Cómo adelantarse a la escasez de mano de obra en ciberseguridad

La escasez de mano de obra en ciberseguridad está en pleno apogeo, y las organizaciones de todo el mundo están sintiendo sus efectos. En nuestro último ebook, sugerimos tres estrategias para ayudar a los responsables de seguridad a sortear la escasez de mano de obra.

Hoy exploraremos una de esas estrategias: la modernización de su PKI, que puede ser de gran ayuda para la eficacia de sus equipos de TI y seguridad, así como para la postura de seguridad de su organización. Pero antes, vale la pena hacer balance de los múltiples factores de la escasez de mano de obra en ciberseguridad. 

La escasez de mano de obra no es un problema que vaya a resolverse por sí solo rápidamente. Sus síntomas y ramificaciones tendrán importantes implicaciones para el mundo empresarial en los próximos años, incluso cuando la demanda actual de talento en ciberseguridad supere a la mano de obra.

La escasez de mano de obra tampoco es un problema nuevo. Cybersecurity Ventures informa que en 2013 hubo un millón de puestos de ciberseguridad sin cubrir en todo el mundo. A estudio sobre la mano de obra en ciberseguridad para 2022 realizado por (ISC)² mostró que la reserva de mano de obra de ciberseguridad alcanzó un máximo histórico en 2022 con 4,7 millones de trabajadores, un aumento del 11% desde 2021. Sin embargo, la brecha de mano de obra se amplió en un 26,2%, creando una escasez global de 3,4 millones de trabajadores. Más de 700.000 de esos puestos vacantes se encuentran en Estados Unidos.

Cybersecurity Ventures afirma que la escasez de mano de obra se está estabilizando, pero no disminuyendo. Predicen que la brecha actual de 3,4 millones de trabajadores se mantendrá estable hasta 2025.

Un estudio de Trellix muestra que la escasez afecta al 85% de la postura de seguridad de las organizaciones. La encuesta de (ISC)² encuestó a profesionales de la ciberseguridad sobre los principales obstáculos agravados por la escasez.

• Sistemas mal configurados (32%) 
• Tiempo insuficiente para evaluar y gestionar adecuadamente los riesgos (30%)
• Retraso excesivo en la aplicación de parches a los sistemas críticos (29%)
• Supervisión de procedimientos y procesos (28%)
• Incapacidad para adelantarse a las amenazas activas contra las redes de la empresa (27%).
• Despliegues apresurados (27%)

Estas vulnerabilidades pueden perturbar considerablemente las operaciones de las empresas, y ninguna organización es inmune a ellas. Crypto.com, la Cruz Roja, Microsoft, Cash App y otras sufrieron brechas notables en 2022. El informe de IBM Cost of a Data Breach reveló que el 85% de las organizaciones sufrieron una filtración, muchas de ellas más de una.

Para agravar las consecuencias, el coste de una brecha nunca ha sido tan alto. IBM calcula que una violación de datos en Estados Unidos cuesta una media de 9,44 millones de dólares.y en el sector de la sanidad cuesta aún más: 10,10 millones de dólares de media.

Aunque IBM descubrió que los intentos de phishing y las credenciales comprometidas eran la causa más frecuente y costosa de las brechas, las interrupciones de certificados son cada vez más comunes y más caras.

KeyfactorEl informe State of Machine Identity Management 2022 ha descubierto que el 81% de las organizaciones han sufrido al menos dos o más interrupciones causadas por certificados caducados en los últimos dos años, y que la organización media ha sufrido cuatro interrupciones relacionadas con certificados. El coste medio de una interrupción de certificados para una empresa global de 5.000 empleados fue de 15 millones de dólares..

Las razones son múltiples.

• El volumen de certificados utilizados por una empresa media supera ampliamente el cuarto de millón.
• Tres cuartas partes de las organizaciones afirman que el creciente uso de certificados y claves digitales ha aumentado significativamente la carga operativa de su organización de TI. 
• La disminución de los ciclos de vida de los certificados plantea un reto. En 2020, los ciclos de vida de los certificados se redujeron a la mitad, de 27 a 13 meses, lo que básicamente duplica el trabajo y el riesgo de mantenerlos para las organizaciones que carecen de procesos maduros de infraestructura de clave pública (PKI).

