Cómo mantenerse a la vanguardia de la escasez de talento en ciberseguridad

La escasez de mano de obra en ciberseguridad está en pleno apogeo, y las organizaciones de todo el mundo están sintiendo sus efectos. En nuestro último ebook, sugerimos tres estrategias para ayudar a los responsables de seguridad a sortear la escasez de mano de obra.

Hoy exploraremos una de esas estrategias: modernizar su PKI, lo que puede ser un gran beneficio para la eficiencia de sus equipos de TI y seguridad, así como para la postura de seguridad de su organización. Pero primero, vale la pena hacer un balance de los innumerables factores que contribuyen a la escasez de mano de obra en ciberseguridad. 

La escasez de mano de obra no es un problema que se resuelva rápidamente. Sus síntomas y ramificaciones tendrán importantes implicaciones para el mundo empresarial en los próximos años, incluso mientras la demanda actual de talento en ciberseguridad supera la oferta de la fuerza laboral.

La escasez de mano de obra tampoco es un problema nuevo. Cybersecurity Ventures informa que en 2013 había un millón de puestos de ciberseguridad sin cubrir en todo el mundo. Un estudio de la fuerza laboral de ciberseguridad de 2022 realizado por (ISC)² mostró que la reserva de talento en ciberseguridad alcanzó un máximo histórico en 2022 con 4,7 millones de trabajadores, un aumento del 11% desde 2021. Sin embargo, la brecha de la fuerza laboral se amplió un 26,2%, creando una escasez global de 3,4 millones de trabajadores. Más de 700.000 de esos puestos vacantes se encuentran en EE. UU.

Cybersecurity Ventures afirma que la escasez de mano de obra se está estabilizando, pero no disminuyendo. Predicen que la brecha actual de 3,4 millones de trabajadores se mantendrá estable hasta 2025.

Un estudio de Trellix revela que la escasez afecta la postura de seguridad del 85% de las organizaciones. La encuesta de (ISC)² consultó a profesionales de la ciberseguridad sobre los mayores obstáculos exacerbados por esta escasez.

• Sistemas mal configurados (32%) 
• Tiempo insuficiente para una evaluación y gestión de riesgos adecuadas (30%)
• Tiempo de retraso excesivo en la aplicación de parches a sistemas críticos (29%)
• Descuidos en procedimientos y procesos (28%)
• Incapacidad para anticiparse a las amenazas activas contra las redes de la empresa (27%)
• Implementaciones apresuradas (27%)

Estas vulnerabilidades pueden interrumpir significativamente las operaciones comerciales, y ninguna organización es inmune. Crypto.com, la Cruz Roja, Microsoft, Cash App y otras sufrieron brechas notables en 2022. El informe Cost of a Data Breach de IBM reveló que el 85% de las organizaciones sufrió una brecha, y muchas experimentaron más de una. 

Para agravar las consecuencias, el costo de una brecha nunca ha sido tan alto. IBM estima que una brecha de datos en EE. UU. cuesta un promedio de $9,44 millones, y las brechas en la industria de la salud cuestan aún más: $10,10 millones en promedio.

Aunque IBM descubrió que los intentos de phishing y las credenciales comprometidas eran la causa más frecuente y costosa de las brechas, las interrupciones de certificados son cada vez más comunes y más caras.

El Informe sobre el estado de la gestión de identidades de máquinas 2022 de Keyfactor reveló que el 81% de las organizaciones ha experimentado al menos dos o más interrupciones disruptivas causadas por certificados caducados en los últimos dos años, y la organización promedio sufrió cuatro interrupciones relacionadas con certificados. El costo promedio de una interrupción de certificado para una empresa del Global 5000 ascendió a $15 millones.

Las razones de esto son múltiples.

• El volumen de certificados utilizados por la empresa promedio supera con creces el cuarto de millón.
• Tres cuartas partes de las organizaciones afirman que el creciente uso de certificados y claves digitales ha aumentado significativamente la carga operativa de su departamento de TI. 
• La disminución de los ciclos de vida de los certificados plantea un desafío. En 2020, los ciclos de vida de los certificados se redujeron a la mitad, de 27 a 13 meses, lo que esencialmente duplicó el trabajo y el riesgo de mantenerlos para las organizaciones que carecen de procesos maduros de infraestructura de clave pública (PKI).

