de los que respondieron en el “Estado de la Ciberseguridad” dijeron que los directivos de su empresa estaban preocupados por la ciberseguridad.

Sin embargo, esta nueva realidad también es alarmante cuando se lee que menos de la mitad de los encuestados de esta misma categoría respondió positivamente a la pregunta: “¿Estás cómodo con la habilidad de tu equipo de seguridad para detectar y responder ante incidentes?”. Para ser claros, sólo el 13% respondió “no”, mientras que el 41% respondió “sí, aunque sólo ante incidentes simples”. Así que menos del 46% dio un “sí” rotundo. ¿Por qué? La encuesta ofreció algunas explicaciones sobre este bajo nivel de confianza, haciendo notar la escasez de personal de seguridad lo suficientemente calificado en esta área.

Cuando se trata de contratar profesionales de seguridad, “más del 50% de los encuestados ha reportado que menos de un cuarto de los aplicantes están realmente calificados para las posiciones abiertas.” Cuando se toma consciencia de estos datos, el déficit de profesionales en la actualidad pasa a ser asombroso. Como consecuencia de esta situación, ninguno de los contratados por la organización resulta estar preparado para responder correctamente a un ciberataque, resultando esto además en:

  • Posiciones de seguridad sin cubrir
  • Contrataciones de seguridad más lentas, sin poder reemplazar puestos a tiempo
  • Algunas posiciones de seguridad podrían estar sin ocupar por tiempos incómodamente extensos
  • Algunas posiciones de seguridad podrían nunca ser ocupadas

La encuesta arrojó que cerca de dos tercios de las organizaciones ha tenido problemas en encontrar reemplazos para posiciones de seguridad en menos de tres meses, encontrando que uno de cada diez de ellos directamente no pudo encontrar un ocupante para la posición en cuestión.

Para ahondar más en la escasez de profesionales capacitados en ciberseguridad también podemos echar un vistazo al GISWS (Global Information Security Workforce Study), donde el número principal de esta temática indica que un 62% de quienes respondieron dijo que su organización tenía “muy pocos profesionales de seguridad”. Esto ha subido de un 56% durante los últimos dos años, y mientras podemos encontrar muchas razones para explicar este aumento, la satisfacción salarial y laboral no están por fuera de esto (dentro del reporte se explora más extensamente el tema).

Esta escasez está compuesta por una combinación, mayormente, de:

  • Más trabajo para hacer, porque hay más cosas para asegurar (pensemos en BYOD, la nube, Big Data, IoT, y la expansión económica)
  • Más ataques que llegan de todos lados (criminales, estados nacionales, hacktivistas)

No hay suficientes personas ingresando a la industria (para el 2016 habrá un faltante de cerca de 250.000 profesionales, únicamente en los Estados Unidos).

Mientras una mayoría de profesionales de la seguridad reportan que están satisfechos con sus trabajos, una mayoría de organizaciones afirman que no pueden contratar a suficientes. Les recomiendo que repasen todo el reporte para conocer los detalles, incluyendo el sorprendente factor #1 para tener éxito como un profesional de la seguridad de la información (una pista: no se trata de habilidades técnicas).

La conclusión, de acurdo a los analistas de Frost & Sullivan, es que si las tendencias actuales continúan, la falta de fuerza de trabajo para seguridad de la información llegará a 1.5 millones en 2019 a nivel global.

Cerrando la brecha de la fuerza de trabajo cibernética

Cambiar esas tendencias, más específicamente el crecimiento en el suministro de profesionales de seguridad con las habilidades suficientes, fue el foco de varias charlas de la conferencia RSA, y ninguna lo tuvo más que el almuerzo sponsoreado por ESET titulado "Cultivando una nueva generación de talento de la fuerza de trabajo cibernética". Esta sesión exclusiva fue conducida por Michael Daniels (de la Casa Blanca) y Phyllis Schnek de DHS.

A sus observaciones siguió un panel que incluía a Eric Basu de la junta del Cyber Center of Excellence de San Diego, en la que también participa el CEO de ESET Norteamérica (fue realmente interesante escuchar arengas por parte de los ponentes a San Diego, ESET y Securing our eCity por todo el trabajo hecho allí para promover la concientización sobre seguridad y promover la ciberseguridad como una carrera).

Cuando se trata de la seguridad IT como una carrera, es importante darse cuenta de que existen muchos aspectos para esta profesión, y el GISWS es una gran manera de conocer qué aspectos los profesionales de seguridad consideran críticos en la actualidad y el futuro cercano.

El cuadro que aparece debajo muestra las 6 habilidades y competencias que los encuestados consideran más importantes para adquirir o reforzar "para estar capacitado de responder al panorama de amenazas para los próximos tres años". Las mismas son: Manejo y conocimiento de riesgos; Investigación y Respuesta de Incidentes; Gobernancia, Manejo de riesgo y Cumplimiento de normas; Habilidades analíticas; Arquitectura y Habilidades de Comunicación.

workforce-chart

Para ser claros, se están realizado muchos esfuerzos en este momento para que haya más gente que se interese en el campo de la seguridad de la información. En los Estados Unidos, mucha de esta actividad está siendo llevada a cabo por NICE (la National Initiative for Cybersecurity Education). A su vez, los principales cuerpos de certificación de habilidades (sin fines de lucro) también están fuertemente involucrados, incluyendo CompTIA y (ISC)2, que recientemente presentaron el programa Certified Cloud Security Professional.

Lo que no queda claro aún es si el alcance que el entrenamiento y la educación brindados en la actualidad pueden coincidir con las necesidades futuras proyectadas, tanto en terminos de escala como de contenido. El estudio de (ISC)2 "Global Information Security Workforce" brinda algunos indicios, pero se necesita de más investigación. Un área de mejora que no debe ser pasada por alto es la habilidad por parte de los departamentos de Recursos Humanos de poner a candidatos apropiados frente a managers que buscan personal, o bien, no descartar a buenos candidatos por el hecho de no comprender las habilidades y roles en seguridad, pero eso es un tema para otro post.

Para conocer más tendencias presentadas por los expertos de ESET en la conferencia de RSA 2015, pueden leer el post de Cameron Camp.