España requiere 29.000 trabajadores de ciberseguridad (pero no hay cantera)

Las empresas señalan a las administraciones y centros formativos mientras estos últimos abundan en la necesidad de que se fomente la colaboración privada

José Pino, hacker colombiano experto en ciberseguridad, revisa algunos códigos en su computador portátil. EFE

José Pino, hacker colombiano experto en ciberseguridad, revisa algunos códigos en su computador portátil. EFE

En la industria de la ciberseguridad hay un problema conocido como brecha de talento.

Esta brecha no es otra cosa que el sector demanda más profesionales, pero estos todavía no existen. Muchas veces se señala a los centros formativos y a las universidades. Otras, a las empresas. Pero el problema hunde sus raíces en algo mucho más profundo.

España, por ejemplo, necesita contratar inmediatamente 29.000 trabajadores más para el sector de la ciberseguridad. Al menos eso es lo que apunta el último informe anual sobre la fuerza laboral en el sector que realiza el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información (ISC)², una organización no gubernamental con sede en EEUU.

Pero es que esos trabajadores no existen.

En el documento se calcula que en España hay unos 122.000 profesionales vinculados con el sector de la seguridad informática pero que la brecha ascendería a más de 29.000 trabajadores más. Por lo tanto, supone una brecha del 24%. En EEUU la brecha es aun mayor. Alcanza el 41%: cuenta ya con 880.000 trabajadores en el sector, pero demanda 360.000 más.

El problema de esa brecha en Estados Unidos es tal que las firmas de ciberseguridad norteamericanas se ven obligadas a captar el talento extranjero y a elevar sus salarios. En Europa hay países como Francia o Alemania que tienen brechas similares a la española. El país galo tiene menos de 120.000 profesionales en este sector, y demanda otros 27.000. El germano tiene por su parte 175.000 trabajadores, pero requiere de otros 61.000.

Aun así, el informe del (ISC)² destaca que esta brecha se redujo en 2020 con respecto a 2019 porque la pandemia precisamente redujo la actividad comercial de muchas firmas, a causa de los confinamientos. Contrasta precisamente con lo que se sobreentendía desde entonces y con lo que vienen advirtiendo expertos desde entonces: el teletrabajo ha aumentado la superficie vulnerable a ciberataques de las empresas.

Precisamente esta brecha de talento es uno de los puntos centrales que se abordarán este jueves en el XIV Smart Business Meeting que organiza Business Insider España, que versará sobre ciberseguridad con importantes expertos del sector y al que te puedes registrar y seguir en directo a través de este enlace.

Por qué existe esta brecha de talento

“El problema es enorme en EEUU. En Europa es grande. En cuanto a España, el problema va a ir a más”. Hervé Lambert es el responsable de Operaciones Globales de Consumidores en Panda Security, una de las firmas de ciberseguridad de origen español más conocidas. Y es bastante contundente en sus declaraciones. “Es un problema que va a ir a más por diferentes motivos”, avanza.

“Las tecnologías han explotado. Ahora se innova muy rápido. E innovar es algo que hacemos los buenos y que también hacen los malos”, detalla. “A los malos”, insiste, “las leyes les dan igual. A nosotros no”. De este modo, Lambert recuerda que la ciberseguridad no es únicamente un sector de ingenieros, informáticos o matemáticos. Se necesitan más abogados.

“Los ciberdelincuentes tienen mucho dinero fresco y mucho pulmón para invertir en infraestructura y talento. La tecnología no evoluciona; da saltos brutales. Las empresas tecnológicas, el sector educativo, todo el mundo tenemos que poner nuestro granito de arena para estar al día”, continúa.

Una persona realiza una compra por internet con su tarjeta de crédito. EFE

Para José Rosell, socio director de S2 Grupo, otra firma española de ciberseguridad, la brecha de talento no es un problema. “Es un drama”. “No es algo que se trate lo suficiente en las universidades españolas, no existe la suficiente formación reglada, y las necesidades en ciberseguridad no paran de crecer”.

Lambert, sobre el informe de (ISC)² que dice que la brecha se ha reducido, tiene dudas. “No sé si es cierto”. Una posible explicación es que en el sector de la ciberseguridad hay mucho autodidacta. O quizá se trate simplemente de que muchas empresas siguen en shock tras la pandemia y la brecha se agravará una vez se supere la situación de emergencia sanitaria.

Una brecha que arranca antes de la universidad

Javier Jarauta es el director del Máster de Ciberseguridades de ICAI Comillas Universidad Pontificia. “Nos hace falta que lleguen más alumnos. Potenciar las carreras tecnológicas en el bachillerato”. Desde su experiencia, explica que cuando uno de sus alumnos se convierte en egresado del máster, las empresas se los rifan. Suelen tener unas tres ofertas de trabajo nada más salir al mercado laboral.

Pero incide en la importancia capital que tiene en este sentido la colaboración privada en el ámbito educativo. “Nuestro máster tiene como partner a compañías como Bankia, Iberdrola, Iberia o SIA, la división de ciberseguridad de Indra”, destaca. “Los profesores del máster suelen ser CISO, responsables de Seguridad informática en compañías. Es clave”.

Rosell, de S2 Grupo, advierte lo lejos que ha llegado el problema de la demanda de talento en la industria ejemplificando en su propia compañía, que lanzó su propio taller de formación. Recibe el nombre de Enigma, lleva siete ediciones y forma a universitarios recién licenciados durante un año. La experiencia les está resultando extraordinaria y gratificante, aunque el directivo confiesa a Business Insider España que todo gracias a un enorme esfuerzo de tiempo y dinero.