CyberSN, una bolsa de trabajo de ciberseguridad, informó de que las dimisiones en el campo de la ciberseguridad habían aumentado alrededor de un 20% desde el inicio de la pandemia. Antes de la pandemia de Covid 19, los trabajadores de la ciberseguridad tanto de la costa este como de la costa oeste citaban la falta de oportunidades de crecimiento como la principal razón para dimitir. Cabe destacar que el agotamiento no figuraba entre las cinco razones principales para abandonar un puesto en ninguna de las dos costas. En contraste con la situación actual, en la que el agotamiento es el principal motivo de dimisión en la costa oeste y el segundo en la costa este, representando el 30% de las dimisiones en cada una de ellas.

Muchos equipos de ciberseguridad pierden horas en tareas operativas que podrían automatizarse fácilmente, liberándoles para centrarse en otras responsabilidades. Más allá del ahorro de tiempo, la automatización también puede tener otros impactos positivos en el negocio, ya que puede aliviar los riesgos asociados a la mala configuración debida a errores humanos. Los equipos de TI y de seguridad que gestionan manualmente la PKI de su organización se enfrentan a obstáculos como:

• La falta de conocimientos crea ineficiencias en las fases posteriores
  PKI es una empresa implacable. Debe diseñarse a la perfección desde el principio porque ciertos elementos, una vez establecidos, son imposibles de modificar sin reiniciar el proyecto de PKI. Los equipos generalistas rara vez poseen los conocimientos necesarios para hacer bien la PKI a la primera, lo que les genera más trabajo a la hora de gestionarla y mantenerla.
• Los procesos manuales impiden la escalabilidad
  El proceso de solicitud, creación, emisión y seguimiento de certificados es tedioso y manual. Según el KeyfactorState of Machine Identity Management 2022 Reportel 42% de los encuestados sigue utilizando hojas de cálculo para realizar el seguimiento de los certificados. Sin duda, esto cuesta a su equipo horas y horas cada semana.

• La falta de centralización oscurece la visibilidad
  KeyfactorEl informe 'State of Machine Identity Management 2022 muestra que la visibilidad en toda la empresa del estado de todos los certificados es la máxima prioridad para los equipos de PKI. La complejidad de conseguir esta visibilidad hace que sea un trabajo en sí mismo. Sin un eje centralizado para gestionar PKI, los equipos no pueden sentar las bases para la automatización ni actuar de forma proactiva para evitar interrupciones de certificados.

Para sopesar la viabilidad de automatizar su PKI, hay que tener en cuenta algunos factores.

Consulte con los equipos y líderes que tocan el proceso PKI para entender cómo se gestionan los certificados y cuánto tiempo se tarda en aprovisionarlos, instalarlos y renovarlos. 

Este equipo puede ayudarle a planificar la infraestructura de autoridad de certificación (CA) de su organización, qué aplicaciones requieren certificados y los flujos de trabajo en torno a la gestión de certificados. Con el panorama general a mano, puede evaluar mejor el coste total de propiedad en torno a su estrategia PKI actual. Las siguientes preguntas le ayudarán a capturar el coste total de propiedad en torno a sus procesos de gestión de PKI.

• ¿Cuántas horas se dedican a la gestión de la ICP a la semana y al mes, y cuál es el importe en dólares correspondiente a esos costes laborales?
• ¿Cuánto gasta su organización en herramientas relacionadas con PKI y en licencias? 
• ¿Con qué frecuencia sufre su organización interrupciones relacionadas con los certificados? 
• ¿Cuánto se tarda en responder a una avería relacionada con un certificado?
• ¿Cuánto pierde en tiempo de inactividad, interrupción de procesos, pérdida de oportunidades y daños a su reputación debido a estas interrupciones?

La carga de una gestión e infraestructura PKI ineficaces no es estática. Crecerá con el tiempo a medida que aumente el uso de certificados, se intensifiquen las normativas de cumplimiento y se agraven los riesgos de infracción. No hacer nada tiene un costeun coste que debe tener en cuenta al evaluar una inversión en PKI.

