Ha llegado el momento de demostrar que el recurso humano es el activo más importante para las organizaciones

Es interesante el panorama que se presenta en este momento para todo aquello que tiene que ver con ciberseguridad y el personal cualificado, y es que resulta que de repente el mercado local presenta una demanda la cual no puede ser satisfecha con los recursos locales, incluso utilizar el reclutamiento de profesionales extranjeros pudiera arrojar los mismos resultados.

Durante mucho tiempo hemos venido escuchando acerca del valor que para las organizaciones tiene el recurso humano, lo que muchas veces no pasa de ser un discurso políticamente correcto, pero ha llegado el momento de demostrar si verdaderamente creen eso que predican.

El escenario es el siguiente:

Se han conjugado de manera simultánea una serie de regulaciones y mejores prácticas internacionales, así como el despertar a la realidad de que la ciberseguridad es una función importante dentro para la subsistencia de cualquier organización y sociedad, tanto que ya muchos países tienen iniciativas reales con varios años de ventaja sobre nosotros en los temas de seguridad nacional, respuesta a incidentes, defensa e inclusive respuesta a ataques que pueden provenir de cualquier grupo de interés a nivel global o naciones estados que utilizan los sistemas de información como un instrumento de guerra y el ciberespacio como el campo de batalla.

Si miramos el impacto que el nuevo reglamento de Seguridad de Información y Seguridad Cibernética tiene para el segmento de intermediación financiera y la demanda de personal especializado que esta regulación representa, es muy posible que tan solo este segmento requiera de unos 100 profesionales en el área – eso solo considerando los tres actores principales del sistema – y muchos de los demás integrantes del sistema no estaban conscientes antes de la publicación del reglamento y pareciera que todavía no podrán aprovechar la proactividad que buscan causar. Pues el sueño no solo es profundo, sino también prolongado.

En el caso de gobierno y las diferentes estrategias que están llevando a lo interno se podría considerar la necesidad de unas cincuenta personas y todavía estar siendo conservadores al respecto, pues estoy considerando lo que conozco de tan solo cuatro o cinco agencias de seguridad nacional, sin contar las grandes recaudadoras que pudieran solo ellas requerir otros 25 sin ningún tipo de problemas.

Quizás el caso más emblemático es el de academia, que posiblemente no tengan presente que pertenecen a un segmento cuya población es hostil y que sus usuarios por el principal rango de edad de su población – están muy disponibles para crear daños reputacionales de manera descarnada contra las universidades.

La academia vive una disyuntiva, es que pretende producir los mejores profesionales pero es sumamente conservadora a la hora de contratar los mejores profesionales, pues muchas están enredadas en sus debates filosóficos internos, las escalas salariales divorciadas de la realidad del mercado, el que carecen de la estructura interna como para soportar las funciones de Seguridad de Información de una manera eficiente, y de todos los segmentos de la sociedad, es el único que depende 100% de la información, ya que no hay ningún intercambio de ningún bien que no sea el conocimiento.

Es posible que este segmento no pueda ser tomado en cuenta para estimar la necesidad de profesionales en el área, pues luce ser que la academia se conforma con formar personal valioso a lo interno para luego dejar que la empresa privada se los lleve a veces más por tozudez que por falta de capacidad económica, sin que la diferencia salarial sea muy grande.

Si tan solo el gobierno considerara la seriedad de las normativas de seguridad y el tratar de implementar la normativa Nortic A7 ya estaríamos hablando de que el gobierno pudiera estar demandando unos 500 profesionales especializados en Seguridad de Información y Ciberseguridad.

Viendo todo lo expuesto anteriormente vemos que la necesidad existe, aunque falte la conciencia para identificarla, lo cual nos deja con un déficit de alrededor de 1,000 profesionales que al momento no existen a nivel nacional

De cara a futuro ¿qué podemos esperar?

