Por Pablo Masjoan, CISO y actualmente Customer Experience Manager en SMARTFENSE.
Ya nos acostumbramos a leer artículos, reportes, y posteos referenciando a la escasez de profesionales en ciberseguridad (por ejemplo reporte ISACA “Estado de la Ciberseguridad 2022”). Quienes trabajamos en esta industria sabíamos de la problemática antes de que todas estas publicaciones empezaran a popularizarse.
Más allá de la profundidad en que la temática es tratada en dichas publicaciones, lo que suelen tener en común es:
- Tratan de la problemática global, y no explican la dinámica específica que tenemos en Iberoamérica.
- Mencionan muy poco, o prácticamente nada, sobre cómo los CISOs locales han buscado adaptarse a esta realidad.
En el presente post abordaremos dichos puntos.
Tendencias y motivos
Juventud esquiva
En ciberseguridad preocupa que muy pocos jóvenes son los que van a cubrir los puestos vacantes, envejeciendo entonces de a poco las plantillas de personal:
Cuánto tensar la cuerda
Hemos visto varios casos de colegas, que ante una sobrecarga extrema de trabajo, quizás al inicio de la pandemia, o tras semanas (o meses) intensos lidiando con un ciberataque, experimentan un burnout tal, que terminan renunciando para dedicarse a otro rubro. El reporte de ISACA menciona también una correlación entre incidentes graves, y posterior pérdida de personal.
Trabajando desde casa, o desde la playa 🙂
El inicio de la pandemia nos puso a todos en modo “trabajo remoto”. Fue una transformación tecnológica apresurada (que en su momento nos llevó a publicar esta herramienta) pero el proceso maduró rápidamente. Muchos colegas de ciberseguridad se enamoraron del trabajo remoto. Cuando algunas organizaciones volvieron a la modalidad presencial, perdieron profesionales valiosos sólo por no adaptarse.
Situación en Iberoamérica
Las brechas salariales entre países iberoamericanos y economías más prósperas, como las de EEUU, Canadá, y Europa del norte, son una gran tentación para la emigración. Y el teletrabajo facilita dar los primeros pasos en ese sentido.
Las crisis sociopolíticas y el aumento de delincuencia en algunos de nuestros países también suelen ser argumentos en favor de dejar nuestros territorios, aunque sea por un tiempo, y “salir a conocer el mundo”.
Con todo esto, la tasa de salida de personal es mayor en nuestra región, y esos puestos que quedan vacantes suelen ser cubiertos por posiciones de menor seniority, que a la vez, seguramente en pocos años también terminarán dejando nuestras organizaciones.
En resumen, a la falta de personal y la dificultad para retenerlo, aquí le sumamos una rotación más alta que en el resto del mundo.
Contramedidas
¿Qué se está haciendo en nuestras regiones para adaptarnos a esta realidad? Repasemos estos puntos, considerando la perspectiva del colega que vamos a contratar, o queremos retener.
Su salario
La diferencia entre los salarios de ciberseguridad (y IT en general) y el resto del personal se ha ido ampliando, pero no ha sido lo suficiente; siempre habrá alguien afuera que pague más.
Cada empresa dará lo que pueda aquí, pero parece que ya dejó de ser el principal factor de retención de personal.
Su estilo de vida
¿Qué podrían estar pensando nuestros candidatos?
- ¿Debo trasladarme a las oficinas corporativas, o puedo trabajar desde casa?
- ¿Tengo que cumplir un horario estricto, o es suficiente con que realice satisfactoriamente mis tareas?
- ¿Puedo trabajar mientras viajo recorriendo el mundo?
Las empresas que mayor flexibilidad brindan a sus colaboradores de ciberseguridad consiguen mayor retención y facilitan la incorporación de nuevos miembros al equipo.
Su profesión
¿Qué podrían estar pensando nuestros candidatos?
- Las tareas que me asignan, ¿son rutinarias?, ¿puedo automatizar algo de eso?
- ¿Cuál será mi plan de carrera en la organización?
- Con mis tareas y responsabilidades, ¿cuánto aprendo, y qué tan rápido?; ¿cuánto valor aporto a la organización y a la sociedad?
- Si un compañero de trabajo renuncia o se ausenta temporalmente, ¿todas sus tareas recaerán sobre mí?
- ¿De quiénes aprenderé más durante mi paso por esta organización?
Muchas de las tareas que se asignan a personal junior de ciberseguridad son rutinarias, como control de logs, o satisfacer algún punto de auditoría, como puede ser “la charla anual de seguridad a empleados”. Son obviamente primeros pasos que hay que dar, pero rápidamente se hacen monótonos y se evidencian ineficaces.
A medida que una empresa incorpora tecnología y terceriza tareas rutinarias en servicios externos, el personal interno experimenta un crecimiento de la productividad y mejora el nivel de ciberseguridad global de la organización.
Es clave identificar cuáles son las funciones de ciberseguridad que menos atendemos, e implementar herramientas para cubrir esos aspectos. Por ejemplo, para el proceso de concientización de usuarios finales en cuestiones de ciberseguridad, se puede implementar un AMS (Awareness Management System) de la mano de un partner especializado, que aporte valor a la organización; así se mejoran los resultados a la vez que se reducen las horas de gestión.