El 61 por ciento de los equipos de ciberseguridad de las empresas cuentan con personal suficiente para afrontar los retos que esta supone en el entorno empresarial, por lo que casi la mitad de las organizaciones carece de empleados que desempeñen estas funciones. Es una de las conclusiones a las que ha llegado ISACA en su State of Cybersecurity 2023, una encuesta anual con la que explica el panorama más reciente de las amenazas a la ciberseguridad, los retos y oportunidades de contratación. Este informe, patrocinado por Adobe, también muestra que el 50 por ciento de los más de 2.000 responsables de seguridad de todo el mundo que participaron en el sondeo indicaron que cuentan con ofertas de empleo para puestos no básicos o especializados, mientras que el 21 por ciento aseguró tener vacantes para puestos básicos o de entrada. A nivel de personal y competencias, la investigación demuestra que se han hecho algunos avances en la retención de empleados dedicados a la ciberseguridad, pero sigue siendo un reto para el tejido empresarial. Tanto es así que algo más de la mitad (56%) de los responsables de este área afirma tener dificultades para retener a profesionales cualificados en este campo, aunque esta cifra ha descendido hasta cuatro puntos con respecto al año pasado. Desde ISACA creen que seguir reduciendo los problemas de retención puede ser difícil debido a que los beneficios que se ofrecen a los profesionales de la ciberseguridad han disminuido, entre otras cosas, por la incertidumbre económica. En cualquier caso, este área ha demostrado ser esencial en gran parte de las organizaciones, que deben nutrirse de personal especializado. De ahí que los encuestados afirmen que habitualmente buscan trabajadores enfocados a la gestión de identidad y acceso (49%), computación en la nube (48%), protección de datos (44%), respuesta a incidentes (44%) y DevSecOps (36%). 'SOFT SKILLS' VALORABLES PARA LA CONTRATACIÓN El estudio también plantea cuáles son los requisitos que la empresa exige a la hora de las contrataciones, destacando que la mayoría (el 97% de los encuestados) tiene más en consideración a un candidato por tener experiencia práctica. El 88 por ciento pide títulos en estudios relacionados con la seguridad de la información o la ciberseguridad, mientras que el 83 por ciento valora que el candidato haya recibido práctica en seguridad. A nivel personal, estos responsables consideran que es fundamental que sus empleados posean 'soft skills', por ejemplo, que tengan una buena comunicación (58%), pensamiento crítico (54%), sepan afrontar y resolver problemas (49%), tengan buenos resultados en el trabajo en equipo (45%) y presten atención a los detalles (36%). Sin embargo, desde ISACA señalan que la empatía (13%) y la honestidad (17%) son consideradas menos importantes por estos sondeados. La falta de estas habilidades explica, por tanto, que buena parte de las organizaciones (el 62%) no denuncie o informe cuando haya sido víctima de un ciberataque. Por el contrario, en este estudio se expone que el 55 por ciento de los responsables citaron carencias en las habilidades interpersonales de los empleados de ciberseguridad, el 47 por ciento en conocimientos sobre la computación en la nube, el 35 por ciento en controles de seguridad, el 30 en las habilidades de codificación y el otro 30 por ciento en temas relacionados con el desarrollo del 'software'. Para mejorar la situación, los responsables señalan que tienen puesto el foco en formar a personal no especializado interesado en desempeñar funciones de seguridad, aumentar el número de empleados contratados para este área o contratar consultores externos y utilizar en mayor medida los programas de reciclaje. AMENAZAS A LA CIBERSEGURIDAD En torno al panorama de las amenazas a la ciberseguridad, casi el 48 por ciento indica que su organización está sufriendo más ciberataques que hace un año y solo el 42 por ciento confía en que su equipo pueda detectarlos y responder ante ellos. No obstante, se mantienen las preocupaciones habituales de los empresarios, ya que el 79 por ciento de los encuestados teme que se ponga en riesgo la reputación de la empresa, se violen sus datos (69%) o se interrumpa la cadena de suministro (55%). Otros de los aspectos que más preocupan a los responsables son las amenazas persistentes avanzadas (11%), ataques de 'ransomware' (10%), la desconfiguración de la seguridad (10%), sistemas sin parchear (10%), ataques de denegación de servicio (9%) o la exposición de datos confidenciales (9%). El informe de ISACA concluye que, por un lado, existe una creciente necesidad de expandir la fuerza laboral en ciberseguridad debido a que falta ocupar ciertos puestos y que estas vacantes también tardan en ocuparse y, por otro lado, que las ciberamenazas tienen un impacto cada vez mayor en las organizaciones. Asimismo, la compañía puntualiza en sus conclusiones que para abordar la escasez de personal es necesario crear más posiciones de nivel inicial para que los que completen un programa de formación en ciberseguridad puedan obtener experiencia laboral. Además, insiste en que la ciberseguridad no es solo cosa de los profesionales dedicados a este área, sino que también engloba a otras como la administración o el márketing. De ahí que se necesiten profesionales con conocimientos empresariales y capacidad tanto para comunicarse como para resolver problemas. Estos empleados, por tanto, deben saber resolver problemas, puesto que las organizaciones cada vez están más digitalizadas debido a la automatización de buena parte de sus procesos. Finalmente, reconocen que el número de denuncias de ciberataques apenas ha variado y que las empresas siguen preocupadas por la posibilidad de que uno de ellos dañe su reputación a nivel de seguridad.