Australia continúa lidiando con las ramificaciones de una enorme escasez de habilidades en ciberseguridad, subrayada por otra reciente violación de datos a gran escala. La gran preocupación es si la nación tiene siquiera los recursos para fortalecer la resiliencia.
Recientemente, la empresa de recetas electrónicas MediSecure fue víctima de un importante ataque de ransomware. Junto con otros incidentes importantes como Optus, Latitude Finance y más en los últimos años, el evento fue un recordatorio de la necesidad continua y urgente de profesionales capacitados en seguridad cibernética.
Esta necesidad de habilidades en ciberseguridad crece en aproximadamente 5.000 trabajadores al año. Desafortunadamente, solo se espera que el sistema universitario nacional pueda escalar para producir alrededor de 2000 trabajadores con experiencia en ciberseguridad por año para 2026. Ese déficit significa que más organizaciones se pondrán en riesgo y socava toda la Estrategia de Seguridad Cibernética 2023. -2030, el gobierno australiano había señalado como estrategia central.
En resumen, Australia no puede resolver la escasez manteniendo el status quo. Una estrategia multifacética de seguridad cibernética, respaldada por inversiones para ampliar las capacidades cibernéticas, ayudará a Australia a abordar las causas fundamentales que explican por qué se informan tantas violaciones de datos con tanta frecuencia. Pero será necesaria una combinación de la industria, el gobierno, el sector privado y los individuos para trabajar en colaboración.
Siete posibles soluciones a este enigma de la ciberseguridad
Superar la creciente brecha entre la demanda de capacidades de seguridad cibernética y su disponibilidad en el mercado laboral requiere un enfoque multifacético.
Alentar a las personas a mejorar sus habilidades
Facilitar a las personas que tienen habilidades existentes agregar seguridad cibernética a la combinación es una forma sencilla de reforzar la profundidad general de las habilidades dentro de Australia. El incentivo está ahí, ya que existe un mayor potencial de ingresos por tener habilidades en seguridad cibernética. Simplemente requiere un mejor acceso y disponibilidad de capacitación flexible (como cursos en línea y nocturnos), para que las personas puedan estudiar mientras trabajan.
Desarrollar capacidades en el sector universitario.
La seguridad cibernética será una oportunidad profesional lucrativa, por lo que, combinada con programas específicos, debería ser posible aumentar los graduados con capacidades en todos los sectores más allá de las proyecciones actuales.
Mejorar las vías para el talento internacional
En el reciente presupuesto federal, el gobierno australiano anunció un plan para reducir el número total de inmigrantes que ingresan al país, pero para facilitar la obtención de visas a los inmigrantes calificados.
Dado que la mayoría de los países del mundo experimentan escasez de habilidades en seguridad cibernética, los beneficios sociales, de estilo de vida y profesionales de vivir en Australia deberían ayudar a que el país siga teniendo demanda para inmigrantes calificados.
VER: Mujeres en la ciberseguridad: la encuesta ISC2 muestra la brecha salarial y los beneficios de los equipos inclusivos
Trabajar con la industria para desarrollar soluciones.
Google anunció recientemente planes para integrar la IA en sus productos de seguridad cibernética y, cada vez más, hay herramientas disponibles a nivel del consumidor, como Scamio de Bitdefender, que pueden ayudar a las personas a gestionar sus propios riesgos de seguridad.
Incrementar las inversiones en ciberseguridad
Se puede esperar que los equipos de los sectores de mayor riesgo, como la banca y la atención médica, aumenten la inversión en ciberseguridad, ya que proteger a sus clientes es lo mejor para ellos. Esto puede significar que será aún más difícil para las organizaciones fuera de esos sectores encontrar talento, pero debería significar que en todo el país las infracciones tienen un impacto menor.
Implementar la solución de identificación digital
El gobierno está tomando medidas para proteger a la nación con una solución de identificación digital que, si bien es controvertida, significaría que las personas no necesitan enviar a empresas privadas formas de identificación críticas para solicitar préstamos, alquileres de viviendas, etc. Debido a que sus datos no se conservarán en varias empresas privadas, las personas pueden tener mayor confianza en que, si alguna de ellas fuera violada, los ciberdelincuentes aún no podrán acceder a su información de identificación.
Invertir en la educación de la nación
Las herramientas tecnológicas ayudarán, pero la seguridad cibernética también debe tratarse como la seguridad contra incendios o los primeros auxilios, y se debe alentar a todos los australianos a desarrollar una comprensión básica de las mejores prácticas de seguridad y luego continuar actualizando ese conocimiento de manera regular.
Cómo los líderes en ciberseguridad pueden ayudar a gestionar el riesgo ante la escasez de habilidades
Para los líderes de seguridad cibernética, puede parecer contrario a la intuición, pero el objetivo debe ser aprovechar la tecnología y las asociaciones para reducir las cargas de trabajo de su equipo. Para que los equipos de seguridad interna sean eficaces, deben hacer una transición de sus funciones para volverse más estratégicas y centrarse en la supervisión, en lugar de estar en las proverbiales trincheras.
Para lograr este objetivo, los líderes en seguridad cibernética deberían:
- Asóciese con proveedores de servicios de seguridad gestionados: Los profesionales de la seguridad cibernética deberían considerar asociarse con proveedores de servicios de seguridad gestionados para ampliar sus capacidades. Los MSSP pueden ofrecer una variedad de servicios, desde monitoreo 24 horas al día, 7 días a la semana hasta detección y respuesta avanzadas a amenazas. Esta asociación permite que los equipos internos se beneficien de la experiencia y la tecnología de los MSSP y pueden llenar los vacíos en las capacidades del equipo interno.
- Participar en asociaciones público-privadas: Las asociaciones público-privadas pueden ser una herramienta poderosa para combatir las amenazas cibernéticas. Al trabajar juntos, el sector público y las empresas privadas pueden combinar sus recursos y experiencia para desarrollar marcos de seguridad más sólidos. Estas asociaciones también pueden facilitar el intercambio de inteligencia sobre amenazas y mejores prácticas, mejorando la resiliencia cibernética general de la nación.
- Priorizar la gestión estratégica de riesgos: Es esencial que los profesionales de la seguridad cibernética prioricen la gestión estratégica de riesgos. Esto implica identificar los activos y vulnerabilidades más críticos dentro de una organización y centrar los esfuerzos en proteger estas áreas. Al adoptar un enfoque basado en riesgos, los profesionales pueden asignar sus recursos limitados de manera más efectiva y garantizar que se mitiguen los riesgos más importantes.
- Centrarse en fortalecer el papel del CISO dentro de las empresas: Actualmente, el CISO se considera una de las funciones relativamente “menores” dentro de la alta dirección, y el CIO sigue siendo quien supervisa la dirección estratégica de TI. Las empresas más pequeñas a menudo no tienen ningún CISO. Esto debería cambiarse reconociendo que una buena ciberseguridad es una prioridad estratégica, porque al eliminar los riesgos de TI, las organizaciones pueden hacer un mejor uso de ella. En toda la organización, se debería hacer un mayor esfuerzo para involucrar a los equipos de seguridad con otras operaciones de TI.
