El camino de los piratas informáticos se facilitó cuando 600,000 trabajos de seguridad cibernética de EE. UU. quedaron vacíos

El presidente Joe Biden ha instado a las empresas estadounidenses a «reforzar sus defensas cibernéticas de inmediato» en medio de un riesgo creciente de ataques cibernéticos rusos. Para muchos, eso no será fácil.

La guerra por el talento ha sido bien telegrafiada en todo el país, pero es particularmente aguda en ciberseguridad. Y solo empeoró a medida que la competencia en el mercado laboral más amplio se ha intensificado, aumentando la vulnerabilidad potencial de ambas empresas a los piratas informáticos y la urgencia de aumentar la fuerza laboral.

Alrededor de un millón de personas trabajan en seguridad cibernética en los EE. UU., pero hay casi 600,000 puestos vacantes, según muestran los datos de CyberSeek. De ellos, 560.000 están en el sector privado. En los últimos 12 meses, las ofertas de trabajo aumentaron un 29%, más del doble de la tasa de crecimiento entre 2018 y 2019, según Gartner TalentNeuron, que rastrea las tendencias del mercado laboral.

«La crisis del talento en seguridad cibernética definitivamente ha empeorado mucho», dijo Jamie Kohn, director de investigación de recursos humanos de Gartner Inc., una firma de consultoría e investigación tecnológica. «Pensamos que tal vez teníamos cinco años para atraer a esos profesionales, y ahora estamos tratando de hacerlo de la noche a la mañana».

Los trabajadores con las habilidades técnicas necesarias para responder a las amenazas cibernéticas ya eran difíciles de encontrar antes de que la pandemia de COVID-19 obligara a los empleados a trabajar desde casa. Pero una confluencia de eventos aumentó aún más la demanda de puestos como desarrolladores de software, evaluadores de vulnerabilidades, ingenieros de redes y analistas de seguridad cibernética.

Con tantos empleados usando sus redes y computadoras domésticas, los intentos de phishing se dispararon, al igual que los ataques de ransomware en empresas, escuelas, hospitales y otras organizaciones.

Un ataque de ransomware en Colonial Pipeline Co. resultó en que los estadounidenses compraran combustible por pánico, lo que provocó una escasez de suministro en la costa este en mayo pasado, mientras que otros incidentes de alto perfil se atribuyeron a piratas informáticos apoyados por adversarios estadounidenses. En diciembre de 2020, por ejemplo, los investigadores revelaron una campaña de ciberespionaje en la que piratas informáticos rusos patrocinados por el estado explotaron el software fabricado por SolarWinds Corp. para infectar a algunos clientes. Moscú ha negado su participación en el asunto.

«Hay momentos dentro de la ciberseguridad en los que el mercado incluso crece más rápido y cuando la demanda es más alta y creo que iniciamos uno de esos ciclos con SolarWinds», dijo Bryan Palma, director ejecutivo de Trellix Corp. «Ahora tenemos la Rusia- Conflicto de Ucrania. Estamos viendo que la seguridad cibernética crece más rápido que el 16% normal cada año, lo que por lo tanto está impulsando la necesidad de aún más habilidades y profesionales en esa área».

La escasez de trabajadores cibernéticos es un problema particular con las organizaciones más pequeñas, desde municipios y bufetes de abogados hasta hospitales y empresas, que no pueden ofrecer salarios lo suficientemente altos para atraer a trabajadores altamente calificados, dijo Max Shuftan, director de programas de misión y asociaciones en la SANS Institute, una organización de formación en ciberseguridad.

“La mayoría de las agencias públicas civiles no pueden pagar lo que puede pagar el sector público”, dijo Shuftan. «Al mismo tiempo, las pequeñas empresas, las empresas que no están en una industria de la que normalmente te preocuparías por esto, probablemente no tendrán el personal y eso las hace más vulnerables a los ataques».

El año pasado, los ataques de ransomware afectaron las operaciones de organizaciones, incluido un sistema hospitalario de San Diego, un proveedor de nómina a nivel nacional y la red de oficinas del fiscal general de Illinois.

«Nuestra infraestructura crítica, nuestra forma de vida, está realmente bajo ataque cibernético todo el tiempo», dijo Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. durante un discurso a mediados de marzo. «Y nuestra crisis geopolítica actual solo está exacerbando esta amenaza. Si no hacemos algo al respecto, todavía habrá 3,5 millones de puestos de trabajo de ciberseguridad sin cubrir para el año 2025».

El Departamento de Seguridad Nacional implementó un nuevo sistema para contratar personal de seguridad cibernética en noviembre que permitiría a los trabajadores federales de seguridad cibernética ganar hasta $255,800, equivalente al salario de la vicepresidenta Kamala Harris. El nuevo sistema de escala salarial se creó para ayudar al DHS a competir por el talento, según el DHS.

La industria de la ciberseguridad tampoco es inmune a las tendencias macroeconómicas más amplias que están alterando el mercado laboral, incluido el deseo de trabajo remoto, horarios flexibles y salarios más altos. Trellix, por ejemplo, adoptará un modelo híbrido en el que los empleados equilibren el trabajo remoto y el trabajo desde la oficina.

En 2020, el salario medio anual de los analistas de seguridad de la información fue de $107 580, casi el doble del promedio de todas las ocupaciones de EE. UU. combinadas, según datos de la Oficina de Estadísticas Laborales.

«La competencia es real, la gran resignación es real, definitivamente es una batalla del día a día». Palma dijo. «Y la compensación es parte de eso». Desde que comenzó la pandemia, Trellix ha aumentado su personal general en un 5 %, pero la empresa todavía está tratando de crecer otro 10 % o más.

Debido a que las habilidades de seguridad cibernética tienen una demanda tan alta, los trabajadores tienen espacio para negociar y pueden pasar de una empresa a otra con relativa facilidad. Pero contratar profesionales de seguridad cibernética de otra empresa no soluciona el problema subyacente: que no hay suficientes trabajadores calificados, dijo Stuart Madnick, profesor de tecnologías de la información en la Sloan School of Management del MIT.

Países como Rusia, China e Israel que tienen el servicio militar obligatorio tienen una mejor fuente de talento de personas calificadas que han sido capacitadas en ciberseguridad a nivel gubernamental, según Palma. Dijo que se ha estado comunicando con miembros del Congreso para crear un programa tipo AmeriCorps específicamente para fomentar el talento en seguridad cibernética porque no hay suficientes estadounidenses capacitados a través del servicio gubernamental.

Otros esfuerzos para aumentar el grupo de talentos incluyen la implementación de cursos de seguridad cibernética en las escuelas secundarias, la oferta de talleres para profesionales de TI de nivel inferior, la capacitación en regiones rurales y la eliminación de los requisitos de grado a favor de las pruebas de aptitud. La automatización de algunas tareas relacionadas con la seguridad también podría ser una solución al problema de contratación.

“Tenemos una escasez masiva de expertos en seguridad en el planeta y queremos automatizar gran parte del talento y la capacidad”, dijo Kevin Mandia, director ejecutivo de Mandiant Inc., en una sesión informativa con periodistas a principios de marzo. «Eso es todo lo que ha existido en el software, es la automatización del proceso humano».

Pero ninguna de esas soluciones es inmediata, y las amenazas sí lo son.

«Lo peor está por venir», dijo Madnick del MIT. «No solo porque las cosas empeoraron cada año, sino que llegamos a la conclusión de que las interrupciones que vemos no son tan malas como podrían haber sido. Creemos que en muchos casos se trataba de pruebas».

---

---

©2022 Bloomberg LP Distribuido por Tribune Content Agency, LLC.