«Si es escaso, aumenta el precio», dijo el director de ingeniería de sistemas de McAfee , Sahba Idelkhani. Y el talento de DevSecOps es escaso y caro.
Las restricciones a los viajes internacionales están afectando la inmigración en algunos países, en particular Australia. Pero prácticamente no hay nada que los empleadores puedan hacer al respecto.Pero algunos aspectos de la supuesta escasez de habilidades son, en parte, autoimpuestos. Un ejemplo son los anuncios de contratación que especifican “se requiere más de 5 años de experiencia” (o algo similar) cuando ese nivel de experiencia es solo una característica deseable.
Tales prácticas no solo restringen el campo de candidatos para esa vacante en particular, sino que también dificultan la búsqueda de puestos de nivel de entrada. Si los candidatos no pueden poner un pie en la puerta, ¿cómo pueden obtener la experiencia que los empleadores dicen que quieren?
Se necesita un cambio de DevSecOps
Idelkhani sugiere que las organizaciones deben cambiar sus prácticas de contratación y esforzarse más en volver a capacitar a los empleados existentes. En particular, si está buscando gente de DevSecOps , sugiere que es mejor enseñar a los desarrolladores sobre seguridad que poner al día a los especialistas en seguridad (que también son escasos) sobre el desarrollo. El resultado es menos reelaboración, menor riesgo y plazos de desarrollo más cortos.
Sin embargo, existe el riesgo de que los especialistas en seguridad digan a los desarrolladores lo que hicieron mal. Educar proactivamente a los desarrolladores sobre seguridad es un enfoque más productivo.Cloud Academy es una de las muchas fuentes de cursos de capacitación en seguridad en línea e incluye laboratorios prácticos, que a veces involucran las mismas herramientas que los delincuentes usan para violar la seguridad. Otros consejos que ofreció Idelkhani incluyen la adopción de una mentalidad de “construcción segura” para reducir el esfuerzo de seguridad necesario después de que se hayan creado los sistemas.
Se puede aplicar una perspectiva similar a los puestos de nivel de entrada. Idelkhani ha contratado a nuevos graduados, aunque requiere un esfuerzo para guiarlos y capacitarlos hasta el punto de ser productivos.Incluso ha adoptado este enfoque con personas experimentadas que no tienen experiencia en seguridad, incluido un ex CTO y desarrolladores móviles y un ingeniero de preventa. Renovar las descripciones de los puestos para que más personas puedan postularse, insta Idelkhani, ya que la aptitud y la habilidad son más importantes que la experiencia específica, que se puede enseñar.
Por ejemplo, en lugar de que una gran organización de servicios financieros contrate a alguien con experiencia en respuesta a incidentes para sistemas en la nube, probablemente sería mejor contratar un respondedor de incidentes y luego patrocinar su capacitación en la nube, sugiere. Además, un programa de diversidad aumenta la oferta de candidatos, al margen de los demás beneficios que puede aportar.
Capacitación DevSecOps
Los empleadores a veces sugieren que la capacitación es una pérdida de tiempo y dinero porque la gente simplemente lleva sus nuevas habilidades a otra parte en busca de un salario más alto. Pero Idelkhani informa que la rotación de su personal, de hecho, ha disminuido en los últimos tres años, y nadie se ha ido después de recibir formación.
Él atribuye esto al establecimiento de una «conexión emocional» entre el empleado y el empleador, al menos en parte.Sin embargo, las organizaciones tienen que aceptar la necesidad de pagar a las personas lo que valen a medida que dominan nuevas habilidades. Pero las prácticas estándar de recursos humanos no se adaptan a las situaciones de desarrollo de habilidades, advierte.
Por lo general, las personas no se moverán de su función actual o empresa por un aumento salarial del 10% al 20%, dijo Idelkhani, pero estarían más dispuestas a hacerlo por el aumento del 200% al 300% que proviene de ser considerado un trabajador consumado. que un simple aprendiz.En McAfee, puede defender aumentos de «pago por valor» para su equipo; esa tarea es generalmente más difícil en organizaciones más grandes, dijo. «Es necesario repensar [las] prácticas de recursos humanos», agregó.
Planificación
Los aumentos sustanciales tienden a requerir la aprobación de los más altos en la jerarquía, y eso requiere una justificación clara para el aumento. Sugiere que esto debe hacerse en términos de las capacidades que se están construyendo, no solo en base a los números. Los gerentes deben considerar las habilidades que van a necesitar para cumplir con los planes y objetivos estratégicos de la empresa, y decidir cuál es la mejor manera de obtenerlas. Una vacante esperada de DevSecOps podría abordarse mejor contratando a un desarrollador de nube y capacitándolo en las habilidades de seguridad necesarias, o capacitando nuevamente a una persona con potencial que ya está en la nómina.
«Es un proceso a largo plazo», sin embargo, que requiere mucho esfuerzo de gestión, dijo Idelkhani. Usar este método significa identificar los intereses y habilidades de las personas, alinearlos con los objetivos de la empresa, identificar las brechas de habilidades y luego desarrollar las habilidades necesarias. Esto requiere un presupuesto de capacitación y obtener uno aprobado significa tener planes claros. Pero una vez que haya demostrado el valor de este enfoque, es menos probable que la alta dirección lo cuestione en el futuro.