La economía española necesita casi 30.000 especialistas en ciberseguridad

La ciberseguridad hace tiempo que dejó de ser una necesidad reservada a grandes empresas u organizaciones. En la actualidad, es un reto al que debe hacer frente, de una u otra forma, cualquier negocio que pretenda estar a salvo de
la creciente delincuencia global desplegada por internet
. Lo ponen de manifiesto agencias internacionales de ciberseguridad y organizaciones policiales como la Interpol: en 2020, la pandemia redujo la actividad económica, pero los ciberataques siguieron aumentando, con un número creciente de objetivos. El problema es que la crisis ha erosionado los resultados empresariales y ha forzado a muchos negocios a revisar a la baja sus presupuestos para contratar especialistas en ciberseguridad. La alternativa que han seguido un buen número de empresas ha sido externalizar estos servicios con consultoras especializadas.

En todo el mundo faltan más de 3 millones de profesionales en ciberseguridad, según el estudio que elabora periódicamente la asociación internacional de líderes en seguridad de las tecnologías de la información, la ISC2. El estudio lo ha elaborado a partir de 3.790 encuestas entre responsables de seguridad de empresas de todo el mundo, de todos los tamaños y de todos los sectores. En esencia, este informe calcula cuántos profesionales de ciberseguridad hay trabajando en el tejido empresarial, y cuántos debería haber realmente para cubrir de forma adecuada las necesidades en este campo.

En Europa, la ISC2 calcula que hay un déficit de 168.000 profesionales dedicados a la ciberseguridad empresarial. En España faltan del orden de 29.300, otros tantos en Francia, más de 61.000 en Alemania… El Reino Unido, que destaca por ser un país con una elevada plantilla de expertos en ciberseguridad -unos 365.000-, harían falta 27.000 más, siempre según el estudio de la ISC2.

España concentra el 17% del déficit de técnicos de ciberseguridad que hay en toda Europa, según la asociación internacinoal del sector, la ISC2

A nivel mundial, este informe indica que solo una de cada tres empresas encuestadas dicen tener adecuadamente cubiertas sus necesidades en este campo. La mayoría -seis de cada diez- confiesan que son vulnerables porque no tienen personal suficiente para garantizar su ciberseguridad. El 12% habla de «gran escasez» de plantilla en este ámbito, y un 42% de «escasez» más o menos moderada.

Demanda creciente
En este déficit han coincidido dos circunstancias que, además, se han retroalimentado durante años: faltan profesionales especializados en ciberseguridad; y, en parte, eso se debe a que, hasta hace relativamente pocos años, solo las empresas de gran tamaño demandaban ese tipo de servicios. Pero eso ha cambiado, como indica Marc Martínez, socio responsable de Ciberseguridad de la consultora KPMG en España: «Con ciberataques que se producen todos los días y que tienen impactos muy severos para los negocios, la demanda de expertos en ciberseguridad se ha extendido por completo entre las medianas empresas».

El problema es que ese aumento de la demanda de especialistas se topa con una escasez de profesionales. Así que los que existen son muy buscados, cotizan alto y las empresas que los captan deben esmerarse para no dejarlos escapar, porque las ofertas están a la orden del día y eso hace que haya mucha movilidad laboral.

«Nosotros contamos con un equipo de más de cien profesionales, y cuesta mucho incorporar a ciertos perfiles porque hay un clarísimo déficit en el mercado laboral», indica Marc Martínez. En similar sentido se expresa la directora de consultoría de seguridad y Cloud de Telefónica Tech, Rosalía Simón: «A estos profesionales debemos tenerlos motivados para retenerlos en nuestra palntilla, porque es un sector que tiene muchísima demanda, son tentados con ofertas de otras compañías y son perfiles muy buscados y valorados».

