Nos enfrentamos a un déficit de talento en seguridad cibernética. Considere las conclusiones de una investigación reciente de la Oficina Nacional de Auditoría del Reino Unido. Su informe destacó no sólo que el actual grupo de graduados y profesionales con educación en seguridad está muy por debajo de la demanda, sino también que «podría tomar hasta 20 años para abordar la brecha de habilidades».
Este es un desafío que mi equipo de IBM está abordando, en gran medida conectándose con los programas académicos en materia de ciberseguridad y fomentando mayores niveles de colaboración entre ellos, la industria y el gobierno. (Vea nuestro informe reciente aquí: Educación sobre ciberseguridad para la próxima generación.) Estamos particularmente preocupados por ver que la gran demanda de los empleadores de personas capaces de luchar contra las oleadas de ciberataques actuales está sacando talento de las filas de profesionales que de otro modo estarían educando a la próxima generación, y haciendo la investigación crítica para avanzar en el estado del arte. Especialmente dada la rápida y continua evolución de las amenazas, es fundamental que los programas académicos de ciberseguridad compartan las mejores prácticas y las actualizaciones de los planes de estudios.
Pero es igual de importante que las empresas —desde Startups hasta grandes corporaciones, y desde pequeñas organizaciones sin fines de lucro hasta grandes agencias gubernamentales— hagan su parte. Tienen los medios y la necesidad crítica de mejorar los conocimientos de seguridad cibernética de sus empleados.
Comience con los muchos profesionales de IT de su personal que nunca recibieron educación en los aspectos de seguridad de los sistemas. Una forma importante de lograr una mayor seguridad es diseñIT desde el principio, en el desarrollo de nuevas aplicaciones, en la forma en que se administran los datos y en la construcción de la infraestructura de TI. Los empleadores deben invertir en la capacitación de los empleados de IT, alentando y apoyando la búsqueda de certificados y títulos relacionados de las escuelas de posgrado y otros programas externos. La inversión financiera no tiene por qué ser grande. Coursera, Udacity y otros recursos gratuitos en línea ofrecen cursos relacionados con la seguridad, y hay numerosos seminarios web en línea y vídeos de YouTube a los que se puede dirigir a los empleados.
Incluso aquellos empleados que llegaron con conocimientos de seguridad tienen más que aprender. El campo de la ciberseguridad se está expandiendo constantemente, con más dominios que proteger y más formas de atacar. Las intrusiones son más difíciles de detectar; los atacantes son más sigilosos y más evasivos. Los programas académicos que hicieron hincapié en la criptografía y la lucha contra los ataques de rastreo y denegación de servicio ahora cubren áreas como ataques ciberfísicos, la protección de sistemas heterogéneos y el análisis de datos de seguridad en tiempo real.
Mejor aún, las empresas de contratación pueden encontrar formas de unir fuerzas con programas académicos. Entre los cientos de programas que seguimos, muchos se centran fuertemente en los negocios. Estos tienden a tener juntas consultivas o patrocinadores de la industria. Sus mejores socios comerciales están profundamente comprometidos, financiando concursos de investigación y diseño, ofreciendo becas y becas, contribuyendo al diseño de currículos y enviando a sus propios empleados a la institución para capacitación y títulos avanzados.
Su misión educativa no termina en la puerta del departamento de IT. El resto de sus empleados también necesitan saber más sobre cómo protegerse a sí mismos y a la empresa. En un reciente Encuesta del Instituto Ponemon, el 73% de los encuestados informó que el error de seguridad de un empleado había causado pérdidas financieras y/o daños a la marca en su organización. La triste verdad es que muchos empleados ni siquiera saben cuándo están participando en un comportamiento arriesgado que podría causar una grave violación de seguridad. Esa ingenuidad generalizada puede tener un alto costo en una era de Bring Your Own Devices (BYOD) y las redes sociales. Un resbalón puede pasarle a cualquiera. independientemente de su posición en la organización.
La mejor defensa es proporcionar programas educativos integrales para los empleados. No tiene que convertir a cada empleado en un experto en seguridad cibernética para mejorar sus defensas colectivamente. IBM, por ejemplo, requiere que todos los empleados completen la formación digital cada año, que abarca desde el manejo seguro de los datos de los clientes hasta el uso compartido adecuado en los sitios de redes sociales. Los empleados pueden aprender fácilmente a detectar y evitar los tipos de amenazas más frecuentes, como los ataques de phishing en los correos electrónicos.
Tanto si se enseña en un entorno universitario como si se lleva a cabo en una empresa, la ciberseguridad es un problema holístico y necesita una solución holística. Así como las instituciones educativas están empezando a desarrollar enfoques interdisciplinarios (como programas conjuntos entre ciencias de la computación y negocios, medicina, derecho, economía, política pública, criminología e incluso escuelas de periodismo), las organizaciones deben asegurar que su enfoque de seguridad llegue a las personas responsable de la infraestructura, los recursos humanos, los datos, las aplicaciones, la garantía ética, la política de gestión y el cumplimiento legal.
Ha habido avances tecnológicos en los últimos años para ayudar a los Funcionarios de Seguridad de la Información (CISO) a proteger las redes corporativas contra comportamientos no intencionales o intencionales de riesgo por parte de los empleados. Sin embargo, mientras que estos controles técnicos y el establecimiento de políticas sólidas son componentes esenciales de una seguridad efectiva, educar a los empleados en IT y seguridad cibernética es una de las mejores inversiones que una empresa puede hacer, y un reconocimiento racional de que nos llevará a todos crear un futuro más seguro.
Un Centro de Insight de HBR
—
Marisa Viveros
Via HBR.org
