Por: JUDITH PÉREZ FAJARDO (judith@gpscom.com)
Una gran noticia: si eres un profesional de Seguridad, tus habilidades nunca han sido tan solicitadas. Por otro lado, si buscas talento de Seguridad, la búsqueda será larga y difícil.
ISACA predice que para 2019 habrá una escasez de 2 millones de profesionales de ciberSeguridad en todo el mundo. Y en una encuesta publicada por ESG e ISSA en noviembre de 2017, 70% de los encuestados afirmó que la escasez de habilidades de Seguridad estaba afectando a su organización. La encuesta también destacó que- el personal experimentado estaba sobrecargado de eventos de Seguridad urgentes que les dejaban poco tiempo para concentrarse en la estrategia de Seguridad o la capacitación.
“Como una empresa mediana, la escasez de habilidades de Seguridad supone un desafío para nosotros, ya que las marcas tecnológicas globales y los institutos financieros sacan gran parte del grupo de talentos del mercado”, afirma Daniel Schatz, Director de Seguridad de la Información de Perform Group . “Una consecuencia de esto es un mercado con candidatos que quizás aún no tengan las habilidades o experiencia requeridas, pero que puedan estipular sueldos asombrosamente altos debido a la demanda”.
“Para nosotros, es un proceso constante equilibrar la necesidad de cumplir funciones de Seguridad con una mirada pragmática del talento en el mercado. La clave es encontrar personas que les apasione lo que hacen en Seguridad de la información y lo que hacemos como compañía “, continuó Schatz.
La escasez de habilidades de Seguridad no ha pasado desapercibida para las agencias gubernamentales de todo el mundo.
En 2016, el gobierno del Reino Unido declaró que planeaba invertir $2.5 mil millones en la mejora de las defensas de Ciberseguridad del país, y parte de este financiamiento se destinó a la capacitación de nuevos profesionales de la Seguridad. Además, en un intento por alentar a los jóvenes a seguir una carrera en Seguridad, el gobierno lanzó el Programa de Escuelas Cibernéticas para enseñar a los jóvenes de 14-18 años los principios básicos de Seguridad: programación, análisis forense, criptografía y más.
En mayo de 2017, el gobierno de EU firmó la Orden Ejecutiva de Ciberseguridad, la cual, entre otras iniciativas, pide que el Director de Inteligencia Nacional presente un informe que identifique cómo el país mejorará las habilidades de la fuerza laboral de Seguridad.
El gobierno australiano también ha creado una estrategia de Ciberseguridad que gira en torno a la colaboración entre gobierno, empresas privadas, proveedores de educación y la comunidad de investigación para crear centros de excelencia en universidades con el fin de aumentar el número de profesionales de Seguridad calificados.
En un artículo reciente de Jay Coley, Director Senior de Planificación y Estrategia de Seguridad en Akamai, describe cómo la dramática disminución en el número de estudiantes que estudian ciencias, tecnología, ingeniería y matemáticas ha contribuido a la escasez de habilidades de Seguridad. Esto no es el único factor que ha contribuido a la escasez de habilidades, también hay otros tres conductores.
En primer lugar, la tecnología ha evolucionado a una velocidad sin precedentes en los últimos 10 años, transformando casi todos los aspectos de los negocios. En el pasado, tenía un centro de datos que ejecutaba sus aplicaciones comerciales, y la gran mayoría de los usuarios se sentaba en una oficina local y usaba una PC en el sitio para acceder a las aplicaciones. Esta estructura homogénea hizo que sea relativamente fácil para una empresa protegerse construyendo un perímetro robusto y fijo. Pero ahora, las aplicaciones y los datos viven en la Nube; los usuarios acceden a cargas de trabajo desde teléfonos inteligentes, tablets y computadoras portátiles desde cualquier lugar y en cualquier momento; y muchos de estos dispositivos no son administrados o controlados, ni siquiera son propiedad de la empresa. Este cambio sísmico crea nuevas vulnerabilidades de Seguridad y expone nuevas superficies de ataque.