CyberSN, una bolsa de trabajo de ciberseguridad, informó que las renuncias en el campo de la ciberseguridad habían aumentado alrededor del 20% desde el inicio de la pandemia. Antes de la pandemia de Covid-19, los trabajadores de ciberseguridad tanto de la Costa Este como de la Costa Oeste citaban la falta de oportunidades de crecimiento como su principal razón para renunciar. Cabe destacar que el agotamiento no figuraba entre las cinco principales razones para dejar un puesto en ninguna de las costas. En contraste con la actualidad, el agotamiento es la principal razón de renuncia en la Costa Oeste y la segunda razón más alta en la Costa Este, representando el 30% de las renuncias en cada una.

Muchos equipos de ciberseguridad dedican horas a tareas operativas que podrían automatizarse fácilmente, liberándolos para centrarse en otras responsabilidades. Más allá del ahorro de tiempo, la automatización también puede tener otros impactos positivos en el negocio, ya que puede mitigar los riesgos asociados con la mala configuración debido a errores humanos. Los equipos de TI y seguridad que gestionan manualmente la PKI de su organización se enfrentan a barreras que incluyen:

• La falta de experiencia genera ineficiencias posteriores
  La PKI es un esfuerzo implacable. Debe diseñarse perfectamente desde el principio, ya que ciertos elementos, una vez establecidos, son imposibles de modificar sin reiniciar el proyecto de PKI. Los equipos generalistas rara vez poseen la experiencia necesaria para implementar la PKI correctamente a la primera, lo que les genera más trabajo en la gestión y el mantenimiento de la PKI.
• Los procesos manuales inhiben la escalabilidad
  El proceso de solicitar, crear, emitir y rastrear certificados es tedioso y manual. Según el Informe sobre el estado de la gestión de identidades de máquinas 2022 de Keyfactor, el 42% de los encuestados todavía utiliza hojas de cálculo para rastrear certificados. Esto, sin duda, le cuesta a su equipo horas y horas cada semana. 

• La falta de centralización dificulta la visibilidad
  El Informe sobre el estado de la gestión de identidades de máquinas 2022 de Keyfactor muestra que la visibilidad de todos los certificados a nivel empresarial es la máxima prioridad para los equipos de PKI. La complejidad de lograr esta visibilidad la convierte en una tarea en sí misma. Sin un centro centralizado para gestionar la PKI, los equipos no pueden sentar las bases para la automatización ni actuar de forma proactiva para prevenir interrupciones de certificados.

Para evaluar la viabilidad de automatizar su PKI, hay algunos factores a considerar.

Consulte con los equipos y líderes involucrados en el proceso de PKI para comprender cómo se gestionan los certificados y cuánto tiempo lleva aprovisionarlos, instalarlos y renovarlos. 

Este equipo puede ayudar a trazar la infraestructura de autoridad de certificación (CA) de su organización, qué aplicaciones requieren certificados y los flujos de trabajo relacionados con la gestión de certificados. Con una visión completa, podrá evaluar mejor el coste total de propiedad de su estrategia PKI actual. Las siguientes preguntas le ayudarán a determinar el coste total de propiedad asociado a sus procesos de gestión de PKI.

• ¿Cuántas horas se dedican a la gestión de PKI por semana y mes, y cuál es el coste monetario asociado a esos gastos de mano de obra?
• ¿Cuánto gasta su organización en herramientas relacionadas con PKI y tarifas de licencia? 
• ¿Con qué frecuencia experimenta su organización interrupciones relacionadas con certificados? 
• ¿Cuánto tiempo se tarda en responder a una interrupción relacionada con un certificado?
• ¿Cuánto pierde en tiempo de inactividad, interrupción de procesos, oportunidades perdidas y daño a la reputación debido a estas interrupciones?

La carga de una gestión e infraestructura de PKI ineficientes no es estática. Crecerá con el tiempo a medida que aumente el uso de certificados, se intensifiquen las normativas de cumplimiento y los riesgos de una brecha de seguridad sean más graves. No hacer nada tiene un coste, un coste que debe considerar al evaluar una inversión en PKI.

