Cómo la escasez de habilidades en ciberseguridad afecta a su negocio

Publicado: 2021-05-13

La escasez de habilidades tecnológicas no es nada nuevo, pero el impacto que está teniendo en las empresas de todos los tamaños nunca ha sido más claro.

La necesidad de que incluso las pequeñas organizaciones de hoy en día tengan una pila tecnológica sólida para sus procesos comerciales y una pila de seguridad segura para sus datos e información significa que los efectos de la escasez de habilidades en seguridad cibernética están afectando a las PYMES con más frecuencia que nunca.

En resumen, todos necesitan experiencia en seguridad tecnológica, pero tal es la demanda que muchas empresas simplemente no pueden pagarla para todas sus necesidades.

La escasez de habilidades antes de la pandemia

La escasez de habilidades en tecnología se ha estado gestando durante varios años: solo tiene que volver a 2017 para ver cómo se sentían las empresas acerca de la situación en ese momento, con tres cuartas partes de las organizaciones en ese momento sin ver cambios o una brecha de habilidades que empeora en tecnología (vea el gráfico a continuación).

Esto ha supuesto un obstáculo principal para muchas empresas a la hora de contratar candidatos para sus necesidades tecnológicas y de TI.

Brecha de habilidades tecnológicas según lo informado por las empresas | Cómo la escasez de habilidades tecnológicas afecta su negocio

Cambios desde la pandemia

Muchos de los cambios en la forma en que las organizaciones abordan temas como la madurez tecnológica y la ciberseguridad han sido provocados por la pandemia y exacerbaron los problemas existentes que, en cualquier caso, estaban afectando la escasez de talento.

Durante 2020, cuando los bloqueos se generalizaron, las empresas que carecían de la tecnología necesaria para, por ejemplo, proporcionar los recursos adecuados para una fuerza laboral totalmente remota, tuvieron que cambiar rápidamente y adoptar el talento y las soluciones para hacerlo.

Esto afectó prácticamente a todas las líneas de negocio, ya sea ventas, marketing, desarrollo de productos/servicios; todos los aspectos de los procesos de una empresa de repente necesitaban una capacidad tecnológica básica para seguir siendo efectivos en sus operaciones.

Seminario web relacionado: Cómo superar la escasez de talento | Requisitos comerciales modernos

Consideraciones para soluciones tecnológicas

Fue durante este período que muchas empresas analizaron lo que deben reducir para mantenerse solventes, pero también lo que deben invertir por la misma razón: no tiene mucho sentido reducir el gasto para mantener una empresa a flote si va a sufrir una pérdida de datos costosa. incumplir y sufrir peor daño económico en el evento.

Entonces, ¿hacia dónde se han dirigido estas inversiones? Si echamos un vistazo a los datos de Microsoft de agosto de 2020, podemos ver que las cinco principales inversiones desde el comienzo de la pandemia en lo que a seguridad se refiere son:

  1. Autenticación multifactor (MFA) – 20%
  2. Protecciones de dispositivos de punto final: 17%
  3. Herramientas anti-phishing: 16 %
  4. VPN-14%
  5. Educación de seguridad del usuario final: 12 %

Muchas de estas soluciones, en particular la protección de puntos finales, las VPN y otras herramientas de seguridad, requieren la experiencia de un profesional de ciberseguridad para poder mantenerlas.

Tome la protección de punto final, por ejemplo. Es común que los miembros del personal de seguridad cibernética administren la protección de los puntos finales a través de una plataforma en la nube, como Cisco Meraki (que Impact usa con los clientes).

El aprovisionamiento, la protección y el mantenimiento de dispositivos, especialmente con personal que se distribuye en varias oficinas o que no operan bajo una sola red, no es fácil y requiere algún tipo de supervisión.

Cuando tiene en cuenta todos los demás aspectos de la información y la seguridad empresarial, como el cumplimiento, por ejemplo, no es difícil ver por qué contratar personal de seguridad además del personal de TI existente no es factible para muchas organizaciones.

¿Quién está contratando?

La mayoría de las empresas son conscientes de que necesitan aumentar su gasto en ciberseguridad y, de hecho, muchas de ellas lo están haciendo, a menudo a expensas de sus presupuestos de TI más amplios.

Kaspersky informa que, si bien los presupuestos de TI permanecieron estancados entre 2018 y 2020, los presupuestos de seguridad generalmente aumentaron en un rango de 11 a 15 %, lo que indica una clara tendencia a favorecer las iniciativas de seguridad sobre los proyectos de TI, incluso a expensas de TI en general.

El mercado total de ciberseguridad tenía un valor de $3500 millones en 2004. En 2017 se estimó en $120 000 millones y para 2022 se espera que alcance los $170 000 millones.

Como resultado de este presupuesto, la mayoría de las PYMES se enfrentan a un presupuesto de seguridad cibernética de alrededor de $275 000, en comparación con alrededor de $14 millones para las grandes empresas.

