Imagínese como responsable de ciberseguridad sentado en una sala de conferencias con otros responsables de ciberseguridad de su sector. Ahora imagine que mira a la persona sentada a su izquierda. Lo más probable es que dicha persona no ocupe su puesto actual en 2025. Esto se debe a que, según Gartner, casi la mitad de los responsables de ciberseguridad cambiarán de trabajo para entonces. De hecho, 1 de cada 4 cambiará totalmente de puesto de trabajo.

A primera vista, puede resultar difícil imaginar por qué los profesionales que ocupan estos puestos están tan dispuestos a marcharse. Según un informe de Glassdoor de marzo de 2023, el salario medio de un puesto de responsable de ciberseguridad supera los 93.000 dólares. Es más, en un momento en el que muchas empresas están llevando a cabo despidos a gran escala, especialmente entre los trabajadores del sector de la alta tecnología, los profesionales de la ciberseguridad no se están viendo afectados por estas abruptas iniciativas de recorte de personal, por lo que la seguridad laboral no es un problema. Entonces, ¿qué lleva a estos trabajadores a renunciar? El director de análisis de Gartner lo resume en una frase: “Los profesionales de la ciberseguridad se enfrentan a niveles insostenibles de estrés”.

El estrés es inimaginable

Cuando una empresa se ve comprometida por un ciberataque, la actividad se detiene. Ya sea porque sus sistemas están cifrados y no funcionan debido a un ataque de ransomware o porque sus bases de datos y aplicaciones empresariales se han desconectado para contener una brecha de datos… el resultado es el mismo. El tiempo de inactividad sale muy caro. Una vez que se produce un incidente, el personal de seguridad informática se ve inmediatamente obligado a iniciar una verdadera maratón de trabajo que le obligará a trabajar días enteros sin tiempo libre.  Los altos ejecutivos y los responsables de las unidades de negocio insistirán en saber cuándo estarán operativos sus sistemas. Los responsables de seguridad tendrán que tratar con terceros, incluyendo medios de comunicación, abogados y expertos forenses. No será divertido.

Los efectos negativos de un ataque sobre un equipo de ciberseguridad son casi inmediatos. Casi un tercio de los equipos informáticos declaran un aumento de las ausencias debido al agotamiento en los meses posteriores a un ataque. No sólo el 54% experimenta un impacto negativo en su salud mental, sino que además el 56% afirma que sus responsabilidades son cada año más estresantes.

La falta de personal de seguridad es un problema real

Aunque a menudo hablamos de  déficit enla seguridad de la superficie de ataque en los sistemas informáticos de una empresa, el déficit de talento en ciberseguridad es igualmente  grave. Aunque su empresa disponga de los mejores controles de seguridad, esas herramientas servirán de poco sin el personal adecuado para gestionarlas y hacer uso de sus datos. Los paneles de control de la seguridad ofrecen un amplio abanico de información sobre posibles vulnerabilidades, patrones de tráfico sospechosos o incidentes de acceso no autorizado, pero requieren un elemento importante para ser eficaces. Requieren que haya un humano frente a ellos, para que interprete lo que significan todos esos avisos y se asegure de que nadie pierde el sueño por alarmas reales o falsas.

Las frustraciones del sector de la ciberseguridad

Imagínese la frustración de un médico o de un profesional de la salud que debe tratar con pacientes que practican continuamente hábitos de vida poco saludables, rechazan sus consejos o no toman los medicamentos que les han sido recetados (los CDC informan de que hasta el 30% de las recetas para problemas de salud crónicos no se dispensan nunca). Los responsables de ciberseguridad experimentan ese mismo nivel de exasperación. A pesar de los continuos intentos de educar a los usuarios sobre los peligros de hacer clic en enlaces incrustados o archivos adjuntos, los usuarios siguen haciéndolo sin cesar.