1.- Las organizaciones con los mejores esquemas de gobernanza, estructuras y presupuestos usarán todos los recursos a su alcance para reclutar los mejores talentos a nivel nacional.
2.- Las organizaciones más rezagadas corren el riesgo no solo de perder el talento que al momento tienen desarrollado, sino que se les aumenta la capacidad de captar nuevos recursos y si logran captarlos es para ser utilizadas como trampolín para moverse a otras instituciones de mayor relevancia.
3.- Ironías de la vida, aunque las competencias de Seguridad de Información y Ciberseguridad son tan demandadas en este momento, esto no necesariamente se refleja en salarios atractivos, y hasta conozco casos de personas que teniendo las competencias han preferido permanecer en otras áreas de Tecnologías de Información, Comunicaciones o Desarrollo y no entrar en este torbellino infinito que es la Ciberseguridad, especialmente si no hay un incremento sustancial en el ingreso. ¿Para que coger tanta lucha?
4.- El reclutar personal en el extranjero puede ser un poco ilusorio, pues a menos que se considere como fuente de talento alguna sociedad en desintegración, para el grueso no tiene sentido dejar su cultura para venir a probar suerte sin una ventaja significativa.

Si los traes con una gran diferencia entonces rompes la escala salarial existente y se crea un problema de clima interno, puede terminar provocando una migración masiva del talento existente.

5.- Uno de los aspectos más importantes para la Seguridad de Información es el contexto organizacional, por lo que trayendo profesionales de otras organizaciones – aún sean del mismo segmento – no siempre va a ser una solución ya que el tiempo a transcurrir en que los profesionales adquieren el conocimiento del negocio puede ser prolongado y no hay ninguna garantía de que lo adquieran o se sientan identificados con la organización.

6.- Un reto casi insalvable que viven las organizaciones a la hora del reclutamiento es la distancia real entre lo que la persona dice dominar y lo que realmente domina, siendo un porcentaje muy alto el de las experiencias no satisfactorias con los nuevos talentos reclutados, simplemente no estaban a la altura del cv.

¿Qué recomiendo a las organizaciones?

1.- Las competencias raras no pueden ser valoradas como aquellas de las cuales hay mucha abundancia, por lo que los que realmente dominan el tema deben ser valorados y pagados por encima del promedio del mercado para poder asegurar permanencia.
2.- La seguridad de Información y Ciberseguridad dependen de la actitud de las personas y no de los estudios formales realizados, de donde mucho del aprendizaje es auto estudio, investigación y desarrollo del entorno interno de una organización y sus infraestructuras tecnológicas, por eso que muchos profesionales dependen de la vocación y no de educación formal exclusivamente.
3.- Revisar que la compensación sea adecuada para reducir las posibilidades de que por una pequeña diferencia la persona se sienta motivada a buscar nuevas oportunidades, después que un empleado se puso en eso no hay nada que lo detenga. A veces las organizaciones provocan este éxodo.

Entiende esto, cada persona que sale de la organización dispone de los medios para hacer que otros le sigan a ese nuevo lugar de pastos verdes.

4.- Considerar las estructuras para que permitan el crecimiento vertical de las personas, no todo lo que se busca siempre es dinero.
5.- Invierte en la capacitación de los que están ya comprometidos contigo, a veces el traer un gran prospecto no identificado con la organización solo deja experiencias amargas de oportunidades que se dieron a una de afuera por encima de otro interno que la merecía y podía hacer una buena labor.
6.- Cada vez que dejamos ir un talento que se ha formado entre nosotros le estamos diciendo al resto del equipo cual es nuestra verdadera filosofía, y no es que siempre se podrá retener el talento, pero por lo regular se le deja ir por un tema de orgullo, aunque tengan que pagar más al que llegue y que el requerimiento de aprendizaje que conlleva.

Este análisis conservador solo ha considerado algunos de los segmentos más numerosos de nuestra sociedad, y si no sumamos las estadísticas globales que nos hablan del déficit de personal cualificado, podremos confirmar que estas consideraciones se han quedado muy por debajo de lo que es nuestra realidad como país.

El viejo esquema de considerar al recurso especializado como si fuera de línea de producción al estilo zona franca no es sostenible, como tampoco lo es el criterio del famoso costo efectivo, siempre buscando obtener lo más por lo menos, el personal bueno cuesta, es escaso y de seguro hay otras organizaciones que pueden tener paquetes de beneficios y expectativas de todo tipo superiores a las que puedes ofrecer.

El reto que tienen las organizaciones es como convencer a los prospectos de que esta organización es la mejor opción, y de acuerdo con el criterio predominante, muchas se quedarán corta en esta oferta y verán como los mejores prospectos siguieron de largo sin ni siquiera considerarte como opción de trabajo para el mediano plazo.

Para ver parte de nuestra oferta de formación de competencias favor visitar nuestros cursos, donde podrás ver alrededor de 30 capacitaciones oficiales que ofrecemos en los diferentes campos de la Seguridad de Información y Ciberseguridad.