El valor de los datos que manejan las empresas precisa de sistemas de protección más eficaces. Se necesitan expertos en ciberseguridad, pero hay pocos disponibles
Unos 2,9 millones de empleos en ciberseguridad en el mundo están vacantes.
Unos 142.000 en Europa, Oriente Próximo y África, según el informe de
2018 Cibersecurity Workforce Study, de la asociación internacional que
agrupa a estos expertos (ISC)2. Apenas hay
empresas, da igual su tamaño, que no manejen datos personales en su día a
día, y todos ellos son susceptibles de ser robados, indistintamente de
cuántas leyes de protección de datos los sustenten. Como se ha
comprobado con escándalos como el del robo de datos de Facebook por Cambridge Analytica o el ataque que sufrieron los servidores de Telefónica en 2017.
“La vulnerabilidad se localiza en los servidores y en los sistemas que los almacenan; también están en la diana las aplicaciones y tecnológicas que nacen y escalan más rápido que sus sistemas de defensa”, expone el ingeniero Miguel Ángel Pérez Sánchez, profesor del máster en Sistemas de Comunicación e Información para la Seguridad de la Universidad Politécnica de Madrid y coronel de la reserva en la especialidad de transmisiones. Hay que protegerse, pero no hay gente suficiente para cubrir la demanda de las empresas. Faltan estudios superiores para formarlos y estructuras flexibles que los retengan.
Porque para desarrollar su trabajo, el hacker exige romper las reglas tradicionales. Lo suyo requiere, entre otras cosas, horarios flexibles, formación constante y presupuesto propio. Y no todas las empresas lo ofrecen.
“Los incidentes se incrementan de forma exponencial y las empresas se han dado cuenta. España es uno de los países con más porcentaje de ataques. Hay que ponerse las pilas”, expone Pérez Sánchez. “Necesitan ciberseguridad todas las compañías que realicen almacenado de datos de personas y aquellas que hagan innovación e investigación como parte de su negocio. Lo necesitan las grandes, las medianas…, todas. Las pequeñas a veces no pueden permitirse un departamento propio; externalizarlo a una consultoría es la mejor opción”.
Ricardo Maté es director general de la empresa de ciberseguridad Sophos Iberia. Ayuda a empresas a protegerse contra los ataques y confirma el problema de la falta de trabajadores formados en este ámbito en España. “Es complicado reclutar talento. El sector bancario y los seguros son los que pueden permitirse contratar a los mejores. El resto comparte la alta demanda y la escasez de perfiles porque hay pocos estudios propios en ciberseguridad y menos alumnos de los que se necesitan interesados en un oficio que es muy vocacional y exige formación continua”, explica el directivo.
Pablo Ruiz Encinas, un alumno del grado oficial de Ingeniería del Software en la U-tad, no ha terminado sus estudios y ya está trabajando. Un profesor de su escuela le fichó para Innotec Systems y allí le ofrecen cursos, foros, viajes, conferencias, másteres, certificaciones… “Trabajar y estudiar a la vez es lo que nos va a tocar hacer siempre en este oficio, no hay otra forma”, apunta este hacker “ético”. “Nos llamamos así porque sabemos mucho de seguridad, pero no la utilizamos para extorsionar o robar, sino para hacer una Red más eficiente. Nos pintaban como gente peligrosa y por eso creo que no siempre hubo muchos alumnos deseosos de estudiar esto, pero hay que romper con la concepción del ‘chico del sótano aislado del mundo”.
“Es un gestor, no un tecnólogo. De hecho, está muy cercano al negocio y puede decidir qué medidas tomar para proteger el entorno digital”, describe el directivo de Sophos. El profesor de la Politécnica añade que es alguien que “debe conocer las redes y lenguajes, protocolos criptográficos, analizar y detectar amenazas de seguridad, saber técnicas de prevención, establecer la seguridad financiera” porque la empresa que le emplea, cuando es atacada, “no puede parar su negocio y, a la vez, debe disponer de tiempo para verificar quién fue, por qué y dónde se dio el fallo; sacar conclusiones, implementarlas y que no vuelva a ocurrir”.
Este perfil viene, generalmente, de disciplinas universitarias como informática y telecomunicaciones. Sin embargo, de momento la universidad pública tiene poca oferta centrada en exclusiva en ciberseguridad. “Se está mejorando en formación, pero no urge que se defina un grado, una carrera, una especialización superior… El problema es que es una carrera que evoluciona a gran velocidad, y habría que hacer un esfuerzo para que la enseñanza se acompasara a las novedades”, dice Pérez Sánchez. Y en ese escenario las privadas suelen tener más capacidad de avanzar rápido, ayudadas a menudo por grandes empresas (caso de Indra y U-tad).
“Las amenazas están creciendo vertiginosamente y las empresas están viendo saltar sus negocios por los aires. Es casi un tema de Estado y no hay ningún país más susceptible que otro a ser vulnerado. Los datos están ahí, listos para que alguien meta las narices en ellos”, expone Ruiz Encinas. “Desde el punto de vista de la seguridad, debes asumir que te van a atacar”, apoya Pérez Sánchez. “Los focos de ataque están en personas normales que tenemos un ordenador; en todas las TIC, en las empresas que mueven dinero. También en los ayuntamientos y ministerios”, añade.
