Reclutar talento, el alarmante reto de la ciberseguridad mundial

Nos llega un nuevo anuncio: “Incibe lanza un nuevo curso de formación gratuito para potenciar el talento en ciberseguridad”. Se trata de 250 horas de formación para cualquier persona interesada en incrementar conocimientos en esta materia. El objetivo de este curso básico técnico de ciberseguridad es impulsar la captación del talento, dada la actual escasez de profesionales en el sector a nivel mundial. Es solo uno más de los muchos cursos que se proyectan en este y otros organismos como las universidades, y en las empresas, que necesitan manos para atajar el cibercrimen, y no las encuentran. Estos son los retos del talento en ciberseguridad que debemos abordar y superar.

 

Reto 1: la imperiosa necesidad de talento

Así, se evidencia en el análisis de las taxonomías de perfiles profesionales más demandados, realizado como parte del “Análisis y Diagnóstico del Talento en Ciberseguridad en España”, elaborado recientemente por el mismo INCIBE, que refleja la necesidad de cubrir más de 83.000 puestos de trabajo en ciberseguridad antes de 2024. Según las estimaciones, en el mundo en 2022 hacían falta 3.400.000 profesionales. El informe es alarmante, por supuesto, y más contando con el aumento en cantidad y calidad de los ataques e incidentes. El organismo gestionó más de 115.000 incidentes de ciberseguridad durante 2022, un 9% más que en 2021. Los retos del talento en ciberseguridad son claros. Hace falta mucho personal formado en múltiples perfiles. El 48% de las empresas está utilizando la formación y cualificación de personal interno para cubrir las vacantes de ciberseguridad existentes. Sin embargo, únicamente 2 de cada 10 posiciones internas se cubren con talento interno de la organización.

El informe también revela  la necesidad de implementar programas específicos que impulsen la presencia femenina, porque la brecha de género se refleja ya en la etapa universitaria, en la que solo el 18% de las personas graduadas especializadas en esta materia son mujeres. La participación de la mujer es clave para poder cubrir la demanda del sector, y solo el 11% de los profesionales en ciberseguridad son mujeres.

Estos retos del talento en materia de ciberseguridad se observan en nuestro país, pero el problema es europeo y mundial, porque las plantillas de los departamentos de ciberseguridad de las empresas son pequeñas y la rotación de los perfiles alta. “El actual desalineamiento entre la oferta y demanda del talento de ciberseguridad está motivando que el salario sea una variable clave que afecta a la rotación del personal”, nos comenta Xana Marina Martínez Suárez, técnica de talento de Ciberseguridad del Incibe.

Si son pocos los profesionales, se van donde les paguen más, lógicamente. Todos los expertos coinciden en el implacable diagnóstico: el gran reto de la ciberseguridad es la absoluta necesidad de talento. “Preocupa mucho, más de lo que la gente se cree —afirma Xana Martínez—. Se ha identificado el problema en todo el mundo. Las instituciones nacionales y europeas tienen la promoción y detección de talento en ciberseguridad como un objetivo estratégico y se han iniciado varias líneas de actuación para captarlo”.

Ángel Sáenz de Cenzano, director general de LinkedIn España y Portugal, lo confirma. “La ciberseguridad es un sector que está experimentando un crecimiento y evolución constantes; la evolución tecnológica está transformando el mundo en el que vivimos y el talento en ciberseguridad es una necesidad cada vez mayor”. Así se refleja en su lista de Empleos en Auge, donde se pueden identificar los empleos que más están creciendo en España en los últimos cinco años. “Se precisan roles más técnicos, como analistas de seguridad, ingeniero de confiabilidad de sitio o de inteligencia artificial, perfiles cuya importancia sólo seguirá aumentando a medida que la tecnología continúe siendo una parte fundamental de nuestras vidas”, dice Ángel.

 

Reto 2: nos falta cantera

Pero la ciberseguridad tiene competencia como gran futuro profesional. “Si has estudiado informática o teleco, hay otras salidas que son muy atractivas. Entre seguridad y redes 5G, la gente se decanta por lo más nuevo y conocido, las redes. Así que tenemos una competencia interna por atraer a gente dentro del ámbito de nuevas tecnologías”, se lamenta Xana Marina.

