La paradoja de la ciberseguridad: por qué lo gratuito cuesta demasiado

Bueno, bueno, bueno. Miren lo que el gato trajo del ciberespacio. La industria de la ciberseguridad está llevando a cabo un truco de magia que enorgullecería a Houdini: inflar simultáneamente las tarifas de los consultores e inundar el mercado con novatos con los ojos muy abiertos. Una paradoja envuelta en un enigma, servida con un toque de ironía. Uno pensaría que esto sería motivo de celebración, pero no se desesperen. Este pequeño acto de circo podría estar preparándonos para un espectacular derrumbe, que recuerde al fiasco de la subcontratación que mantiene despiertos por las noches a los veteranos de TI. Así que, levantemos el telón de este drama digital y veamos si podemos detectar el truco antes de que sea demasiado tarde. La comunidad de la ciberseguridad alguna vez se enorgulleció de un sentido de camaradería y un propósito compartido. Sin embargo, este espíritu se ha visto erosionado por una carrera hacia el abismo en términos de precios y valor percibido. Al ofrecer capacitación y servicios gratuitos o de costo extremadamente bajo, la industria envía inadvertidamente un mensaje de que estas habilidades y esfuerzos tienen poco valor intrínseco.

El auge de la cultura del influencer en la ciberseguridad

La devaluación de la experiencia en ciberseguridad se ve exacerbada aún más por el auge de la “ cultura de los influencers ” dentro de la industria. En los últimos años, ha habido un aumento de personas que se centran en construir su marca personal y convertirse en influencers en el ámbito de la ciberseguridad. Si bien algunas de estas voces brindan información valiosa, el campo se ha saturado de personas ansiosas por compartir sus pensamientos, independientemente de su experiencia o conocimientos reales.

Esta proliferación de autoproclamados expertos ha generado una cantidad abrumadora de ruido en el panorama de la información sobre ciberseguridad (consulte el artículo de Alyssa Miller sobre “Infosec Rockstars vs Influencers”) . Las plataformas de redes sociales y los foros en línea están inundados de consejos, sugerencias y “capacitación” de diversa calidad. Desafortunadamente, la cantidad a menudo eclipsa la calidad, lo que dificulta que los estudiantes distingan la información valiosa de la mera especulación o las explicaciones demasiado simplificadas.

La abundancia de contenido gratuito o de bajo costo crea una falsa percepción de que la educación en ciberseguridad de alta calidad debería ser de fácil acceso y económica. Como resultado, los proveedores de capacitación de renombre como SANS Institute , CISA (Cybersecurity and Infrastructure Security Agency) y Cybrary , que ofrecen cursos completos, revisados y actualizados, a menudo se perciben como prohibitivamente caros.

La realidad es que desarrollar y mantener una formación en ciberseguridad de alta calidad y actualizada requiere recursos y experiencia importantes. Sin embargo, muchos aspirantes a profesionales de la ciberseguridad, ante el hecho de que los cursos cuestan miles de dólares, optan por las alternativas más asequibles o gratuitas. Esta elección, aunque comprensible desde una perspectiva financiera, a menudo conduce a lagunas en los conocimientos y las habilidades que pueden tener graves consecuencias en situaciones reales de ciberseguridad.

Esta tendencia crea un círculo vicioso. A medida que más personas recurren a recursos gratuitos o baratos, hay menos apoyo financiero para programas de capacitación de alta calidad. Esto podría conducir a una disminución de la calidad general de la educación en ciberseguridad, justo cuando la necesidad de profesionales capacitados es máxima.

Además, el enfoque en la marca personal y el estatus de influenciador puede desviar la atención de la misión principal de la ciberseguridad: proteger los sistemas, los datos y las personas. Cuando el objetivo es acumular seguidores en lugar de desarrollar conocimientos profundos, la industria en su conjunto sufre.

El boom de la subcontratación: una lección tecnológica de la historia ignorada

La situación recuerda inquietantemente una famosa cita de la serie Battlestar Galactica reimaginada: “ Todo esto ya ha sucedido antes. Todo esto volverá a suceder”. De hecho, hemos visto patrones similares en otros sectores tecnológicos, sobre todo en el auge de la subcontratación de principios de la década de 2000.

Durante ese período, muchas empresas estadounidenses se apresuraron a externalizar el desarrollo de software a países como India, atraídas por los costos laborales significativamente más bajos. Si bien esta estrategia parecía económicamente sólida a corto plazo, tuvo consecuencias de largo alcance para la industria tecnológica estadounidense; lea este artículo de investigación “ Impacto de la subcontratación de servicios de TI en el extranjero en la economía estadounidense ” de Kalyan Chakraborty y William Remington para obtener más detalles:

Deslocalización de empleos: una cantidad considerable de empleos del sector de servicios de Estados Unidos, en particular en el área de TI, se trasladaron al extranjero. En 2015, se estimó que 3,4 millones de empleos en ese sector se deslocalizarían. Este cambio fue impulsado por los ahorros de costos asociados con la subcontratación, que permitieron a las empresas reducir los precios del software y los servicios, aumentar la productividad e invertir en nuevas tecnologías e ideas comerciales.