“Y ni siquiera es mi actividad”, lamenta.

En términos similares se expresa Marta Beltrán, coordinadora del Grado en Ingeniería de la Ciberseguridad y directora del Máster en Ciberseguridad y Privacidad que se imparten en la Universidad Rey Juan Carlos. “Países anglosajones como EEUU, Canadá, Reino Unido, Nueva Zelanda o Australia, a los que también habría que añadir Israel, ya están superando la brecha de talento”.

Lo han hecho potenciando las carreras tecnológicas y el interés en la ciberseguridad con varias iniciativas. “Unas con más éxito y otras con menos éxito”, matiza. Experiencias como concursos para convertir a niños en hackers, talleres, y diversas propuestas para llamar la atención de la gente.

Aunque Beltrán también destaca que esa brecha existe porque la ciberseguridad, como buena parte del sector tecnológico, es una industria con poco paro y con una gran movilidad. “La gente cambia con facilidad de trabajo y cuando ve que puede mejorar, da el salto”.

Un balón de oxígeno sería reciclar a profesionales

Para comprender las dimensiones de hasta dónde hunde sus raíces este problema, Marta Beltrán destaca cómo desde la URJC están tratando de convencer a más universidades a que implanten sus grados universitarios de ciberseguridad. Jarauta, de Comillas, o Rosell, de S2 Grupo, comparten que es imprescindible que la ciberseguridad sea una materia troncal en varios planes de estudio.

Beltrán, por ejemplo, pone de ejemplo un reciente Boletín Oficial del Estado que anunciaba cursos para profesores de FP, para que estos a su vez puedan impartir cursos de especialización en ciberseguridad. Van a crearse nuevos ciclos de Formación Profesional para responder a esta demanda de la industria, pero no hay profesores formados para impartirlos.

“Lo que es antinatural es que nosotros nos tengamos que convertir en universidades“, insiste Rosell. “Esto es una cuestión de seguridad nacional, el Estado debe hacerse cargo y crear más formación reglada”. Aunque tiene esperanza en los fondos de recuperación con los que Europa espera regar las economías de los 27 en los próximos meses: la formación en ciberseguridad jugarán un papel importante.

Varias personas participan en un congreso de hackers en Alemania. EFE

Jarauta, de Comillas, pone otra idea sobre la mesa. “Hay muchos profesionales tecnológicos en otras líneas y sectores con experiencias de 3, 4, 5 o 10 años”. “Reciclar sus perfiles podría ser un balón de oxígeno”.

Es precisamente lo que plantean desde IronHack, una firma educativa. Manon Pellat es la responsable del Bootcamp de Ciberseguridad de la compañía y explica a Business Insider España que desde la organización están tratando de “educar al mercado”.

“Hay que explicarle a la gente qué es la ciberseguridad. Estamos recibiendo menos solicitudes para el Bootcamp de Ciberseguridad porque mucha gente piensa que es muy de nicho o hay que tener formación previa en matemáticas o informática. Cualquier persona puede formarse en ciberseguridad. Hay mucho autodidacta. No siempre se requiere experiencia o conocimientos previos“, destaca Pellat.

Qué perfiles caben en la ciberseguridad

En multitud de ocasiones se asume que la ciberseguridad solo acepta perfiles profesionales netamente tecnológicos. El desarrollo de la conversación sobre la ética en algoritmos que impulsa Gemma Galdon es una demostración de que las humanidades también tienen sitio en la economía digital. El campo de los estudios sociales debe responder a todos los dilemas que provocan disrupciones como el de la IA.

Pero además, Marta Beltrán, Hervé Lambert o Javier Jarauta detallan la cantidad de perfiles profesionales que genera la industria de la ciberseguridad, y que prácticamente exige: toda una arquitectura de profesionales para responder a todos los desafíos que origina la ciberdelincuencia y la seguridad.

Beltrán expone numerosos ejemplos. Divide a los profesionales más técnicos en tres categorías principales. Los perfiles más defensivos, los perfiles más ofensivos y los encargados de responder a incidentes.

Los primeros serían aquellos que forman parte de los blue team de las empresas. “Analistas de seguridad, arquitectos de seguridad”. Profesionales que puedan crear seguridad desde el diseño y comprobar luego que esos diseños son seguros “a todos los niveles: red, software o hardware”.

En el ámbito ofensivo, la profesora de la URJC destaca aquellos que hacen hacking ético, los conocidos hackers de sombrero blanco. Los que son capaces de hacer tests de penetración (pentesting), los que en definitiva forman parte de un red team. O incluso los analistas de código malicioso. “Hay que entender cómo se programa un malware para saber cómo defenderte de él o poder investigar los incidentes que provocan”.

En cuanto a los que responden a incidentes son aquellos que forman parte de los Equipos de Respuesta Inmediata (CERT) o de los Centros de Seguridad (SOC). “Encargados de la detección de incidentes, de la respuesta y de la recuperación”. Analistas forenses, criptógrafos, criptoanalistas con base matemática.

Pero aquí entran también gente que no son perfiles necesariamente tecnológicos. “En la parte del compliance necesitamos profesionales con conocimientos en derecho, regulación, normativa y cumplimiento“, continúa Beltrán. O desde una perspectiva de dirección empresarial. “Gente con conocimientos en gobernanza, riesgos, estrategias corporativas, planes de contingencia o planes de continuidad”.

Noticia original: Business Insider

Autor: Alberto R. Aguiar