Helena Rifà Pous es profesora de los  Informática, Multimedia y Telecomunicación de la Univesitat Oberta de Catalunya (UOC) y Directora del máster interuniversitario de Seguridad de las tecnologías de la información y la comunicación (MISTIC), y para ella sería importante empezar por la digitalización de la educación primaria y secundaria. “Se informa sobre temas como sexting, etc, porque los más jóvenes están absolutamente digitalizados desde que son escolares. Pero esto choca con que los colegios e institutos van mucho más lentos en cuanto a digitalización que los propios alumnos”. Los profesores han tenido que aprender a ser digitalmente competentes en plena pandemia. Y aunque las enseñanzas en digitalización, o robótica van a ser curriculares, aun así “vamos lentos y nos falta profesorado específico que vaya a hacer esta formación. No hay talento sobre todo en secundaria en esta área”, señala Rifá.

Desde la UOC hacen charlas en los institutos para promocionar  la ciberseguridad, “aunque tenemos el personal que tenemos. Además, hay cierto sesgo de género —nos confirma esta profesora—.  Las niñas no lo contemplan en general. Y es una pena porque hay mucho talento que podríamos captar en ellas, pero ellas mismas se retractan porque no tienen referentes, y las ingenierías las ven como profesiones aburridas, y de gente muy friki, y ahí tenemos mucho trabajo por hacer”.

El master de la UOC tiene una entrada de 300 estudiantes al año y no lo acaban todos. Es muy flexible y se puede hacer al ritmo que se quiera, “así que casi nunca acaban en un año, sobre todo porque el 98% de los que vienen ya están trabajando, lo que demuestra las salidas que tienen todas las carreras STEM. No tenemos plazas límite y podrían ser más, pero es difícil captar más estudiantes. Creo que sí falta esa promoción de base para las carreras STEM y para la ciberseguridad especialmente”, diagnostica Rifà. 

 

Reto 3: divulgar la ciberseguridad como futuro profesional

Xana Marina reconoce que es así, “la profesión de ciberseguridad no se conoce. Es difícil que puedas dedicarte a lo que desconoces. Además, todavía ocurre que la palabra ciberseguridad y hacker se asocia con algo negativo; lo de ‘no le voy a decir a mi hijo que se dedique a esto porque es lo que hacen los malos’, todavía lo piensan muchos padres”.

“Los jóvenes no saben que existen estos estudios y salidas profesionales —insiste Rifà—. A la ciberseguridad llegan los estudiantes que han hecho alguna ingeniería, que ya de inicio son carreras muy poco escogidas, que dan algo de miedo y no tienen tan buena prensa, porque se cree que son muy difíciles. Tendríamos que cambiar el discurso, porque las vendemos como carreras difíciles, y deberíamos poner el foco en que son carreras muy necesarias que tienen mucha demanda y muchas salidas”. La profesora  cree que hay que desviar el foco de la dificultad y el intenso estudio, “porque la gente joven hoy en día es muy pesimista y piensa que estudiar mucho ya no les garantiza nada para un buen futuro. Y no es así con la ciberseguridad. Y el resto de disciplinas STEM. Necesitamos a mucha gente”.

Rifà insiste en que nos falta trabajar en la  promoción, de saber vender este tipo de carreras, y no solo promover los estudios universitarios, si no cursos más cortos que forman a profesionales del sector en otros aspectos trasversales de la ciberseguridad, como profesionales del derecho, de la psicología, de las ciencias sociales para estudiar a los atacantes, de dónde vienen, etc. Hay que ofrecer cursos para captar estos otros perfiles que se puedan formar en aspectos técnicos aunque no sean expertos, pero que se puedan enfocar a estas otras funciones.

INCIBE se encarga de hacer desde hace años muchísimas acciones de divulgación. “Por ejemplo, vamos a colegios, participamos en infinitos eventos, desde cámaras de comercio, relacionados tanto con la ciberseguridad como con temas que le afectan; la competitividad, la gestión de riesgos… Nos da mucha pena oír que no nos conocen lo suficiente. Y estamos abiertos a cualquier sugerencia para que se nos conozca más”, reconoce Xana.

Según su análisis, hay que explicar y empoderar que quien te está pidiendo poner una contraseña segura no ha salido de la nada. Que es un profesional que tiene unas habilidades y conocimientos, y está especialmente formado para divulgar la ciberseguridad. “Tratamos con ello de dar a conocer la profesión de experto-a en ciberseguridad, y las diversas ‘profesiones’ dentro del área”, añade.