Un estudio reciente de Gartner reveló que el 69% de los empleados se había ignorado las directrices de ciberseguridad de su organización en los últimos 12 meses. Y lo que es más alarmante, el 74 % de los empleados afirmaron que estarían dispuestos a ignorar las directrices de ciberseguridad si ello les ayudara a alcanzar un objetivo empresarial clave.

Las apuestas favorecen a los malos

El trabajo del defensor es mucho más estresante que el del atacante. Mientras que un equipo de ciberseguridad es responsable de proteger todos los puntos finales y aplicaciones de una organización, un hacker sólo necesita encontrar un único punto vulnerable para lograr su objetivo de ataque. Puede parchear eficazmente el 99% de sus sistemas, pero la presencia de un solo sistema operativo o aplicación sin parchear puede socavar todos sus esfuerzos. Sin embargo, por muy importante que sea la gestión de parches, a menudo hay que retrasar la aplicación de los mismos para dar cabida a otras prioridades empresariales.

El estrés del incumplimiento

La mayoría de la gente se pone nerviosa cuando sus acciones son objeto de escrutinio y de observación. En eso consiste el cumplimiento de la normativa. Los gobiernos y los supervisores de la industria han aprendido lo grave que puede ser el problema de las brechas de datos y los ataques de ciberseguridad, y han ido introduciendo nuevos conjuntos normativos como respuesta. Desde el RGPD hasta la CCPA y desde la HIPAA hasta la PCI DSS, los responsables de la ciberseguridad deben aprender a adaptarse a un panorama normativo en constante cambio. Aunque un incidente de incumplimiento puede no resultar tan perjudicial como las secuelas de un ciberataque exitoso, las empresas pueden enfrentarse a fuertes sanciones por incumplimiento y quedar expuestas a litigios por daños y perjuicios en lugar de un ataque.

Cómo reducir el riesgo de abandono

Aunque las organizaciones deben prestar atención a las necesidades de todos los empleados, las empresas deben reconocer el estrés que sufren los responsables de ciberseguridad. De lo contrario, el agotamiento y el desgaste seguirán imperando en este sector tan crítico. Aunque la mayoría de los trabajadores son siempre receptivos a ganar más dinero, la compensación por sí sola no es la respuesta. Ofrecer un equilibrio sostenible entre el trabajo y la vida personal en forma de horarios flexibles, o generosas vacaciones, puede proporcionar a los trabajadores del sector de la ciberseguridad un tiempo de ocio adecuado. Los programas de formación incentivados y las oportunidades de desarrollo pueden ayudar a retener a los talentos de la ciberseguridad y dotarles de nuevos conjuntos de habilidades y bases de conocimientos avanzadas.

Recurrir a un SOC para suplir las carencias

Aunque estas estrategias pueden mejorar las tasas de abandono y retención, las carencias en materia de conocimientos de ciberseguridad pueden persistir. Por ello, muchas PYMES están encontrando maneras adicionales de evitar que dichas carencias las dejen expuestas. Una de ellas es contratar los servicios de un centro de operaciones de seguridad (SOC). Un SOC proporciona un equipo dedicado de expertos externos en ciberseguridad para cubrir cualquier carencia de personal, habilidades o conocimientos que pueda dejarle expuesto a un ataque. Un equipo SOC también puede salvar la situación en caso de incidente. Para enfatizar aún más la necesidad de un SOC, éste proporciona a las PYMES una forma de aprovechar las herramientas automatizadas basadas en IA que no dependen de la intervención humana manual. En muchos aspectos, sólo la inteligencia automatizada puede ir por delante del panorama de amenazas en constante evolución al que deben enfrentarse las empresas de hoy en día.

Sí, el estrés que sufren los profesionales de la ciberseguridad es real. Y también lo son las amenazas que se ciernen sobre su empresa. Por eso es hora de afrontar estas realidades y saber cómo un SOC como CYREBRO puede ayudarle a paliarlas.