.png)
La Seguridad de la Información no es solo una disciplina técnica: requiere profesionales cualificados que pueden tener otros perfiles.
Todos conocemos la gran variedad de amenazas informáticas que deben enfrentar las organizaciones en la actualidad, la actividad altamente sofisticada de los grupos de ciberdelincuentes, las variantes de malware tanto nuevas como viejas que se están implementando y los típicos errores del pasado que seguimos cometiendo(como abrir correos electrónicos de phishing y conectar memorias USB infectadas en nuestras computadoras).
Algunas de las soluciones a estos problemas son relativamente sencillas. Los cibercriminales y el malware pueden mitigarse, evaluarse mediante métodos de sandbox e investigarse, mientras que los errores de los empleados se pueden resolver a través de programas de concientización de ciberseguridad, siempre y cuando se ejecuten en forma correcta y se ofrezcan periódicamente.
Si bien estas medidas (junto con otras medidas de protección, como el uso de software de seguridad) reducirán significativamente los riesgos cibernéticos a los que se enfrentan las empresas, las amenazas nunca se podrán erradicar en su totalidad por todas las razones citadas anteriormente.
Sin embargo, hay algo más que se puede hacer para reforzar las defensas: tener profesionales de ciberseguridad competentes y cualificados como parte del equipo de seguridad de TI. Esta única condición a menudo determinará la diferencia entre las empresas que reaccionan como corresponde ante un incidente de seguridad y las que no lo hacen.
Algunas empresas al fin están comenzando a solucionar este problema. Un informe publicado hace poco por Robert Half reveló que las organizaciones de hoy en día deben invertir en el “talento adecuado” para protegerse de las amenazas. Indica que esta inversión puede transformar la manera en que las empresas piensan y responden ante los ataques y los riesgos cibernéticos.
Phil Sheridan, director ejecutivo senior de Robert Half, explicó en el informe: “Para afrontar con éxito la proliferación de atacantes, las empresas necesitan contar con talentos expertos en TI, que comprendan el entorno de ataques cibernéticos actuales y su evolución. Al adoptar estrategias sólidas, las empresas estarán preparadas para el futuro de la ciberseguridad”.
Entonces, ¿por qué las organizaciones simplemente no contratan algunos especialistas en seguridad de TI? Sin duda, eso resolvería el problema y reduciría los riesgos. Si solo fuera tan fácil…
Lamentablemente hay una escasez masiva de personal cualificado. Dados los cambios constantes a los que está sujeto el mundo de la seguridad como consecuencia de las nuevas tecnologías, sumados al panorama de amenazas en evolución, la profesión de seguridad no logra moverse lo suficientemente rápido como para mantenerse al día. No hay suficientes profesionales (cualificados) para repartir entre todas las empresas.
Las empresas están invirtiendo cada vez más en diversas plataformas y herramientas para proteger sus redes y sistemas informáticos. No obstante, la creciente amenaza del robo de datos y del fraude, así como la modalidad de traer el dispositivo propio al trabajo y el rápido avance de la Internet de las Cosas, generan una mayor demanda de profesionales de seguridad.
“Las nuevas tecnologías plantean nuevos problemas de seguridad”, destacó Sheridan. “Esta tendencia ha dado lugar a un déficit en la capacitación de seguridad informática, ya que los conocimientos técnicos disponibles no les han seguido el ritmo a las amenazas de TI en constante evolución”.
Por otra parte, el informe de Robert Half destacó que el 77% de los CIO en el Reino Unido opinan que se enfrentarán a más amenazas de seguridad en los próximos cinco años, debido a la escasez de personal de seguridad informática capacitado.
Otro informe realizado por Spiceworks una vez más resalta esta escasez, y revela que solo el 29% de los profesionales de TI en organizaciones de los Estados Unidos y el Reino Unido cuentan con un profesional de seguridad cibernética interno en su propio departamento de TI.
Cabe notar que un informe del organismo de capacitación en seguridad ISC2 indicó que casi la mitad (45%) de los profesionales de seguridad culpan a la falta de personal cualificado por las brechas de seguridad.
No todo está perdido
Por suerte, aún tenemos esperanzas. Las empresas más previsoras se están asociando con universidades para llevarse los talentos directamente, y los gobiernos están empezando a certificar sus propios cursos universitarios. También hay una cantidad interminable de torneos y hackathons (como Cyber Bootcamp) que muchas empresas usan para encontrar (y contratar) el personal adecuado.
Es necesario contar con un equipo de seguridad capacitado para administrar los asuntos de seguridad, mejorar la gestión del riesgo y mantener afuera a los ciberdelincuentes. Y no solo hay que tener las herramientas tecnológicas adecuadas, sino también poner en práctica un buen programa de seguridad cibernética, y realizar pruebas de penetración periódicas para encontrar debilidades y mejorar el entorno.
