La ciberseguridad depende de la educación
por Marisa Viveros
Nos enfrentamos a un sorprendente déficit de talento en ciberseguridad. Tenga en cuenta las conclusiones de una investigación reciente de la Oficina Nacional de Auditoría del Reino Unido. Su informe destacó no solo que el grupo actual de graduados y profesionales con formación en seguridad está muy por debajo de la demanda, sino que también «podrían pasar hasta 20 años abordar la brecha de habilidades».
Este es un desafío que mi equipo de IBM está abordando, en gran medida mediante la conexión con los crecientes programas académicos sobre ciberseguridad y el fomento de niveles más altos de colaboración entre ellos, la industria y el gobierno. (Consulte nuestro informe reciente aquí: Educación en ciberseguridad para la próxima generación.) Nos preocupa especialmente ver que la fuerte demanda por parte de los empleadores de personas capaces de luchar contra las oleadas actuales de ciberataques está sacando talentos de las filas de los profesionales que, de otro modo, estarían educando a la próxima generación y realizando la investigación crítica para avanzar en el estado del arte. Sobre todo teniendo en cuenta la rápida y continua evolución de las amenazas, es fundamental que los programas académicos de ciberseguridad compartan las mejores prácticas y las actualizaciones curriculares.
Pero es igual de importante que las empresas, desde empresas emergentes hasta grandes corporaciones, y desde pequeñas organizaciones sin fines de lucro hasta grandes agencias gubernamentales, hagan su parte. Tienen los medios y la necesidad imperiosa de mejorar los conocimientos de ciberseguridad de sus empleados.
Comience con los numerosos profesionales de TI de su plantilla que nunca recibieron formación en los aspectos de seguridad de los sistemas. Una forma importante de lograr una seguridad mejorada es diseñarla desde el principio, en el desarrollo de nuevas aplicaciones, en la forma en que se gestionan los datos y en la construcción de la infraestructura de TI. Los empleadores deberían invertir en la formación de los empleados de TI, fomentando y apoyando la obtención de certificados y títulos relacionados en las escuelas de posgrado y otros programas externos. La inversión financiera no tiene por qué ser grande. Coursera, Udacity y otros recursos en línea gratuitos ofrecen cursos relacionados con la seguridad, y hay numerosos seminarios web en línea y vídeos de YouTube a los que se puede dirigir a los empleados.
Incluso los empleados que llegaron con conocimientos de seguridad tienen más que aprender. El campo de la ciberseguridad se expande constantemente, con más dominios que proteger y más formas de atacar. Las intrusiones son más difíciles de detectar; los atacantes son más sigilosos y evasivos. Los programas académicos que hacían hincapié en la criptografía y en la lucha contra los ataques de rastreo y denegación de servicio ahora cubren áreas como los ciberataques físicos, la protección de sistemas heterogéneos y el análisis de datos de seguridad en tiempo real.
Mejor aún, las empresas de contratación pueden encontrar formas de unir sus fuerzas con los programas académicos. Entre los cientos de programas que seguimos, muchos se centran principalmente en los negocios. Suelen tener juntas consultivas o patrocinadores de la industria. Sus mejores socios comerciales están profundamente comprometidos: financian concursos de investigación y diseño, conceden becas y becas, contribuyen al diseño de los planes de estudio y envían a sus propios empleados a la institución para recibir formación y obtener títulos avanzados.
Su misión educativa no termina en la puerta del departamento de TI. El resto de sus empleados también necesitan saber más sobre cómo protegerse a sí mismos y a la empresa. En un reciente Encuesta del Instituto Ponemon, el 73 por ciento de los encuestados informó que un traspié de seguridad de un empleado había provocado pérdidas financieras o daños a la marca de su organización. La triste verdad es que muchos empleados ni siquiera saben cuándo están incurriendo en conductas de riesgo que podrían provocar una violación importante de la seguridad. Esa ingenuidad generalizada puede tener un alto precio en la era de Bring Your Own Devices (BYOD) y en las redes sociales. Un desliz le puede pasar a cualquiera, independientemente de su posición en la organización.
La mejor defensa es ofrecer programas educativos integrales para los empleados. No tiene que convertir a todos los empleados en expertos en ciberseguridad para mejorar sus defensas de forma colectiva. IBM, por ejemplo, exige que todos los empleados completen una formación digital cada año, que abarca desde el manejo seguro de los datos de los clientes hasta su uso adecuado en las redes sociales. Los empleados pueden aprender fácilmente a detectar y evitar los tipos de amenazas más frecuentes, como los ataques de suplantación de identidad en los correos electrónicos.
Ya sea que se enseñe en un entorno universitario o se lleve a cabo en una empresa, la ciberseguridad es un problema holístico y necesita una solución integral. Justo cuando las instituciones educativas comienzan a desarrollar enfoques interdisciplinarios (como programas conjuntos entre escuelas de informática y negocios, medicina, derecho, economía, políticas públicas, criminología e incluso escuelas de periodismo), las organizaciones deberían asegurarse de que su enfoque de seguridad llegue a las personas responsables de la infraestructura, los recursos humanos, los datos, las aplicaciones, el control ético, la política de gestión y el cumplimiento legal.
En los últimos años se han producido avances tecnológicos para ayudar a los directores de seguridad de la información (CISO) a proteger las redes corporativas contra las conductas de riesgo involuntarias o intencionales de los empleados. Pero si bien estos controles técnicos y el establecimiento de políticas sólidas son componentes esenciales de una seguridad eficaz, educar a los empleados en TI y ciberseguridad es una de las mejores inversiones que puede hacer una empresa, y un reconocimiento racional de que tendremos que crear un futuro más seguro.
Datos bajo asedio
Un HBR Insight Center
Artículos Relacionados
La IA es genial en las tareas rutinarias. He aquí por qué los consejos de administración deberían resistirse a utilizarla.
Investigación: Cuando el esfuerzo adicional le hace empeorar en su trabajo
A todos nos ha pasado: después de intentar proactivamente agilizar un proceso en el trabajo, se siente mentalmente agotado y menos capaz de realizar bien otras tareas. Pero, ¿tomar la iniciativa para mejorar las tareas de su trabajo le hizo realmente peor en otras actividades al final del día? Un nuevo estudio de trabajadores franceses ha encontrado pruebas contundentes de que cuanto más intentan los trabajadores mejorar las tareas, peor es su rendimiento mental a la hora de cerrar. Esto tiene implicaciones sobre cómo las empresas pueden apoyar mejor a sus equipos para que tengan lo que necesitan para ser proactivos sin fatigarse mentalmente.
En tiempos inciertos, hágase estas preguntas antes de tomar una decisión
En medio de la inestabilidad geopolítica, las conmociones climáticas, la disrupción de la IA, etc., los líderes de hoy en día no navegan por las crisis ocasionales, sino que operan en un estado de perma-crisis.