Estados ofrecen pocas ventajas frente a empresas a profesionales de la ciberseguridad

Austin Moody quería aplicar sus habilidades en seguridad cibernética en su estado natal de Michigan, haciendo equipo con investigadores de la Policía Estatal para analizar pruebas y rastrear criminales.

Pero el recién graduado dejó la idea a un lado después de enterarse de que una pasantía no remunerada era su única forma de ingresar a la agencia de Michigan.

“No conozco a muchas personas que puedan permitirse realizar una pasantía no remunerada, especialmente cuando hay una demanda tan alta en el sector privado”, dijo Moody sobre otros buscadores de empleo en ciberseguridad. "Las pasantías no remuneradas en cibernética no son realmente una cosa más allá del sector público".

Contratar y mantener al personal capaz de ayudar a defenderse de un flujo constante de ataques cibernéticos y amenazas en línea menos graves encabeza la lista de preocupaciones de los líderes tecnológicos estatales. Hay una gran escasez de esos profesionales y no hay suficiente poder financiero para competir con sus homólogos federales, marcas globales y firmas especializadas en ciberseguridad.

“A las personas que todavía están en la escuela se les dice: 'Hay una oportunidad realmente buena en ciberseguridad, oportunidades realmente buenas para un salario alto'”, dijo Drew Schmitt, analista principal de inteligencia de amenazas de la firma de ciberseguridad GuidePoint Security. "Y, en última instancia, estos gobiernos estatales y locales simplemente no pueden mantenerse al día desde una perspectiva salarial con muchas organizaciones privadas".

Los gobiernos estatales son objetivos habituales de los ciberdelincuentes, atraídos por los tesoros de datos personales dentro de las agencias y las redes informáticas que son esenciales para patrullar las carreteras, mantener los sistemas electorales y otros servicios estatales clave. Los éxitos notables desde 2019 incluyen el auditor del estado de Washington, el fiscal general de Illinois, el Departamento de Seguridad Pública de Georgia y los servidores informáticos que respaldan a gran parte de las agencias estatales de Louisiana.

Las ciudades también son atacadas y tienen incluso menos recursos que los estados para hacer frente a las ciberdefensas.

Con la ayuda de grupos de la industria, el gobierno federal y los estados individuales han creado programas de capacitación, concursos y becas con la esperanza de producir más profesionales de la ciberseguridad en todo el país. Sin embargo, esas estrategias podrían tardar años en dar sus frutos. Los estados han recurrido a contratistas externos, voluntarios civiles y unidades de la Guardia Nacional en busca de ayuda cuando sus sistemas son derribados por ransomware y otros ataques.

Los estados necesitaban cubrir cerca de 9,000 puestos de trabajo de ciberseguridad a partir de este verano, según CyberSeek, un proyecto conjunto de la Asociación de la Industria de Tecnología de Computación y el Instituto Nacional de Estándares y Tecnología. El total probablemente sea más alto porque el proyecto no cuenta las ofertas de trabajo que los estados publicaron solo en su propio portal de empleo.

Los líderes estatales se muestran reacios a detallar la cantidad de vacantes, y les preocupa que eso pueda atraer aún más a posibles atacantes. Los principales funcionarios de seguridad de los estados han clasificado la falta de personal de seguridad cibernética entre sus principales preocupaciones cada año desde que la Asociación Nacional de Directores de Información del Estado y Deloitte comenzaron a encuestar al grupo en 2014.

El problema no se limita a los gobiernos estatales.

Los funcionarios estadounidenses no ocultan sus propias luchas para contratar profesionales de la ciberseguridad o retenerlos. Solo el Departamento de Seguridad Nacional tiene 2,000 puestos vacantes en ciberseguridad, y la administración Biden promovió 300 nuevas contrataciones este verano.

El salario promedio de $ 95,412 de un empleado cibernético del gobierno local o estatal se retrasó en $ 25,000 o más en 2020 en comparación con el salario en el gobierno federal, la industria de servicios financieros y los servicios de TI, según una encuesta realizada por el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información. una asociación comercial.

