La brecha de habilidades de seguridad se ha convertido en un tema de gran interés para los profesionales responsables de crear equipos de seguridad para las organizaciones y mantenerlos funcionando sin problemas. Afecta todo, desde cómo contratan personal, cómo capacitan y desarrollan su fuerza laboral, hasta los controles operativos que implementan y posiblemente muchas otras cosas relacionadas con su programa de seguridad.
En pocas palabras, el término «brecha de habilidades» se refiere a los desafíos específicos que las organizaciones han enfrentado en los últimos años para encontrar y retener recursos de seguridad capaces y bien capacitados. Esta es una tendencia mensurable en toda la industria.
Por ejemplo, el Informe de ofertas de empleo de seguridad de 2018 publicado recientemente muestra que la mayoría de las organizaciones (54%) tardan más de tres meses en cubrir los puestos de seguridad vacantes. Encuesta sobre el estado global de la ciberseguridad de ISACA establecido. Esta cifra es consistente con los resultados de la encuesta del año anterior.
En términos de las habilidades más demandadas, las habilidades técnicas son las más difíciles de encontrar y los niveles de trabajo buscados son de naturaleza individual más que gerencial. ISACA como lo muestran los datos.
Si bien estos puntos de datos son interesantes por derecho propio (como un barómetro general de las consideraciones generales sobre la dotación de personal de seguridad), también son importantes en formas que pueden no ser intuitivas. Al menos, así es para los practicantes expertos. Dicho esto, el informe sirve como herramienta para que los gerentes de seguridad midan el desempeño de su personal.
El hecho de que existan brechas de habilidades y sean medidas por muchas partes fuera de la organización significa que las mediciones de sus propios equipos se pueden comparar directamente con puntos de referencia objetivos e independientes de la organización. ¿Con qué frecuencia surgen oportunidades para hacerlo?
Digamos que estás planeando la fiesta de cumpleaños de tu hija y estás pensando en servir helado. Si a tu hija no le gusta la vainilla, si te dijera que la vainilla es el sabor de helado más popular del mundo, ¿en qué medida afectaría eso tu decisión de qué sabor comprar? ¿O es el sabor más popular en Estados Unidos? Ambas afirmaciones son ciertas, pero ¿importa? Para nada, ¿verdad?
estas siguiendo
La cuestión es que ambos tipos de información son útiles. Comprender las tendencias más amplias es importante porque comprenderlas puede ayudarle a planificar de manera más eficaz. Por ejemplo, si sabe que puede resultar complicado equipar determinadas habilidades, como las técnicas, podría invertir en estrategias para mantener el talento existente y minimizar el desgaste.
Además, este conocimiento puede impulsarlo a invertir en estrategias que puedan desarrollar creativamente nuevos miembros del equipo de maneras no convencionales, como a través de pasantías, «pasantías» u otras vías, o en estrategias que automaticen ciertos procesos.
Puede haber múltiples opciones viables, pero elegir la que sea mejor para usted depende de tener primero alguna idea de lo que está pasando.
Sin embargo, es más valioso comprender tendencias más amplias en el contexto del desempeño específico de un equipo. ¿Por qué? Porque le permite evaluar qué tan bien están funcionando las estrategias en las que invierte. Por ejemplo, si decide ofrecer helado (de vainilla o no) todos los viernes para que el lugar de trabajo sea más divertido, ¿es esa una estrategia de retención útil? Si no se miden los resultados, ¿quién lo sabrá?
Comparar sus propios esfuerzos de personal con los de sus pares, si bien es valioso, requiere algo de trabajo preliminar. En primer lugar, esto significa que usted realiza un seguimiento de las métricas de desempeño («temet nosce» – conózcase a usted mismo) relacionadas con consideraciones de personal.
Esto también significa que usted está vigilando de cerca las fuentes de datos disponibles externamente; tiene cierto nivel de conocimiento de la situación de los problemas de personal.
Ninguna de estas cosas es ciencia espacial, pero le sorprendería saber con qué frecuencia los gerentes de seguridad (incluso los CISO y CIO) no realizan un seguimiento de la rotación de personal, la cantidad de empleados vacantes, el tiempo para cubrir puestos, los objetivos/necesidades de capacitación de los empleados, etc.
No es que no quieran hacerlo, es sólo que hacerlo es menos una prioridad operativa y más una consideración táctica, como lidiar con las amenazas actuales o desplegar herramientas operativas.
¿Recuerda la santísima trinidad de personas, procesos y tecnología? Cada uno es un pilar importante del desempeño organizacional. La fortaleza en cualquiera de estas áreas se traduce en una ventaja general sobre sus pares. Las empresas que no pueden encontrar empleados, tienen personal deficiente o tienen estrategias de dotación de personal ineficaces o operativamente defectuosas están en desventaja, mientras que aquellas que sobresalen en estas áreas tienen una ventaja.
sigue adelante
Como medida práctica, ¿qué pueden hacer las organizaciones para asegurarse de desarrollar sus equipos de manera competitiva? Hay algunas cosas que podrían ayudar:
- Es una buena idea realizar un seguimiento de algunas métricas sobre la dotación de personal, incluida la capacidad de su organización para incorporar nuevos empleados y retener al personal existente. Los pocos indicadores que enumeré anteriormente son un punto de partida útil, pero de ninguna manera son las únicas opciones posibles.
Es posible que desee realizar un seguimiento de herramientas más sencillas, como las percepciones de los empleados sobre las oportunidades de avance, el disfrute en el lugar de trabajo y la satisfacción laboral general. Estas cosas pueden asociarse con valores más estrictos, como tasas de rotación en dominios específicos u otras métricas más orientadas a los resultados. La elección depende de usted, por supuesto, pero el hecho de que esté rastreando algo le brindará datos que podrá perfeccionar y explorar con el tiempo.
- La información sobre tendencias puede ser valiosa. De hecho, esto es muy importante en términos de la capacidad de vincular las medidas implementadas con objetivos y resultados específicos, por lo que generalmente es mejor ser menos específico sobre qué medir, pero hacerlo con más frecuencia.
Por ejemplo, si estás probando un nuevo régimen de entrenamiento, puede que te resulte más útil evaluar el valor percibido de tu entrenamiento con más frecuencia (esto te permite obtener más comentarios en tiempo real y, si no los recibes, , podría hacer ajustes) a lo que ellos quieran) versus exploraciones más profundas menos frecuentes (quizás anuales) de las percepciones de los empleados.
- Es útil solicitar socios. Por ejemplo, las organizaciones de recursos humanos a menudo realizan encuestas de satisfacción de los empleados o encuestas de compromiso, o utilizan otras herramientas de medición (o una combinación de ellas) para medir las percepciones de los empleados sobre la organización en su conjunto.
Aprovechar estos datos ya existentes puede proporcionar puntos de datos útiles que ayuden a los líderes de seguridad a crear los mejores equipos posibles y, quizás lo más importante, a retener recursos que han demostrado ser irremplazables.