En segundo lugar, el panorama de amenazas se ha transformado significativamente. Las empresas ahora enfrentan un tsunami de amenazas en constante evolución que se crean y ejecutan a escala industrial. Estas amenazas son sofisticadas y específicas, y los ciberdelincuentes detrás de estos ataques son persistentes, pacientes y altamente incentivados. Agregue a esto el hecho de que se ha desarrollado un ecosistema completo que permite a los actores malintencionados construir, implementar y monetizar el malware y el ransomware aún más. Malware como Servicio (MaaS) y Ransomware como Servicio (RaaS) están disponibles, son baratos de comprar y descargar, y se anuncian abiertamente en sitios populares.
En tercer lugar, los cambios en la tecnología y las prácticas comerciales, junto con la industrialización de las amenazas, han creado una infinidad de nuevos productos y servicios de Seguridad para que las empresas los implementen a fin de mejorar su postura de Seguridad. Si bien es positivo en general, esta afluencia también trae mucha complejidad. En el viejo mundo de un fuerte pero estático perímetro, una compañía probablemente tenía un Firewall y Seguridad EndPoint. Ahora, una empresa puede emplear gateways Web seguros, agentes de Seguridad accesibles en la Nube, protección contra fugas de datos, detección y protección de intrusos, administración de dispositivos móviles, administración de identidades y más. Esa es una cantidad intrincada de tecnologías para implementar, administrar y conectar. Y, los productos mismos se han vuelto más complejos; una pasarela Web segura y líder en el mercado ahora normalmente requiere una semana de capacitación intensiva para llegar a ser competente, por ejemplo.
Cuando observa la confluencia de estos tres controladores, está claro que las empresas modernas necesitan equipos de Seguridad más grandes con un conjunto de habilidades más amplio. Combine esto con la disminución en los estudios STEM, se tiene una tormenta perfecta.
A principios de 2017, el equipo de TI de Akamai pilotó nuestro producto de Seguridad más nuevo, Enterprise Threat Protector, en su propia red corporativa. Enterprise Threat Protector es un servicio de Seguridad basado en la Nube que utiliza DNS recursivo como punto de control y aprovecha la inteligencia de amenazas obtenida de la vista incomparable de Internet de Akamai. En pocas palabras, Enterprise Threat Protector analiza todo el tráfico de DNS en la red y determina si los dominios solicitados son seguros o maliciosos. Si una solicitud es maliciosa, el usuario obtiene una página de bloqueo; si es seguro, la solicitud procede normalmente. Esta protección integral puede configurarse e implementarse globalmente en minutos; todo lo que se requiere es un simple cambio en la configuración de DNS existente.
Nuestro equipo de TI interno quedó asombrado por los beneficios significativos y cuantificables que le brindó el servicio durante una prueba muy controlada que duró de marzo a mayo de 2017.
Los beneficios incluyen:
- Una gran disminución en el volumen de incidentes de malware identificados por la solución de protección de endpoint existente: una reducción del 54% de marzo a abril y una reducción del 37% de marzo a mayo.
- Una disminución en el volumen de eventos generados por la solución de detección avanzada existente: una reducción del 30% de marzo a abril y una reducción del 15% de marzo a mayo.
- El equivalente a 0.75 de un empleado de tiempo completo (FTE) a tiempo ahorrado debido a la reducción de incidentes y alertas del punto final existente y soluciones de detección avanzadas.
“Ahorrar 0,75 de un FTE mediante la implementación de Enterprise Threat Protector nos ha permitido liberar recursos para ver otros proyectos de Seguridad importantes que se retrasaron debido a la carga de trabajo del equipo”, dice Keith Hillis, Director de Riesgo y Seguridad de TI Empresarial en Akamai. “Enterprise Threat Protector es un servicio tan simple y sencillo de administrar que podemos usar miembros del equipo menos experimentados para hacer el pequeño trabajo de gestión que se necesita cada semana”.