El estudio ‘The portrait of the modern Information Security professional’, realizado por Kaspersky, revela que el 48% de las empresas europeas necesitan más de medio año para encontrar un profesional cualificado en ciberseguridad. La falta de experiencia es uno de los mayores retos, junto con el alto coste de la contratación y la competencia global en la adquisición de talento.
Mientras el mercado laboral sigue demandando profesionales de la seguridad de la información, el último estudio de Kaspersky revela que el 31% de las empresas en Europa admite que sus departamentos de ciberseguridad carecen de personal suficiente. El estudio ‘The portrait of the modern Information Security professional’ tiene como objetivo analizar el estado actual del mercado laboral y determinar las razones exactas por las que carece de expertos en ciberseguridad. El estudio también identifica las habilidades y conocimientos que demandan a la hora de contratar personal[1].
Los encuestados afirman que se tarda más de seis meses en cubrir un puesto medio de seguridad de la información. Como era de esperar, la contratación para cargos de alto nivel es la que más tiempo lleva, ya que el 45% de las empresas europeas afirman que requiere casi un año o más, mientras que los puestos junior son los que pueden cubrirse en menos tiempo: entre uno y tres meses, según el 36% de los encuestados. Estas cifras son alarmantes, ya que las empresas que operan durante largos periodos de tiempo sin el personal necesario corren un enorme riesgo, ya que la ausencia de empleados de ciberseguridad ofrece la oportunidad a los ciberdelincuentes para penetrar en la infraestructura empresarial y dañar los procesos de negocio.
Cuando se les pregunta por los mayores retos a la hora de encontrar y contratar al profesional de InfoSec "adecuado", la mayoría de los encuestados europeos nombra la diferencia entre la titulación y las aptitudes prácticas reales (57%) y la falta de experiencia (42%), haciendo hincapié en que la experiencia profesional demostrada es uno de los requisitos más importantes que buscan las empresas en un profesional de la ciberseguridad.
El elevado coste que supone la contratación de estos especialistas es un obstáculo para el 52% de los directivos, y la competencia global, que se traduce en prácticas de contratación agresivas y competitivas por parte de varias organizaciones, preocupa a más del 30% de los encuestados. Estos datos demuestran que, aunque una empresa encuentre finalmente candidatos que cumplan todos los requisitos, eso no significa que vayan a trabajar para ella, ya que, en un entorno tan competitivo, otras organizaciones pueden contratarlos, por lo que el proceso de contratación podría prolongarse indefinidamente.
“Las empresas suelen dedicar mucho tiempo no sólo al proceso de contratación, sino también a la formación adicional del equipo, en un intento de desarrollar una mano de obra diversa dentro de la empresa, con los conocimientos y aptitudes adecuados. Esta estrategia es eficaz para las grandes empresas y para las organizaciones que tienen que cumplir muchas normas y reglamentos locales. En cuanto a las pequeñas y medianas empresas, se suele recomendar externalizar las tareas de ciberseguridad a proveedores de servicios de seguridad gestionados (MSSP) porque les ayuda a cubrir las carencias de talento en poco tiempo y con pérdidas mínimas", afirma Ivan Vassunov, vicepresidente de productos corporativos de Kaspersky.
Para minimizar las consecuencias negativas de la escasez de personal de ciberseguridad, los expertos de Kaspersky recomiendan:
- Adoptar servicios de seguridad gestionados como Kaspersky Managed Detection and Response (MDR) y/o Incident Response, adquiriendo así experiencia adicional sin contratar personal adicional. Esto ayuda a protegerse contra ciberataques e investigar incidentes si la empresa carece de personal de ciberseguridad.
- Educar regularmente al personal de TI e InfoSec sobre los riesgos online reales e invertir en su formación para avanzar en sus habilidades para detectar y responder frente a amenazas sofisticadas.
- Utilizar soluciones centralizadas y automatizadas como Kaspersky Extended Detection and Response (XDR) para reducir la carga del equipo de seguridad informática y minimizar la posibilidad de cometer errores. Al añadir y correlacionar datos de múltiples fuentes en un solo lugar y utilizar tecnologías de aprendizaje automático, estas soluciones reducen el tiempo medio de detección de amenazas (MTTD) y proporcionan una rápida respuesta.
El informe completo sobre la escasez mundial de profesionales cualificados de InfoSec está disponible en el blog de Kaspersky.