Un problema que tienen las campañas divulgadoras en la actualidad es que con las RRSS ahora está todo mucho más diversificado y es muy difícil enfocarlas en un puñado de canales, como aquellas campañas orientadas a la juventud que impactaban y conseguían concienciar. “Todo el mundo pensamos en hacer campaña —dice la experta en talento del INCIBE—, y los posibles receptores están tan saturados, que terminan no siendo efectivas. La Guardia Civil hace todos los años una CyberLeague con competiciones de ciberseguridad para jóvenes universitarios. A nosotros nos encanta porque se da a conocer la profesión, y aunque hay una importante participación, sigue habiendo muchísimos jóvenes universitarios que desconocen esta competición y la profesión en sí”.

Todos los expertos consultados coinciden en que estaría bien hacer una campaña impactante, como las de Tráfico, o aquella que triunfó entre la juventud sobre los profilácticos con el “Póntelo, pónselo”. “Los mayores estamos más concienciados ante los problemas de seguridad de la tecnología, porque ya no necesitamos tener miles de amigos en las redes, tenemos dinero en el banco y queremos sentirnos seguros en internet, que nuestro hospital vaya bien, que no nos fallen nuestros servicios públicos...  pero los jóvenes no lo ven así”, explica Xana Marina.

Según Rifà, “falta motivación y no sé si una campaña pública sería la solución para incentivar estas vocaciones. Lo que si falta a nivel público es que en colegios e institutos haya una formación básica en materia de seguridad en las tecnologías. No para que luego se especialicen, sino para que todos sepan esos conocimientos mínimos y sean más conscientes de lo que se puede hacer y lo que no. De este modo evitaríamos muchos problemas de raíz. La mayor parte de los problemas de seguridad que tenemos se deben a errores humanos, somos demasiado ingeniuos, y a través de estas concienciaciones ya despertaríamos un poco más el interés y la conciencia de la importancia de estas profesiones”.

 

Reto 4: aumentar la oferta de formación

Sáenz de Cenzano coincide en ver que “la ciberseguridad es una gran oportunidad de carrera. Por eso, nos encontramos ante la necesidad de actualizar y adaptar la oferta formativa a las tendencias y demandas del mercado laboral”. Linkedin cuenta con una herramienta de análisis con datos mundiales que mapea las necesidades “para conectar personas con oportunidades económicas. En el caso de la ciberseguridad estamos analizando cuáles son las habilidades que se requieren, cuáles son las industrias y empresas que las demandan y lo compartimos con las entidades educativas e instituciones, porque puede que no estemos ofreciendo la formación que se necesita para cubrir la demanda existente”.

En INCIBE no solo ofrecen varias maneras de acceder a la formación que tanto se necesita, como, por ejemplo, sus cursos de Academia Hacker, que justo este año están actualizando sus contenidos, algo imprescindible dada la velocidad de la evolución de la materia. La Academia Hacker dispone de retos online para que de forma autodidacta puedan hacerse. Esta primavera salen los Cursos Masivos Online (MOC) de ciberseguridad de 250 horas, y trabajan en formaciones de ciberseguridad con diferentes colectivos, como la Fundación ONCE. Tienen muchos frentes abiertos, deben actualizarse constantemente y avanzar e incorporar demandas.

Lo importante es formarse de la mejor manera posible. En el diagnóstico que hizo el INCIBE las plazas universitarias ofertadas, “se habían cubierto todas y había gente que no había podido estudiar por falta de plazas. El Ministerio de Educación tiene que hacer lo adecuado para que no ocurra, tanto en estudios superiores como en la FP. Necesitamos que se forme más gente, y hay que valorar qué hay que estudiar, y que lleva un tiempo desde que se comienza hasta que se sale formado. La formación en ciberseguridad no es inmediata, hay que empezar a trabajar y conseguir adquirir destreza y solvencia, que puede llevar uno o dos años hasta que se adquieren ciertas habilidades”.

Xana nos tranquiliza respecto a los niveles de formación en nuestro país. “Hace tiempo que ya sabemos de esta necesidad. No vamos tan mal en cuanto a formación respecto al resto de países de nuestro entorno. A muchos les sacamos ventaja. En INCIBE tenemos el departamento de Talento en Ciberseguridad que no existe en otros estados”.  

Según Rifá, en las universidades ya hay mucha oferta y muchos másteres. “Necesitamos más cursos cortos, más formación profesional. Si no generamos más profesionales no es que no tengamos plazas u oferta, es que tampoco nos llegan más estudiantes, porque son los que han estudiado ingenierías, que ya son pocos de por sí, y es difícil captarlos. Ni siquiera las ingenierías están super llenas de estudiantes”. Aunque ya existe una línea en FP para formar técnicos en ciberseguridad, todavía es escasa y además, falta profesorado, porque no es fácil encontrar profesionales que lo sepan enseñar todavía. “En educación también nos falta mucho talento de ciberseguridad, porque las empresas se quedan el mejor talento en la materia”, se queja Rifá, con mucha razón.

