Hoy, 3 de noviembre, celebramos el Antimalware Day, una fecha impulsada por ESET que desde el año 2017 tiene como objetivo destacar el rol de la industria de la seguridad informática en su lucha contra las distintas amenazas que existen en el mundo digital y en su misión de generar mayor concientización para disfrutar de la tecnología de forma segura y con responsabilidad. Este año ponemos el foco en la escasez de profesionales y la creciente demanda por parte de organizaciones que necesitan tomar medidas frente a la gran cantidad de amenazas informáticas que circulan día a día y con actores maliciosos en constante evolucionan que imponen un gran dinamismo al escenario de la ciberseguridad.
Como ya hemos mencionado en otros artículos, desde hace ya un tiempo que distintos informes evidencian que existe una escasez de profesionales en el campo de la ciberseguridad que hace que no se llegue a cubrir la demanda existente. En 2017, datos de la octava edición del Global Information Security Workforce Study (GISWS) que realiza el (ISC)², organismo que ofrece certificaciones en seguridad y que desde el 2004 viene siguiendo la evolución de la fuerza laboral en este sector a nivel mundial, aseguraban que para el 2022 la falta de profesionales llegaría a los 1.8 millones; cifra que representaba un aumento del 20% con respecto a la edición 2015 del mismo informe. Sin embargo, según un nuevo informe publicado por (ISC)² a fines de 2019, la brecha se amplió nuevamente y la falta de profesionales en la actualidad según los últimos datos es de 4.07 millones. Esto quiere decir que para que las empresas logren conformar los equipos de seguridad fuertes que se requieren debería aumentar en un 145% la fuerza laboral en este sector.
Considerando los desafíos que desde el punto de vista de la seguridad informática trajo la situación del COVID-19 —como la aceleración en los procesos de transformación digital o la adopción del teletrabajo— y el importante crecimiento de los ataques desde que se decretó la pandemia, lo cual provocó también que se disparara aún más el aumento en la demanda de profesionales en lo que va de este 2020, al parecer la brecha continuará estirándose. Sobre todo si a este fenómeno desencadenado por el COVID-19 sumamos que las predicciones hablan de que en cinco años habrá más de 26 ciudades inteligentes, que para el 2030 habrá una red global compleja conformada por 200 mil millones de dispositivo y que por cada individuo existirán más de 20 dispositivos conectados.
Cabe destacar que esta brecha en la fuerza laboral no se da igual en todo el mundo. En Europa la brecha profesional es del 7%, en Estados Unidos de 14%, en América Latina 15% y en Asia Pacífico del 64%. Por otra parte, en Europa la brecha se duplicó debido al incremento en la demanda de compañías con menos de 99 empleados y de compañías con más de 500, mientras que en América Latina, región en la cual la brecha creció más significativamente, la principal demanda proviene de empresas que tienen entre 100 y 499 empleados, así como de grandes compañías, explica el reporte.
En este sentido, el 65% de las organizaciones representadas en este estudio manifestaron tener escasez de profesionales dedicados a la ciberseguridad, mientras que el 51% de los profesionales que se dedican a la seguridad manifestaron que sus organizaciones están expuestas a un riesgo elevado o moderado debido a la falta de especialistas. De hecho, la principal preocupación que manifestaron las organizaciones es la falta de personal con las habilidades o experiencia suficiente.
Formación de los profesionales que conforman la fuerza laboral a nivel global
Más allá de los roles o cargos que ocupan los profesionales que se desempeñan en la industria o de las distintas ramas o especializaciones que existen, el informe asegura que la mayoría de los profesionales (38%) suele contar al menos con un título de grado, aunque también existe un 12% que solo cuenta con estudios de educación secundaria finalizados. Como vimos el año pasado en un artículo publicado por estas mismas fechas sobre la formación de los profesionales en la ciberseguridad, si bien cada vez más universidades alrededor del mundo ofrecen carreras de grado en seguridad informática, aún no es una titulación que pueda encontrarse en todas las instituciones. Muchos profesionales que se desempeñan en este campo adquirieron sus habilidades a través de certificaciones y de manera autodidacta.
