Todos conocemos la gran variedad de amenazas informáticas que deben enfrentar las organizaciones en la actualidad, la actividad altamente sofisticada de los grupos de ciberdelincuentes, las variantes de malware tanto nuevas como viejas que se están implementando y los típicos errores del pasado que seguimos cometiendo (como abrir correos electrónicos de phishing y conectar memorias USB infectadas en nuestras computadoras).
Un profesional marca la diferencia entre empresas que reaccionan como corresponde y otras que no
Algunas de las soluciones a estos problemas son relativamente sencillas. Los cibercriminales y el malware pueden mitigarse, evaluarse mediante métodos de sandbox e investigarse, mientras que los errores de los empleados se pueden resolver a través de programas de concientización de ciberseguridad, siempre y cuando se ejecuten en forma correcta y se ofrezcan periódicamente.
Si bien estas medidas (junto con otras medidas de protección, como el uso de software de seguridad) reducirán significativamente los riesgos cibernéticos a los que se enfrentan las empresas, las amenazas nunca se podrán erradicar en su totalidad por todas las razones citadas anteriormente.
Sin embargo, hay algo más que se puede hacer para reforzar las defensas: tener profesionales de ciberseguridad competentes y cualificados como parte del equipo de seguridad de TI. Esta única condición a menudo determinará la diferencia entre las empresas que reaccionan como corresponde ante un incidente de seguridad y las que no lo hacen.
Algunas empresas al fin están comenzando a solucionar este problema. Un informe publicado hace poco por Robert Half reveló que las organizaciones de hoy en día deben invertir en el "talento adecuado" para protegerse de las amenazas. Indica que esta inversión puede transformar la manera en que las empresas piensan y responden ante los ataques y los riesgos cibernéticos.
Phil Sheridan, director ejecutivo senior de Robert Half, explicó en el informe: "Para afrontar con éxito la proliferación de atacantes, las empresas necesitan contar con talentos expertos en TI, que comprendan el entorno de ataques cibernéticos actuales y su evolución. Al adoptar estrategias sólidas, las empresas estarán preparadas para el futuro de la ciberseguridad".
Escasez de personal cualificado
Entonces, ¿por qué las organizaciones simplemente no contratan algunos especialistas en seguridad de TI? Sin duda, eso resolvería el problema y reduciría los riesgos. Si solo fuera tan fácil...
Lamentablemente hay una escasez masiva de personal cualificado. Dados los cambios constantes a los que está sujeto el mundo de la seguridad como consecuencia de las nuevas tecnologías, sumados al panorama de amenazas en evolución, la profesión de seguridad no logra moverse lo suficientemente rápido como para mantenerse al día. No hay suficientes profesionales (cualificados) para repartir entre todas las empresas.
No hay suficientes profesionales cualificados para todas las empresasLas empresas están invirtiendo cada vez más en diversas plataformas y herramientas para proteger sus redes y sistemas informáticos. No obstante, la creciente amenaza del robo de datos y del fraude, así como la modalidad de traer el dispositivo propio al trabajo y el rápido avance de la Internet de las Cosas, generan una mayor demanda de profesionales de seguridad.
"Las nuevas tecnologías plantean nuevos problemas de seguridad", destacó Sheridan. "Esta tendencia ha dado lugar a un déficit en la capacitación de seguridad informática, ya que los conocimientos técnicos disponibles no les han seguido el ritmo a las amenazas de TI en constante evolución".
Por otra parte, el informe de Robert Half destacó que el 77% de los CIO en el Reino Unido opinan que se enfrentarán a más amenazas de seguridad en los próximos cinco años, debido a la escasez de personal de seguridad informática capacitado.
Otro informe realizado por Spiceworks una vez más resalta esta escasez, y revela que solo el 29% de los profesionales de TI en organizaciones de los Estados Unidos y el Reino Unido cuentan con un profesional de seguridad cibernética interno en su propio departamento de TI.
Cabe notar que un informe del organismo de capacitación en seguridad ISC2 indicó que casi la mitad (45%) de los profesionales de seguridad culpan a la falta de personal cualificado por las brechas de seguridad.
La seguridad informática vs. Facebook
Existen varias razones que explican esta escasez de personal cualificado, y la principal de ellas es que la seguridad de la información está luchando una batalla perdida en un mundo donde el sueño de las personas es llegar al éxito en Silicon Valley.
Después de todo, muchos profesionales de seguridad reconocen que la mayoría de los graduados de informática preferirían crear la próxima empresa de Twitter, Facebook o Instagram en vez de convertirse en un ingeniero de seguridad o en un arquitecto. También existe la creencia, para nada atenuada por la serie de televisión Mr. Robot, de que, para estar en el ámbito de la seguridad es necesario ser muy técnico. Sin embargo, éste no es siempre el caso. De hecho, algunos de los CISO emergentes provienen de otros sectores.
Otros también sugieren que la seguridad informática simplemente no figura entre las carreras disponibles a la hora de elegir una. El informe reciente Securing Our Future: Closing the Cyber Talent Gap (Asegurando nuestro futuro: cerrando la brecha del talento cibernético) reveló que al 62% de la generación del milenio ningún maestro ni consejero le informó que entre las opciones existía una carrera en ciberseguridad.
Las cifras recientes coinciden en que no solo hay una brecha de personas cualificadas en este campo, sino que cada vez dicha brecha se ensancha más. ISC2 estima que habrá un déficit de dos millones de profesionales para el año 2017, mientras que una investigación de SC Magazine realizada en 2015 reveló que el interés (y la admisión) en carreras relacionadas con la seguridad está mermando. Lamentablemente, la escasez de personal no muestra signos de disminuir en el corto plazo.
No todo está perdido
Por suerte, aún tenemos esperanzas. Las empresas más previsoras se están asociando con universidades para llevarse los talentos directamente, y los gobiernos están empezando a certificar sus propios cursos universitarios. También hay una cantidad interminable de torneos y hackathons (como Cyber Bootcamp) que muchas empresas usan para encontrar (y contratar) el personal adecuado.
Es necesario contar con un equipo de seguridad capacitado para administrar los asuntos de seguridad, mejorar la gestión del riesgo y mantener afuera a los ciberdelincuentes. Y no solo hay que tener las herramientas tecnológicas adecuadas, sino también poner en práctica un buen programa de seguridad cibernética, y realizar pruebas de penetración periódicas para encontrar debilidades y mejorar el entorno.