 

Reto 5: formar en y con las empresas

Hay múltiples iniciativas privadas que se unen a las universidades para formar en sedes empresariales a los futuros expertos en ciberseguridad. Es el caso de la Cátedra de Telefónica de Universidad de Zaragoza,  o la titulación impulsada por Siemens en Vigo. “Yo creo que es una solución muy buena. Esto es un terreno abierto y las entidades sí están pensando en abrir estas posibilidades de formación”, dice Xana. Sin embarco Helena Rifá cree que es “una solución parcial, aunque está bien que exista, porque en este tipo de ofertas sí que se están centradas en los perfiles concretos que se necesitan. Son como certificaciones que se orientan concretamente a unas capacidades y cualidades muy específicas. Pero necesitamos el otro tipo de enseñanza, más holística y general”, diagnostica.

Como profesora universitaria, Rifá señala un reto importante: “Acercar industria y academia. Desde el mundo académico se ha avanzado y se han hecho muchas cosas, pero lo que estamos haciendo en investigación quizá no esté bien orientado. Los sistemas albergan datos muy sensibles y cuesta mucho hacer pruebas, test y otros análisis porque carecemos de los datos. No se da este acercamiento entre industria y academia para compartir problemas y retos, y poder formar mejor a los estudiantes en ciberseguridad con escenarios más reales”, reivindica la académica.

Ángel Sáenz, también ve “que hay un desajuste entre la oferta y demanda del talento. Es esencial que las empresas invirtamos en el desarrollo, capacitación y retención de nuestra fuerza laboral, y que contemos con contenido en materia de los RRHH necesarios para asegurar la alta especialización de los equipos y proporcionar servicios de gran calidad”. Para él es importante animar a los jóvenes a formarse, pero también a los profesionales que se sienten estancados.

 

Reto 6: afinar en la especialización y los perfiles

La agencia de ciberseguridad europea (EINISA) ha definido doce perfiles concretos de expertos-as en ciberseguridad, y Rifà apunta a que es uno de los retos importantes para gestionar el talento. “Se  deberían definir muy bien los perfiles; quién se va a dedicar al hacking ético, quién a la ciberinteligencia y así, a nivel académico, también podríamos especificar qué perfiles formamos. Igualmente la industria, en las ofertas de trabajo, debería definir qué se necesita, porque decir ‘experto en ciberseguridad’ es no decir nada. Así se centraría y guiaría mejor a estudiantes y empleados hacia su formación y preparación específica. Ahora es demasiado general”.   

INCIBE colaboró el pasado año en la elaboración con la EINISA de un diagnóstico de perfiles en ciberseguridad, para aclarar qué hace una persona profesional de la materia en cada necesidad y se establecieron doce perfiles profesionales hacia los que hay que dirigir el talento:

1.    CHIEF INFORMATION SECURITY OFFICER (CISO).

2.    CYBER INCIDENT RESPONDER.  Respuesta a incidentes

3.    CYBER LEGAL, POLICY & COMPLIANCE OFFICER. Oficial de cumplimiento

4.    CYBER THREAT INTELLIGENCE SPECIALIST. Especialista en inteligencia de ciberamenazas

5.    CYBERSECURITY ARCHITECT. Arquitecto de ciberseguridad

6.    CYBERSECURITY AUDITOR. Auditor de ciberseguridad

7.    CYBERSECURITY EDUCATOR. Educador en ciberseguridad

8.    CYBERSECURITY IMPLEMENTER. Implementador de ciberseguridad

9.    CYBERSECURITY RESEARCHER. Investigador en ciberseguridad

10.   CYBERSECURITY RISK MANAGER. Gestor de riesgo en ciberseguridad

11.   DIGITAL FORENSICS INVESTIGATOR. Investigador forense digital (perito informático)

12.   PENETRATION TESTER. No se suele traducir, aunque de manera popular se conoce como hacker ético.

Este último perfil es un ejemplo del desconocimiento generalizado de la sociedad sobre estas profesionales, según Xana Marina, “mucha gente cuando piensa en esta rama de la ciberseguridad piensan en ‘estos son los que atacan’. Los que atacan sin permiso son los hackers malos, y los que atacan con permiso son los un “pentester”, que se dedica a probar la incursión en otras empresas. Se trata de una profesión en ciberseguridad muy popular”, explica. La traducción en español es “analista de penetración”, que no suena bien, y se resume y conoce como hacker ético. Otra de las más pretendidas es la de gestor de incidentes, “que se ocupa de si hay algún problema en tu empresa en el ámbito tecnológico, lo detectarían, investigarían, neutralizarían y la situación volvería a ser la anterior al problema”, explica la especialista del INCIBE.