Tenga en cuenta que las organizaciones que confían la PKI a equipos generales de TI y seguridad lo hacen a expensas de sus funciones principales. Cuando estos equipos se ven obligados a elegir entre esas funciones principales y la gestión de la PKI, la PKI casi siempre pasa a un segundo plano. Esto es natural, pero conlleva un coste monetario que solo aumentará a medida que las organizaciones se esfuercen por hacer más con menos personal en todos los departamentos.

• ¿Cuáles son los riesgos en su proceso PKI actual, y cómo se intensificarán esos riesgos con el tiempo (incluido el cumplimiento normativo)?
• Si los miembros del equipo que gestionan la PKI en su organización tuvieran más horas para dedicar a sus responsabilidades principales, no relacionadas con la PKI, ¿cuánto valor generaría eso para el negocio? ¿Cuánto de este valor está perdiendo a medida que la PKI se vuelve más inmanejable, ocupando más tiempo de estos miembros del equipo?
• ¿Están las tareas de PKI restando eficacia a los miembros del equipo en sus funciones principales? Por ejemplo, ¿se resuelven los problemas más lentamente o está pagando horas extras a los miembros del equipo para que completen el alcance total de su trabajo? ¿En qué momento la carga de trabajo exigirá una nueva contratación, y cuál es su coste?
• A medida que su uso de PKI se escala con su proceso actual, sus problemas también se escalarán. ¿A qué ritmo se volverán más frecuentes y graves? ¿Cuál es el punto de ruptura para su organización? ¿Cuánto costará ese punto de ruptura, y cuánto costará recuperarse?

Aunque la automatización requiere una inversión sustancial en tecnología, es una gran ventaja para las organizaciones que pueden recuperar eficiencias perdidas, lo que tiene un beneficio financiero directo en un mercado laboral ajustado.

La gestión de PKI puede y debe permitir la automatización, la visibilidad, la escalabilidad y un enfoque preventivo y proactivo. Una vez configurada, el mantenimiento y la gestión de la PKI se convierten en una carga menor.

• Si su equipo actual de PKI pudiera automatizar, escalar y ser proactivo en la gestión de PKI, ¿cuánto ancho de banda les devolvería eso que podría centrarse en otras tareas de seguridad y TI? ¿Qué pasaría si pudiera quitarles la PKI de encima por completo?
• ¿Cuáles son las eficiencias a nivel de infraestructura que se crearán al modernizar la PKI, y cómo se traducen esas eficiencias en costes reducidos o mayores ingresos? 
• Entre menos interrupciones y horas-hombre gastadas de forma más eficaz, ¿cuánto tiempo tardará su solución en amortizarse?

Los profesionales de la ciberseguridad y las TI son apasionados del arduo trabajo que realizan. No se agotan por exceso de trabajo, sino por trabajo innecesario. La forma más a menudo pasada por alto de cambiar la curva de eficiencia es encontrar y eliminar los procesos manuales en favor de la automatización. 

Y si bien el aumento de los salarios de los profesionales de la ciberseguridad atraerá sin duda a más trabajadores a la industria y, con el tiempo, mitigará la escasez de mano de obra, los expertos creen que se necesitan entre dos y cinco años para adquirir competencia en una profesión de ciberseguridad, lo que crea un largo plazo para el desarrollo y la búsqueda de talento.

Afortunadamente, el futuro no es del todo sombrío. Todavía tenemos que centrarnos en solucionar la escasez de mano de obra, pero también es imperativo que las organizaciones adopten tecnologías que puedan ayudar a sus equipos de ciberseguridad existentes a trabajar de manera más eficiente. Estas tecnologías pueden contribuir en gran medida a resolver los desafíos a los que nos enfrentamos hoy.

Keyfactor ayuda a las empresas (incluidas aquellas con equipos con recursos limitados) a proteger cada clave y certificado digital para empresas multi-nube, DevOps y seguridad de IoT integrada. Haga clic aquí para obtener más información sobre lo que ofrecemos, incluyendo cómo nuestro PKI en la nube como servicio (Cloud PKI-as-a-Service) ofrece a cada organización acceso a un equipo de élite de expertos en ciberseguridad.

Para obtener más información sobre cómo un enfoque modernizado de la PKI puede ayudar a su equipo de ciberseguridad a ser más eficiente, descargue nuestro nuevo libro electrónico: Tres estrategias para ayudar a los líderes de seguridad a navegar la escasez de talento en ciberseguridad.