Por otra parte, los profesionales que actualmente se desempeñan en ciberseguridad cuentan, en promedio, con cuatro certificaciones de seguridad ofrecidas por diferentes organizaciones. Esto les permite, en general, percibir un mejor salario que aquellos que no cuentan con certificaciones, aunque en algunas regiones como Estados Unidos o Asia-Pacífico la diferencia salarial en estos casos es mayor que en Europa o América Latina.
En América Latina y el Caribe la formación académica presenta mucha disparidad en los diferentes países de la región. Así lo demuestra el Reporte de Ciberseguridad 2020 elaborado por la OEA y el BID, en el que se destaca a países como Argentina, Chile, Colombia, Costa Rica, Guyana, México, Paraguay, República Dominicana, Trinidad y Tobago y Uruguay, dado que casi en su totalidad cuentan con una política o estrategia nacional de ciberseguridad y han desarrollado una oferta educativa, tanto pública como privada, que considera la formación especializada en ciberseguridad tanto desde el punto de vista técnico como jurídico. Sin embargo, en dos tercios de los países de América Latina y el Caribe se presentan pocas o nulas mejoras en cuanto al nivel de madurez en materia de educación, capacitación y desarrollo de habilidades en ciberseguridad y la oferta de formación especializada en seguridad digital en la mayoría de estos países es inexistente o tiene carácter de incipiente, y usualmente considera sólo la dimensión técnica de la ciberseguridad, asegura el reporte.
Áreas qué más profesionales ocupan
Dependiendo de su infraestructura, las organizaciones suelen conformar equipos de seguridad orientados a atender diferentes sectores o estructuras de la empresa, siendo los equipos encargados de la seguridad del área de operaciones, seguido por el área de administración, gestión de riesgo y compliance los que más profesionales ocupan, seguidos por desarrollo seguro de software, pruebas de penetración o forense.
Como ya mencionamos, existen diferentes roles en el mundo de la ciberseguridad y cada uno requiere el manejo de determinadas habilidades y conocimientos para poder realizar cierto tipo de tareas. Según el estudio, quienes se desempeñan actualmente en el campo de la ciberseguridad y TI se sienten a gusto con sus carreras y son optimistas en cuanto al futuro. Asimismo, los profesionales encuestados al ser consultados sobre las áreas específicas en las que consideran que necesitan desarrollar o mejorar sus habilidades, contestaron: seguridad en la nube, evaluación, análisis y gestión de riesgos, gobernanza, gestión de riesgo y compliance, análisis de inteligencia de amenazas y seguridad, monitoreo de redes, detección de intrusión, pruebas de penetración, e ingeniería de seguridad y gestión.
El valor de los programas de Bug Bounty y de divulgación responsable de vulnerabilidades
Los programas de bug bounty han sido una importante forma de atraer a los profesionales a la industria. Lo mismo los programas de divulgación responsable de vulnerabilidades que muchas empresas llevan adelante. Estas iniciativas, además de mejorar la seguridad de diferentes productos o servicios, representan una motivación para jóvenes —y no tan jóvenes— que buscan aprender y demostrar sus conocimientos, además de obtener dinero, ya que ocurre muchas veces que jóvenes con talento desconocen la posibilidad de iniciar una carrera en el campo de la seguridad.
Por lo tanto, es probable que indirectamente estos programas estén resultando útiles para que los jóvenes encuentren una forma de canalizar y demostrar sus aptitudes para una buena causa y no desde la vereda del cibercrimen. En muchos casos personas talentosas y curiosas suelen sentir a edades muy tempranas (12 a 15 años de edad) cierta atracción por transgredir los límites de la legalidad en Internet en busca de reconocimiento de sus pares más allá del dinero. De hecho, a lo largo de los años han sido varios los casos de jóvenes que han sido responsables de importantes ataques, como fue el ataque a Twitter de este año en el que un adolescente de 17 años fue acusado de ser la cabeza responsable del incidente en el cual comprometieron varios perfiles verificadas de figuras mundialmente conocidas para llevar adelante una estafa millonaria.
Si bien los programas de Bug Bounty y de divulgación responsable de vulnerabilidades no son la solución a la falta de profesionales, al menos ayudan en el mientras tanto a reducir parcialmente la escasez de talento, ya que les permite poner al servicio de la seguridad de las organizaciones y sus productos —y por ende de los usuarios—los conocimientos y capacidades que tienen muchas personas con talento y que no trabajan de manera formal en la industria.