Lo que esto suma es una tarea casi imposible para las organizaciones pequeñas y medianas.

Considere algunos puestos de seguridad cibernética y sus salarios promedio:

  • Gerente de Seguridad de la Información: $125,000 – $215,000
  • Ingeniero de Ciberseguridad: $120,000 – $200,000
  • Ingeniero de Seguridad de Aplicaciones: $120,000 – $180,000
  • Analista de Ciberseguridad: $90,000 – $160,000
  • Probador de penetración: $80,000 – $130,000
  • Ingeniero de Seguridad de Redes: $125,000 – $185,000
  • Oficial de Cumplimiento Corporativo de Salud: $120,000

En el entorno actual, los puestos de seguridad cibernética tienen una gran demanda y exigen salarios altos, una barrera que es simplemente demasiado difícil de sortear para muchos.

Si tomamos ese presupuesto promedio de alrededor de $ 275K que muchas empresas tienen para su seguridad cibernética, es evidente que se agotará muy rápidamente solo con el talento, y eso sin pagar ni un centavo en las soluciones tecnológicas.

Esto ha llevado a que las empresas muestren renuencia a contratar nuevos empleados de ciberseguridad o, de hecho, un equipo de seguridad; esto está en línea con las reservas comunes, con alrededor del 54 % de los líderes empresariales preocupados por el gasto en personal de ciberseguridad.

Tres personas que miran el espacio vacío en el rompecabezas | Cómo la escasez de habilidades tecnológicas afecta su negocio

¿Cómo responden las empresas a esto?

Aquí están en juego cosas contradictorias: las empresas deben equilibrar sus presupuestos mientras gastan más en seguridad cibernética para protegerse.

La pregunta para muchos entonces es la simple pregunta de ¿qué hacer? Para muchos, la respuesta ha sido externalizar sus necesidades de seguridad a un tercero.

Un MSSP es un proveedor de servicios de seguridad administrados. El concepto no es diferente a cualquier otro servicio administrado: el MSSP proporciona los recursos (tecnología y personal) y el negocio del cliente celebra un contrato de servicio con el MSSP.

Los MSSP de calidad ofrecerán un contrato de tarifa fija mensual para sus clientes, de modo que no se vean afectados por facturas inesperadas.

El mercado de servicios de seguridad administrados ha crecido de manera significativa en el transcurso de los últimos años, de $32 mil millones en 2020 a $46 mil millones anticipados para 2025, una tasa de crecimiento anual compuesto (CAGR) del 8%.

La contratación de un MSSP para la seguridad cibernética le permite a la empresa aprovechar la experiencia y las herramientas que tiene el MSSP, sin romper el banco mediante la creación de un equipo de seguridad cibernética completo internamente.

Por supuesto, un equipo interno siempre conocerá mejor una empresa, por lo que es importante que las empresas consideren qué tipo de MSSP es deseable para su organización en particular; no todos los proveedores de servicios se crean de la misma manera.

Publicación relacionada: ¿Qué servicios de MSSP debe esperar de su socio de seguridad?

Línea de fondo

El mayor riesgo de que las empresas se conviertan en víctimas del ciberdelito ha creado una fuerte demanda de profesionales y servicios de ciberseguridad.

Esto, a su vez, ha ejercido presión sobre las organizaciones para que encuentren espacio en sus presupuestos para acomodar un programa de seguridad, pero para la mayoría es demasiado difícil hacerlo.

Las empresas deben optar por ignorar la amenaza del delito cibernético y enterrar la cabeza en la arena (lo que en realidad está haciendo una cantidad no insignificante de empresas) o encontrar otra forma de construir una estrategia de defensa.

Los MSSP como alternativa brindan a las organizaciones la oportunidad de invertir en su ciberseguridad sin salirse del presupuesto, y es en gran parte la razón por la cual la industria de servicios de seguridad administrados ha despegado a lo grande en los últimos años.

Las empresas que están preocupadas por el estado de su defensa de ciberseguridad deben ser realistas sobre la amenaza del ciberdelito, pero también sobre su presupuesto.

La escasez de ciberseguridad, aunque se han visto mejoras en el último año, sigue siendo un problema para las empresas que contratan talento en seguridad y un problema que afecta a muchas empresas que buscan proteger sus datos y procesos.

Estas organizaciones deberían considerar seriamente un proveedor de servicios de seguridad administrados para satisfacer sus necesidades con un presupuesto, ya que es poco probable que la escasez de habilidades en seguridad cibernética se alivie en la medida necesaria para que sea asequible para las PYMES en el corto plazo.

Obtenga más información sobre lo que implica una estrategia de ciberseguridad completa y cómo un MSSP satisface esas necesidades en nuestro libro electrónico, ¿Qué hace que una buena defensa de ciberseguridad para una PYME moderna?