Los analistas de seguridad de la información ganaron un salario promedio de $ 103,590 en mayo de 2020, según la Oficina de Estadísticas Laborales. Cyberseek pone los salarios iniciales cerca de $ 90,000 en todos los empleadores.

En 2014, los funcionarios de Seguridad Nacional reconocieron que un salario más bajo mantenía a su agencia en desventaja, pero tomó hasta este año publicar una regla que permitiera salarios más altos para los roles de seguridad cibernética, con un tope de $ 255,800, el salario máximo permitido para el vicepresidente.

“El Departamento necesita desesperadamente un proceso de contratación más flexible con incentivos para asegurar el talento en el mercado de habilidades cibernéticas altamente competitivo de hoy”, dice una parte de la regla que entrará en vigencia a finales de este otoño.

Los líderes en el campo a menudo se lamentan de los costosos y prolongados requisitos de certificación y las verificaciones de antecedentes en las que los empleadores insisten para los puestos de seguridad cibernética, diciendo que mantienen vacantes los puestos de trabajo y desalienta a las mujeres y las personas de color de trabajar en ciberseguridad.

Nicole Beebe, presidenta del departamento de seguridad de la información y ciberseguridad de la Universidad de Texas en San Antonio, dijo que las luchas de los estados son más fundamentales. Las empresas privadas y el gobierno federal reclutan estudiantes agresivamente durante la universidad, enviando representantes a clases y ferias profesionales.

Las agencias estatales rara vez están allí, dijo Beebe, quien asesora a los estudiantes que sopesan múltiples ofertas de trabajo mucho antes de graduarse.

“Cuando se trata de un campo hipercompetitivo, no se puede simplemente enviar una publicación de trabajo y pensar que obtendrá la misma tracción”, dijo Beebe.

Un salario más bajo en los trabajos del gobierno puede ser un desvío, pero muchos estudiantes prefieren un puesto que les permita dejar el trabajo en casa, lo que no siempre es el caso de las empresas privadas.

La función de un gobierno estatal o local no se compara con la “picadora de carne” de responder constantemente a nuevos ataques o vulnerabilidades en un equipo de ciberseguridad de Microsoft o Amazon, dijo Michael Hamilton, fundador del Proyecto PISCES. La organización conecta a los estudiantes de ciberseguridad con los gobiernos locales que no tienen empleados enfocados en ese trabajo.

“Las agencias estatales pueden aceptar pasantes, prepararlos y mostrarles que el gobierno estatal es un lugar prometedor para trabajar”, ??dijo. "Pero lo que veo que hacen es meterse en la pelea a puñetazos con todos los demás que quieren contratar a estas personas y perder".

Sienna Jackson, graduada en 2020 de la Universidad de Texas en San Antonio, aceptó un trabajo como ingeniera en la compañía de defensa Northrop Grumman después de entrevistarse con la compañía en una conferencia. Comenzó la universidad como estudiante de contabilidad, pero descubrió la seguridad cibernética a través de un compañero de clase.

Después de una pasantía con Dell durante la universidad, esperaba encontrar una empresa de tamaño similar con un sólido programa de capacitación y otros beneficios.

El salario y la ayuda con la mudanza o la vivienda también eran importantes para Jackson, quien tuvo varios trabajos mientras obtenía su título y tiene que pagar sus préstamos estudiantiles. No descartó trabajos en el gobierno estatal, pero no vio agencias en ferias profesionales en el campus o en conferencias.

“Una vez que me gradué y estuve entrevistando, me di cuenta de que tengo muchas opciones”, dijo. "Puedo elegir a dónde voy y mis estándares y no solo acepto cualquier trabajo que se me presente".

Moody, nativo de Michigan, obtuvo una beca del Departamento de Defensa que requería trabajar para la agencia al menos un año después de graduarse. Moody dijo que entiende que los gobiernos estatales no tienen la cantidad de dinero que las agencias federales o las empresas privadas gastan en reclutamiento y salarios generosos.

Pero enviar personal de ciberseguridad para hablar con los estudiantes sobre su trabajo y su importancia para miles de residentes del estado puede tener un gran impacto sin costar mucho, dijo.

“Mucha gente quiere estar en un rol de servicio público y está abierta a comenzar allí”, dijo Moody.