Continuemos con la conversación sobre la brecha de habilidades

La mayoría de los análisis relacionados con la brecha o la escasez de habilidades de seguridad cibernética están empeorando. Según ESG (Enterprise Strategy Group) en el CSOOnline se demostró que en el 2018 un 51% de las organizaciones tenían una escasez problemática de habilidades de ciberseguridad.

Es un problema complejo, pero con soluciones no complejas, tendrá solución

Los problemas (y las soluciones)

  • Recursos humanos y cómo nos fijamos en CyberSecJobs
  • Educación
  • Cambio técnico
  • Mayor detección y FPP (fobia a los falsos positivos)

Recursos humanos y cómo nos fijamos en CyberSecJobs

Este es un aspecto complejo que hace parte del problema. La seguridad cibernética es como la atención médica, en el sentido de que no hay un “trabajo” o una función. Los cirujanos del corazón, los técnicos de laboratorio y los diseñadores de dispositivos médicos son parte de ese mercado, sin embargo, los otros submercados son muy distintos y en general hay muy poca progresión entre los mismos.

En las áreas de la tecnología puede pasar algo similar, parecen no tener más roles de trabajo y orden de progresión, podría ser una pila no clasificada de fichas Lego que se denomina ciberseguridad.

Se han visto demasiadas publicaciones de perfiles que se buscan profesionales con más de 10 años de experiencia en el aérea de tecnología de seguridad, pero resulta que pueden tener 5 años, y asignaciones de salario que son 1/3 de la tasa de mercado actual para el rol descrito, o grandes candidatos no son considerados porque al momento de filtrar la palabra ‘ciberseguridad’ ‘CISSP’ no estaba en el CV.

Es muy ineficiente, y más aún porque amplía la brecha de habilidades y se reduce el número de candidatos. Entonces, ¿cuál es la solución? Aquí se necesita un cambio sistémico en la forma en la que se describan los roles, y se tratan de llenar. Hasta que las empresas y agencias que buscan seguridad se sientan lo suficientemente frustradas, harán lo necesario para que haya un impulso que lleve al cambio.

Educación y Certificación

La educación es la manera en que formamos a las personas en ciberseguridad. El flujo de educación en esta área no ha presentado el número correcto de personas, puesto que se encuentran problemas como el CyberSecJobs y la post-secundaria, que han sido una gran falta.

Históricamente, los estudios postsecundarios han intentado llevar con éxito programas como “jack of all trades” en los que las personas se graduaron sin la especialización debida para ser empleados rápidamente y pasando demasiado tiempo en otras disciplinas. Piense en ese cirujano cardiaco que pasa un periodo de tiempo aprendiendo sobre los procesos de control de calidad de electrónica.

La capacitación específica del producto llenó este vacío, y esto realmente es exitoso si un candidato tratará exclusivamente con ese producto, pero es una apuesta grande que un posible empleador utilice aquellos productos en los que está capacitado el candidato. Para las funciones no prácticas o no operativas, las certificaciones han sido generalizadas, pero en su mayoría han sido demasiado amplias, como el CISSP. Por lo que las certificaciones muy especificas no han tenido la adopción para ser reconocidas y no ser un relleno de brechas de habilidades.

La culpa no es de los organismos de certificación, sino que se trata nuevamente de la tendencia a considerar la seguridad como un gran puesto de trabajo. Entonces, ¿cuál es la solución? Un primer paso es una mayor vinculación entre la industria y la educación postsecundaria. La educación secundaria está comenzando a avanzar hacia la ciberseguridad, pero se necesita una mejor relación práctica entre la base y la aplicación. Por ejemplo, las bases de los firewalls deben ser un curso general y los cursos específicos del producto deben basarse en eso.

También debe haber un mejor entrenamiento de conversión. Un administrador avanzado del producto X debería tener una mejor certificación y un mejor camino de capacitación para alcanzar un nivel similar en el producto, de lo contrario, las certificaciones de hoy en día son un todo en uno que terminan en una sopa de letras que no tiene sentido para completar trabajos o evaluar una proveedor.

El gobierno parece ser la ayuda de última instancia en las certificaciones que no son de productos. A pesar de toda la inversión y el ruido sobre la importancia de la ciberseguridad, es importante saber que si el mercado libre ha fracasado con CISSP, entonces deben patrocinar o asistir (no de forma directa) a una reinvención de lo que otorgan esas marcas de progreso y progresión para nuestra gente de ciberseguridad.

Lo hacemos para tantos oficios en los que esperamos un servicio de calidad, desde los mecánicos hasta los electricistas, entonces ¿por qué no lo hacemos por la seguridad que protege nuestras vidas y nuestra economía?

Cambio técnico

La seguridad por sí sola no tiene valor: es un verbo que se aplica a una tecnología. A medida que la tecnología cambia, también debe hacerlo la seguridad. El desafío es que, a diferencia de una tecnología que cambia en un ciclo, cualquier cambio tecnológico en su empresa puede tener un impacto en la seguridad que debe abordarse.

Esta es la razón principal por la que la seguridad parece tan caótica, porque necesariamente reacciona a múltiples fuentes de interrupción. Esto no va a desaparecer. Entonces, ¿cuál es la solución? Arquitecturas de seguridad más resistentes que suponen cambio.

Ya tenemos esto en algunos aspectos, como el soporte de múltiples nubes para muchos productos de seguridad que admiten AWS, Azure, Google Cloud, VMWare, y otros. Otro es cómo financiamos y proveemos seguridad. Algunas organizaciones líderes vinculan el presupuesto de seguridad con el presupuesto de TI de alguna manera, y eso se vuelve más importante puesto que es una forma de vincular la inversión de seguridad a la complejidad.

Mayor detección y FPP (fobia a los falsos positivos)

La seguridad acaba de pasar por una ola de mayor capacidad de detección. Esto ha sido genial para encontrar ataques que son evasivos para las firmas o que no se han visto anteriormente. La desventaja es que esto ha llevado a una gran cantidad de eventos para procesar en algunas organizaciones.

El aumento en la detección generalmente ha significado un incremento en las alertas que tienen menos confianza que los métodos basados ​​exclusivamente en firmas. Por supuesto, hay alertas de no fidelidad y de alta fidelidad, pero claramente hay un aumento en el FPP (fobia a los falsos positivos). Todas estas alertas adicionales e indicadores adicionales de compromiso serían asombrosos si tuviéramos un aumento equivalente de personas, pero no lo hacemos.

Entonces, ¿cuál es la solución? Esta es la mejor solución en la lista, la de tomar toda esta nueva información de seguridad y obtener un valor refinado de ella sin lanzar a la gente al tema. Una gran victoria es el aprendizaje automático real (ML). La verdadera IA es el siguiente paso, pero hoy la asistencia de ML es un verdadero multiplicador de la fuerza de seguridad.

La subcontratación a través de proveedores de servicios de seguridad administrados (MSSP) siempre ha sido una opción, pero también tienen dificultades con la dotación de personal, por lo que un enfoque híbrido de ML + MSSP es muy bueno como una opción de detección y respuesta administrada (MDR).

El aumento de las fuentes de alertas y la información debe coincidir con la asistencia de LD, donde la ML no solo produce más alertas que requieren intervención humana.

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.