“La vulnerabilidad se localiza en los servidores y en los sistemas que los almacenan; también están en la diana las aplicaciones y tecnológicas que nacen y escalan más rápido que sus sistemas de defensa”, expone el ingeniero Miguel Ángel Pérez Sánchez, profesor del máster en Sistemas de Comunicación e Información para la Seguridad de la Universidad Politécnica de Madrid y coronel de la reserva en la especialidad de transmisiones. Hay que protegerse, pero no hay gente suficiente para cubrir la demanda de las empresas. Faltan estudios superiores para formarlos y estructuras flexibles que los retengan.
Porque para desarrollar su trabajo, el hacker exige romper las reglas tradicionales. Lo suyo requiere, entre otras cosas, horarios flexibles, formación constante y presupuesto propio. Y no todas las empresas lo ofrecen.
“Los incidentes se incrementan de forma exponencial y las empresas se han dado cuenta. España es uno de los países con más porcentaje de ataques. Hay que ponerse las pilas”, expone Pérez Sánchez. “Necesitan ciberseguridad todas las compañías que realicen almacenado de datos de personas y aquellas que hagan innovación e investigación como parte de su negocio. Lo necesitan las grandes, las medianas…, todas. Las pequeñas a veces no pueden permitirse un departamento propio; externalizarlo a una consultoría es la mejor opción”.
Ricardo Maté es director general de la empresa de ciberseguridad Sophos Iberia. Ayuda a empresas a protegerse contra los ataques y confirma el problema de la falta de trabajadores formados en este ámbito en España. “Es complicado reclutar talento. El sector bancario y los seguros son los que pueden permitirse contratar a los mejores. El resto comparte la alta demanda y la escasez de perfiles porque hay pocos estudios propios en ciberseguridad y menos alumnos de los que se necesitan interesados en un oficio que es muy vocacional y exige formación continua”, explica el directivo.
Ruptura del modelo
Maté dice que “estamos ante un cambio de modelo total”. Porque las empresas que reclutan estos perfiles asumen que deberán cambiar sus estructuras para adaptarse a ellos. “Los hackers están rompiendo la fórmula tradicional de trabajo y gestión de equipos y tareas. Son personalidades muy diferentes que no encajan en estructuras organizativas tradicionales. Los autodidactas necesitan otro tipo de horarios”, apunta Pilar Jericó, socia de la consultora BeUp. “Las empresas deben permitirles flexibilidad total, margen de maniobra, funcionar por objetivos y un presupuesto propio. Creo que los hackers son los que mejor representan lo que será el mercado laboral”.Pablo Ruiz Encinas, un alumno del grado oficial de Ingeniería del Software en la U-tad, no ha terminado sus estudios y ya está trabajando. Un profesor de su escuela le fichó para Innotec Systems y allí le ofrecen cursos, foros, viajes, conferencias, másteres, certificaciones… “Trabajar y estudiar a la vez es lo que nos va a tocar hacer siempre en este oficio, no hay otra forma”, apunta este hacker “ético”. “Nos llamamos así porque sabemos mucho de seguridad, pero no la utilizamos para extorsionar o robar, sino para hacer una Red más eficiente. Nos pintaban como gente peligrosa y por eso creo que no siempre hubo muchos alumnos deseosos de estudiar esto, pero hay que romper con la concepción del ‘chico del sótano aislado del mundo”.
“Es un gestor, no un tecnólogo. De hecho, está muy cercano al negocio y puede decidir qué medidas tomar para proteger el entorno digital”, describe el directivo de Sophos. El profesor de la Politécnica añade que es alguien que “debe conocer las redes y lenguajes, protocolos criptográficos, analizar y detectar amenazas de seguridad, saber técnicas de prevención, establecer la seguridad financiera” porque la empresa que le emplea, cuando es atacada, “no puede parar su negocio y, a la vez, debe disponer de tiempo para verificar quién fue, por qué y dónde se dio el fallo; sacar conclusiones, implementarlas y que no vuelva a ocurrir”.
Este perfil viene, generalmente, de disciplinas universitarias como informática y telecomunicaciones. Sin embargo, de momento la universidad pública tiene poca oferta centrada en exclusiva en ciberseguridad. “Se está mejorando en formación, pero no urge que se defina un grado, una carrera, una especialización superior… El problema es que es una carrera que evoluciona a gran velocidad, y habría que hacer un esfuerzo para que la enseñanza se acompasara a las novedades”, dice Pérez Sánchez. Y en ese escenario las privadas suelen tener más capacidad de avanzar rápido, ayudadas a menudo por grandes empresas (caso de Indra y U-tad).
“Las amenazas están creciendo vertiginosamente y las empresas están viendo saltar sus negocios por los aires. Es casi un tema de Estado y no hay ningún país más susceptible que otro a ser vulnerado. Los datos están ahí, listos para que alguien meta las narices en ellos”, expone Ruiz Encinas. “Desde el punto de vista de la seguridad, debes asumir que te van a atacar”, apoya Pérez Sánchez. “Los focos de ataque están en personas normales que tenemos un ordenador; en todas las TIC, en las empresas que mueven dinero. También en los ayuntamientos y ministerios”, añade.