Las empresas no van en la buena dirección en cuanto al perfilado de sus necesidades. “Cada vez se demandan más profesionales con habilidades transversales, que sean capaces de adaptarse a la nueva realidad que estamos viviendo y puedan desempeñar distintas funciones dentro de un mismo puesto”, aclara Sáenz de Cenzano.

Según este experto, “más del 45% de empresas se fijan en las habilidades blandas o soft skills para encontrar, seleccionar y contratar a los candidatos. Entre las soft skills más buscadas destacan algunas como la capacidad de gestión, comunicación, liderazgo o trabajo en equipo, mientras que entre las hard skills se valora el dominio de software, finanzas, Python, Java o computación en la nube, entre otras”. Es decir, que el “típico friki de la facultad” sería un gran candidato, igual que otro compañero sin esa etiqueta, pero solo si reúne estos requisitos.

 

Reto 7: captar y saber retener el talento

En opinión de Sáenz de Cenzano, las empresas deben centrar sus esfuerzos en trabajar la cultura empresarial y promover el bienestar de los empleados, y ofrecerles oportunidades de crecimiento y desarrollo profesional que les permita seguir progresando profesionalmente. “Hemos hecho grandes avances en este sentido durante los últimos años, porque sólo escuchando a nuestros trabajadores y redefiniendo nuestras políticas laborales seremos capaces de atraer y retener el mejor talento, así como hacer frente a los desafíos de un futuro incierto”, afirma.

La pandemia ha afianzado una tendencia laboral que no se puede obviar. Los profesionales siguen demandando una mayor estabilidad laboral y priorizan aspectos como los beneficios salariales, la flexibilidad laboral, el equilibrio entre la vida personal y profesional o el impacto de su trabajo o la felicidad en lo que hacen. "También es muy importante para muchos conectar con los valores y la cultura de la empresa", según el director de Linkedin.

Y si en la Ciberseguridad hace falta talento, no estamos para que las empresas lo desperdicien y lo pierdan. Las cargas de trabajo deberían ser realistas para cada puesto. Eso significa que se encargara un trabajo por persona, no dos trabajos por persona, que es lo que está ocurriendo ahora en muchos puestos debido a la escasez de personal. “En cuanto a la inversión y los sueldos, -razona Xana Marina— la ciberseguridad cuenta con un abanico muy amplio en cuanto a sueldos. Hay quien no paga mucho y hay grandes salarios en la profesión. Con la expansión del teletrabajo, se está dando la fuga de talento hacia empresas extranjeras porque los sueldos y las condiciones son mucho más interesantes. En España habría que espabilar, en ese sentido”. Y es muy clara y contundente cuando afirma que “las empresas que quieren contratar a alguien bueno saben cómo lo tienen que hacer. Si alguna no quiere ofrecer lo que el trabajo requiere, ella sabrá”.

Helena Rifà confirma que existe un problema de fuga de talento. “Hay menos población juvenil que madura y todavía no han llegado a ser una gran promoción de este tipo de carreras (STEM y ciberseguridad en particular). Las empresas del sector se están quejando de que hay mucha rotación, pero es que además somos un país más pobre que los de nuestro entorno en materia salarial, y tanto los formadores como los formados se van a otros países porque ganan más. Tendríamos que formar a muchos y muchas más personas de las que estamos formando para compensar esta fuga de talento”.

Desde Incibe además de la necesidad de más personas formadas, señalan que hay que atajar el problema de manera más holística. “Se realizan muchas actividades como en un prisma. Y la primera es concienciar a la sociedad, al ciudadano de a pie, en cuestiones de ciberseguridad. Aunque no te dediques profesionalmente a ello, que todo el mundo sepa cómo hacer una contraseña segura; que no debe publicarla en un pos-it, cualquier que pase no la pueda ver, no decírsela a nadie, etc”, dice Xana.  En definitiva, necesitamos dibulgar la ciberseguridad, concienciar a todos y todas, a la vez formar a muchos y muchas, y después contratarlos bien.