En los Estados Unidos estamos pasando por una época de fuerte carga política; sin embargo, el cibercrimen desenfrenado que actualmente está atacando tanto a empresas como a usuarios no significa que el gobierno federal no haya estado intentando hacer algo al respecto. Hace cuatro años, el entonces presidente Obama puso en marcha el proceso que llevó a la creación del Marco de Seguridad Cibernética del NIST y una amplia gama de organizaciones ahora utilizan este marco para encauzar sus esfuerzos de seguridad cibernética.
muchos estudiantes encuentran más atractivo construir la tecnología del mañana que proteger la del ayer
Desafortunadamente, muchos de estos esfuerzos se ven obstaculizados por la escasez de personas con aptitudes para ejecutarlos. En WeLiveSecurity ya hemos hablado sobre este problema al analizar la brecha de habilidades en la materia, la cual se ha catalogado como un "problema global". Esta escasez es el resultado de varios factores, entre los que se incluyen la rápida expansión en el uso de la tecnología digital y el aumento de su uso indebido con fines criminales.
Al mismo tiempo, varios profesionales de seguridad experimentados están alcanzando la edad de jubilarse, mientras que muchos de los estudiantes de hoy encuentran más atractivas las recompensas potenciales de construir la tecnología del mañana que la tarea de proteger la tecnología del ayer.
Esta es otra área donde el gobierno federal estadounidense actuó en forma proactiva. A pocos meses de su primer mandato, Obama lanzó la Iniciativa Nacional para la Educación en Seguridad Cibernética (NICE, del inglés) con el objetivo de abordar la necesidad de ampliar la fuerza de trabajo en dicha área.
Un ejemplo visible de estos esfuerzos federales es el sitio web CyberSeek.org, que proporciona "datos detallados y procesables sobre la oferta y la demanda en el mercado laboral de seguridad cibernética".
el país no tiene muchas "personas libres" de donde reclutar empleados para ciberseguridad
Lamentablemente, la escasez de habilidades en ciberseguridad es un problema muy difícil de resolver. Mira los siguientes números del sitio de CyberSeek: "Cada año, en los Estados Unidos se abren 128.000 puestos laborales para analistas de seguridad de la información; sin embargo, actualmente hay solo 88.000 trabajadores empleados en dichos puestos. Es decir que hay un déficit de talento de 40.000 trabajadores en el sector laboral más grande de la seguridad cibernética".
Pero aún hay más (o menos, según como lo mires): "También hay 220.000 vacantes laborales adicionales que solicitan aptitudes relacionadas, y los empleadores deben esforzarse para encontrar trabajadores que las posean. Los trabajos que piden aptitudes, por ejemplo, permanecen disponibles durante un promedio de 96 días".
CyberSeek ofrece dos herramientas interesantes para ayudar a resolver este problema: Career Pathway y Cybersecurity Supply/Demand Heat Map. Esta última se actualiza regularmente y presenta algunos números reveladores. Si observamos el número de trabajos listados online para los puestos relacionados con la seguridad cibernética desde julio de 2015 hasta junio de 2016, veremos que son aproximadamente 350.000.
Para poner estos datos en contexto, consideremos la estimación del número total de trabajadores de seguridad cibernética empleados en 2016: alrededor de 780.000. No es necesario ser un experto en economía laboral para darse cuenta de que algo anda mal cuando un año de ofertas laborales en una industria particular corresponde al 45% del total de trabajadores actuales.
Otro indicador de lo descontrolada que está esta situación es el número de puestos laborales en los Estados Unidos que solicitan el Certificado de Profesional de Seguridad para Sistemas de la Información (CISSP), en relación con el número de estadounidenses que tienen dicha certificación: 93.000 contra 70.000.
Esta brecha en particular, de unas 23.000 personas, me dice dos cosas. Primero, que probablemente no haya suficientes personas certificadas en este momento en los Estados Unidos; y segundo, que un número significativo de esos puestos laborales probablemente serán ocupados por personas que no están certificadas, a falta de otras. Además, muchas empresas no saben lo que significa tener la certificación CISSP, y solo la piden porque la ven incluida en otros anuncios de trabajos de seguridad. Escribí sobre este problema el año pasado, cuando llegué a mi 20º aniversario como CISSP, y claramente algunos de los temas allí tratados aún persisten.
Uno de los más frustrantes es la continua falta de claridad acerca de los roles en seguridad cibernética; así como del conocimiento, las habilidades y las capacidades (los "KSA", por sus siglas en inglés) necesarios para desempeñar los diferentes roles que conforman la seguridad de los sistemas de la información.
Aquí es donde entra en juego el CyberSeek Career Pathway. Esta herramienta interactiva representa el National Cybersecurity Workforce Framework (el marco de la fuerza laboral estadounidense), cuyo objetivo inicial era establecer una taxonomía estándar para todos los trabajos de seguridad cibernética y los trabajadores que los realizan, independientemente del empleador o del sector de la industria.
Para lograrlo, la iniciativa NICE clasificó los trabajos de seguridad cibernética en 31 áreas especializadas organizadas en siete categorías: Provisión segura; Operación y mantenimiento; Protección y defensa; Investigación; Recopilación y operación; Análisis; Supervisión y desarrollo. NICE siguió identificando los KSA requeridos para cada rol y luego asignó los posibles caminos profesionales a seguir para los trabajadores de seguridad cibernética, como se ve en esta imagen del sitio web de CyberSeek:
La herramienta CyberSeek sirve para más cosas: por ejemplo, te permite desglosar según los estudios, las aptitudes y las cualificaciones requeridas para cualquier descripción de trabajo dada, con los títulos alternativos utilizados para un mismo trabajo, la cantidad de puestos laborales ofrecidos, el salario promedio y la franja salarial. Todo el que esté interesado en conseguir un trabajo en seguridad cibernética puede consultar la página de la Iniciativa Nacional para Carreras y Estudios en Seguridad Cibernética (NICCS) estadounidense, que proporciona un recurso online para buscar planes de carreras y capacitaciones. El sitio de la NICCS ofrece más de 3.000 cursos de capacitación relacionados con la seguridad cibernética en los Estados Unidos y permite buscarlos por palabra clave, especialidad y ubicación:
Estas herramientas son gratuitas y espero que ayuden a las personas a iniciarse y progresar dentro del campo de la seguridad cibernética. Lamentablemente, este campo compite con muchos otros. En otras palabras, la brecha de aptitudes en seguridad cibernética no es la única brecha que preocupa a los Estados Unidos, aunque es bueno contar con proyectos de este tipo que en otras regiones, como por ejemplo Latinoamérica, todavía no se formalizaron.
Seguramente habrás visto este titular el mes pasado: "El derroche de Trump en infraestructura colisionaría con la crisis de mano de obra cualificada de los Estados Unidos". Y a principios de año apareció esta advertencia en el Wall Street Journal: "Estados Unidos podría quedarse sin terapeutas ocupacionales, ingenieros ferroviarios y otros trabajadores, lo que generaría una depresión económica a largo plazo".
El Comité de la Reserva Federal de los Estados Unidos considera que 4,8% es "la tasa natural de desempleo"; es decir que cualquier número inferior a ese corresponde a pleno empleo. Esto significa que la mayoría de los puestos de trabajo tienen que ser ocupados por personas que dejan su trabajo actual. La tasa de desempleo de los Estados Unidos el mes pasado fue del 4,7%, por lo que el país no tiene muchas "personas libres" de donde reclutar empleados para seguridad cibernética. Me temo que la brecha de aptitudes persistirá durante algún tiempo, a pesar de nuestros mejores esfuerzos para reducirla.