Tenga en cuenta que las organizaciones que confían la PKI a los equipos generales de TI y seguridad lo hacen a expensas de sus tareas principales. Cuando estos equipos se ven obligados a elegir entre esas tareas primarias y la gestión de PKI, PKI casi siempre queda en segundo lugar. Esto es natural, pero conlleva una cantidad de dinero que no hará más que aumentar a medida que las organizaciones se esfuercen por hacer más con menos personal en todos los departamentos.

• ¿Cuáles son los riesgos de su proceso PKI actual y cómo aumentarán con el tiempo (incluido el cumplimiento)?
• Si los miembros del equipo que se ocupan de PKI en su organización tuvieran más horas para dedicar a sus responsabilidades primarias no relacionadas con PKI, ¿cuánto valor aportaría a la empresa? ¿Cuánto de este valor se está perdiendo a medida que la PKI se vuelve más difícil de manejar, ocupando más tiempo de estos miembros del equipo?
• ¿Las tareas de ICP restan eficacia a los miembros del equipo en sus funciones principales? Por ejemplo, ¿se tarda más en resolver los problemas o hay que pagar horas extra a los miembros del equipo para que realicen todo su trabajo? ¿En qué momento la carga de trabajo exigirá una nueva contratación y cuánto costará?
• A medida que el uso de PKI se adapte a su proceso actual, también lo harán sus problemas. ¿A qué ritmo se harán más frecuentes y graves? ¿Cuál es el punto de ruptura para su organización? ¿Cuánto costará ese punto de ruptura y cuánto costará recuperarlo?

Aunque la automatización requiere una inversión sustancial en tecnología, es una gran ventaja para las organizaciones que pueden recuperar la eficiencia perdida, lo que tiene un beneficio financiero directo en un mercado laboral restringido.

La gestión de PKI puede y debe permitir la automatización, la visibilidad, la escalabilidad y un enfoque preventivo y proactivo. Una vez configurada, el mantenimiento y la gestión de la PKI se convierten en una carga menor.

• Si su actual equipo de PKI pudiera automatizar, escalar y ser proactivo en la gestión de PKI, ¿cuánto ancho de banda les devolvería que podrían dedicar a otras tareas de seguridad y TI? ¿Y si pudiera quitarles PKI de encima por completo?
• ¿Cuáles son las eficiencias a nivel de infraestructura que se crearán con la modernización de PKI y cómo se traducen esas eficiencias en una reducción de costes o un aumento de los ingresos? 
• Entre menos interrupciones y más horas de mano de obra empleadas eficazmente, ¿cuánto tardará su solución en amortizarse?

A los profesionales de la ciberseguridad y las TI les apasiona el trabajo duro que hacen. No se están quemando por exceso de trabajo, sino por trabajo innecesario. La forma que más se suele pasar por alto para cambiar la curva de eficiencia es encontrar y eliminar procesos manuales en favor de la automatización.

Y mientras el aumento de los salarios de los ciberprofesionales atraerá sin duda a más trabajadores al sector y acabará con la escasez de mano de obra, los expertos creen que se tarda entre dos y cinco años en ser competente en una profesión de ciberseguridad, lo que crea un largo plazo para desarrollar y contratar talentos.

Afortunadamente, el futuro no es del todo sombrío. Todavía tenemos que centrarnos en solucionar la escasez de mano de obra, pero también es imperativo que las organizaciones adopten tecnologías que puedan ayudar a sus equipos de ciberseguridad existentes a trabajar de forma más eficiente. Estas tecnologías pueden contribuir en gran medida a resolver los retos a los que nos enfrentamos hoy en día.

Keyfactor ayuda a las empresas (incluidas las que cuentan con equipos con pocos recursos) a proteger todas las claves y certificados digitales para empresas con múltiples nubes, DevOps y seguridad integrada IoT . Haga clic aquí para obtener más información sobre lo que ofrecemosincluyendo cómo nuestra Cloud PKI-as-a-Service ofrece a cada organización acceso a un equipo de élite de expertos en ciberseguridad.

Para obtener más información sobre cómo un enfoque modernizado de PKI puede ayudar a su equipo de ciberseguridad a ser más eficiente, descargue nuestro nuevo libro electrónico: Tres estrategias para ayudar a los líderes de seguridad a navegar por la escasez de mano de obra en ciberseguridad.