Sueldos de altura
La escasez de especialistas en ciberseguridad hace que estos perfiles estén muy cotizados en el mercado. Lógicamente, hay un amplio margen salarial según múltiples factores: el puestos concreto que se quiere cubrir -según exija mayor o menor cualificación-, la experiencia del profesional -según sea junior o senior-, el tamaño y características de la empresa que lo ficha… Pero hay algunas cifras que permiten hacerse a la idea de por dónde anda el mercado laboral en este campo de la ciberseguridad. Fuentes del sector indican que, en España, en compañías de cierta entidad dedicadas a prestar servicios de asistencia y consultoría especializada, un contratado junior puede estrenarse con alrededor de 25.000 euros brutos al año y, a partir de ahí, la cifra escala con rapidez conforme se adquiere experiencia y se escala en conocimientos. Un senior-manager o un director de altas capacidades puede rondar los 100.000 euros anuales.

Entre el selecto grupo de grandes compañías con avanzados departamentos de ciberseguridad, los especialistas estratégicos llegan a superar los 150.000 euros. Son los «top».

Por su parte, la consultora Factum IT apunta en su blog que el salario medio de un profesional experto en ciberseguridad se sitúa entre los 65.000 y los 80.000 euros al año. Y, aunque cada vez se incorporan más mujeres, ellas todavía son una acusada minoría en este colectivo laboral: tres de cada cuatro profesionales de la ciberseguridad es hombre, según datos publicados por Factum.

El jáquer cotiza al alza
Entre esos cotizados talentos se cuentan los jáqueres (‘hacker’, en inglés). Un buen jáquer ofrece grandes oportunidades para las consultoras y empresas especializadas en seguridad informática, para organizaciones oficiales que deben proteger infraestructuras informáticas críticas, y para empresas con altas necesidades en ciberseguridad. Son perfiles muy apreciados, porque se han adiestrado en cómo examinar vulnerabilidades, en retar la seguridad de los sistemas y en detectar huecos por los que acceder. En Telefónica Tech, por ejemplo, hay un departamento nutrido de especialistas que realizan ataques programados a clientes, para determinar si esos procesos tienen agujeros de seguridad.

Según datos publicados por la consultora Factum, en la actualidad apenas una cuarta parte de los especialistas de ciberseguridad son mujeres

En gran medida, estos expertos son autodidactas: cuentan con una buena formación de base, universitaria o en grados profesionales, pero la han completado con muchas horas de dedicación en la que se han forjado unas habilidades avanzadas.

Tanto Rosalía Simón como Marc Martínez coinciden en que debería reforzarse la formación académica reglada en el campo de la ciberseguridad. Eso sí, coinciden en que, en estos perfiles, se valora que la formación de alto nivel vaya acompañada de habilidades personales, de capacidades intrínsecas, incluso innatas.

Desde la escuela
Desde el Instituto Nacional de Ciberseguridad (Incibe), su responsable de servicios de ciberseguridad para empresas, Marco Antonio Lozano, indica que estas disciplinas deberían formar parte de todo el itinerario educativo. Es decir, que se debería empezar a formar en informática y seguridad de forma progresiva desde la escuela, igual que ocurre con los idiomas. Y también cree conveniente diseñar grados universitarios y de FP específicamente destinados a formar expertos en ciberseguridad.

Lozano destaca que España tiene «un elenco muy bueno de profesionales en este campo». Y, como no abundan, las empresas «se los rifan».

Más de 130.000 incidentes en 2020
El Instituto Nacional de Ciberseguridad (Incibe) gestionó el año pasado 133.155 incidentes: 106.466 los sufrieron ciudadanos y empresas; 25.499 la red IRIS, a la que están conectadas las universidades y centros de investigación; y 1.190 afectaron a
operadores críticos

y servicios estratégicos esenciales
.

El software malicioso (malware) fue el que más incidentes provocó, un 35%. Otro 32% fueron fraudes tecnológicos, tales como el uso no autorizado de recursos empleando tecnologías o servicios por usuarios no autorizados, la suplantación de identidad, la violación de los derechos de propiedad intelectual u otros engaños económicos. Otro 17% se debieron a fallos o deficiencias de un sistema que permitían el acceso ilegítimo a las redes o equipos informáticos de una empresa, organización o particular. Y el resto correspondían a otras modalidades de ataques o vulnerabilidades informáticas.
Source: Noticias