Al deslocalizar los puestos de nivel inicial, las empresas estadounidenses crearon sin darse cuenta un vacío en su reserva de talentos nacionales. A los recién graduados les resultaba cada vez más difícil adquirir la experiencia necesaria para progresar en sus carreras. Quince años después, Estados Unidos se enfrenta ahora a una escasez de desarrolladores sénior y gerentes técnicos experimentados, profesionales que hace una década y media se habrían formado en esos puestos de nivel inicial.

Irónicamente, la tendencia a la externalización se está volviendo en contra de los primeros en adoptar esta tecnología, como la India. A medida que las empresas buscan fuentes de trabajo cada vez más baratas o recurren a la automatización, los trabajadores tecnológicos indios se encuentran ante los mismos desafíos que sus homólogos estadounidenses hace años.

Los paralelismos con el estado actual de la ciberseguridad son claros y preocupantes. Al subestimar el factor humano en materia de ciberseguridad (ya sea mediante capacitación gratuita, precios de servicio muy bajos o una dependencia excesiva de la inteligencia artificial), corremos el riesgo de crear una brecha de talento similar en este campo crítico.

La industria de la ciberseguridad debe aprender de estas lecciones históricas. Si bien la innovación y la rentabilidad son importantes, no deben darse a expensas del desarrollo del talento y la experiencia humanos. La naturaleza compleja y en constante evolución de las amenazas cibernéticas requiere una fuerza laboral que no solo esté capacitada, sino que también se desarrolle y se adapte continuamente.

A medida que avanzamos, es fundamental lograr un equilibrio entre el aprovechamiento de las nuevas tecnologías y la valoración de la experiencia humana. Solo reconociendo y compensando adecuadamente las habilidades y los esfuerzos de los profesionales de la ciberseguridad podemos garantizar una defensa sólida y eficaz contra las futuras amenazas digitales.

La naturaleza cíclica de estas tendencias de la industria sirve como recordatorio de que las ganancias a corto plazo a menudo conducen a desafíos a largo plazo. Mientras navegamos por el futuro de la ciberseguridad, esforcémonos por romper este ciclo y construir un modelo sostenible que valore tanto la innovación como la experiencia humana.

Resumen

La industria de la ciberseguridad se enfrenta a un desafío crítico: la devaluación de la experiencia y los servicios, impulsada por una capacitación gratuita pero a menudo de mala calidad y un panorama de información sobresaturado. Esta tendencia, que recuerda errores de subcontratación del pasado, amenaza con socavar la eficacia del campo frente a las amenazas digitales en evolución. Para salvaguardar el futuro de la ciberseguridad, las partes interesadas deben:

 Recognize the true value of expert knowledge and quality training

 Critically evaluate information sources and invest in reputable education

 Prioritize building a skilled workforce over personal brand promotion

Al abordar estas cuestiones clave, la industria puede mantener su integridad, mejorar su grupo de talentos y aumentar su capacidad para proteger nuestra infraestructura digital en un panorama de amenazas cada vez más complejo.

Créditos

Me gustaría reconocer el debate que mantenemos los fundadores de ThreatGEN y yo sobre cómo la formación gratuita y los servicios de bajo coste están destruyendo la ciberseguridad. Clint Bodungen , Aaron Shbeeb y Matthew Anderson lo han sentido en primera persona. Jeff Whitney y Gary Leibowitz, como miembros de la junta directiva, están ayudando a combatir esta “ mentalidad gratuita ” imperante.

También me gustaría agradecer a mi mejor amigo Patrick Anderson , que está experimentando esto desde otra perspectiva: el proceso de subcontratación de TI y su implementación. Patrick, yo y Eddie Tipton fuimos socios de Systems Evolution Incorporated en los primeros años, de 1999 a 2003, y formamos parte de la subcontratación onshore con empresas como EDS, Accenture y otras grandes firmas de consultoría. Más adelante en la evolución de Systems Evolution (en ese momento, una empresa que cotizaba en bolsa), adquirimos Duration Software, que era el mayor desarrollador de software personalizado del estado de Texas. Chris Montgomery , Rich Steinle , Frank Prevatt y Scott Friesen , entre otros, comprenden las últimas etapas de la subcontratación, ya que estábamos compitiendo con la ola offshore.

Por último, debo revelar que utilicé Claude de Anthropic para pulir mis pensamientos, así como el motor de búsqueda de Perplexity para encontrar referencias que respalden mis pensamientos.

Aquí hay un enlace al artículo original en LinkedIn.