Déficit de profesionales de la ciberseguridad

Contexto

business-discussions-2males-laptop-2

Para resolver los problemas de seguridad más complejos a los que las organizaciones se enfrentan hoy día, el sector, el Estado y las universidades deben aumentar de forma considerable la cantidad de profesionales de la ciberseguridad. Es necesario eliminar las barreras de entrada en ese campo, y dar más oportunidades educativas para asegurarse de que personas cualificadas con distintos estudios puedan cubrir el déficit creciente de profesionales de TI y ciberseguridad. Para compensar la falta de profesionales cualificados, las soluciones automáticas deben ser más complejas.

Se sabe que el déficit de profesionales cualificados en ciberseguridad está afectando a la capacidad de las empresas para gestionar la seguridad de las cada vez más complejas redes de información. Un estudio realizado en 2016 por McAfee y el Center for Strategic and International Studies (CSIS), "Hacking the Skills Shortage", desveló que este déficit no es un problema regional o nacional, sino que es mundial. El 82 % de los participantes en el estudio de todo el mundo mencionó la falta de conocimientos sobre ciberseguridad en sus organizaciones y el 71 % reconoció que el déficit hace que las organizaciones sean más vulnerables a los agresores.

Se prevé que el problema se agudice en los próximos años. De acuerdo con el estudio de febrero de 2017 Global Information Security Workforce Study realizado por (ISC)2, se estima que en 2022 faltarán 1,8 millones de profesionales. Para corregir este déficit, los responsables de la elaboración de políticas deberían animar a un segmento mayor de la población a elegir profesiones técnicas, en concreto, en ciberseguridad.

La falta de profesionales en este ámbito es especialmente grave en la Administración federal de Estados Unidos. De acuerdo con Tony Scott, ex director general de la información de Estados Unidos, había unos 10 000 puestos de trabajo federales vacantes para ciberprofesionales, pero no hubo suficientes candidatos cualificados para ocuparlas. Dado el papel vital que juegan departamentos como el de Defensa o de Seguridad Nacional, o las agencias de inteligencia, en la protección de Estados Unidos, esta falta de conocimientos es preocupante y merece que los responsables de la elaboración de políticas le presten atención.

En mayo de 2017, el presidente Donald Trump firmó una orden ejecutiva en materia de ciberseguridad que pide al secretario de comercio y al secretario de seguridad nacional evaluar el alcance y la idoneidad de los esfuerzos de la Administración para formar a los profesionales de la ciberseguridad estadounidenses del futuro. Esto supone evaluar planes de estudios y programas de prácticas, desde la educación primaria hasta la superior.

Por qué es importante para McAfee

Una de nuestras principales iniciativas es garantizar que haya un suministro creciente de profesionales de la ciberseguridad en todos los niveles. Es nuestro compromiso colaborar con los sectores público y privado para corregir el déficit sistémico de profesionales de la ciberseguridad apoyando políticas y asociaciones con escuelas y universidades. Este compromiso activo también nos permite estrechar lazos en las comunidades en las que operamos, lo que a su vez nos ayuda a contratar y retener al tipo de profesionales que necesitamos para que nuestra empresa crezca.

McAfee, empresa líder en ciberseguridad, hace todo lo que está en su mano no solo para reducir la falta de profesionales, sino también para compensarla. Estamos convencidos de que la automatización inteligente en entornos integrados debe utilizarse para reemplazar recursos humanos que hasta ahora se dedicaban a realizar tareas rutinarias. La automatización contribuirá a mejorar la defensa de las organizaciones, lo que se logra mediante directivas configuradas de manera organizativa que impulsan la automatización inteligente y contextual, de forma que los humanos se puedan dedicar a lo que saben hacer mejor: pensar y actuar.

Puntos clave

El intercambio recíproco de los sectores público y privado

Debemos desarrollar formas creativas de cooperar para que los sectores público y privado puedan compartir conocimientos, en particular durante eventos significativos de ciberseguridad. La ciberseguridad es un área que cambia con rapidez, y lo que es válido hoy puede no serlo mañana. Sabemos que el adversario innova y cambia de rumbo constantemente, a menudo como reacción a nuevas defensas desarrolladas por el sector privado. No es realista pensar que los funcionarios públicos expertos en ciberseguridad puedan mantener el ritmo de un entorno que cambia a gran velocidad sin la asistencia del sector privado. Debemos diseñar un mecanismo que permita a los ciberprofesionales —en particular analistas o quienes estén preparándose para serlo— ir y venir entre el sector público y el privado, de forma que la experiencia de los organismos públicos se actualice de forma constante.

Una forma de conseguirlo sería que el Departamento de Seguridad Nacional se asociara con empresas y universidades para formar cuadros de profesionales de la ciberseguridad —operadores, analistas e investigadores— autorizados a transitar libremente entre los servicios de los sectores público y privado. Estos profesionales, en particular los del sector privado, podrían estar de guardia para ayudar a entidades afectadas y a la Administración a responder a tiempo a un gran ataque. Los profesionales de la ciberseguridad de los sectores público y privado se beneficiarían de rotaciones laborales de dos o tres semanas al año. Este tipo de intercambio recíproco ayudaría a compartir los procedimientos tecnológicos recomendados, los procesos de negocio y la gestión de personas. El Departamento de Seguridad Nacional debería contar con un grupo flexible de profesionales certificados tanto del sector público como del privado dentro de un plan nuevo de contratación y retención de profesionales de la ciberseguridad. Si Seguridad Nacional no está preparada para actuar, el Congreso debería nombrar un comité de expertos independiente que estudie cómo formar y gestionar un cuadro de profesionales de la ciberseguridad. El mejor modelo para terminar con el déficit de recursos podría ser contar con una dotación de personal flexible, similar a la de la Guardia Nacional.

 

Expansión del programa CyberCorps

El programa de becas CyberCorps Scholarship for Service de la National Science Foundation (NSF) está diseñado para reforzar el cuadro de especialistas federales en seguridad de la información que protegen los sistemas y redes de la Administración de Estados Unidos. Hasta hoy, la Administración federal se ha comprometido a respaldar el programa SFS y ha gastado 45 millones de dólares en 2015, 50 millones en 2016, 70 millones en 2017 y hay 40 millones en la solicitud de presupuesto para 2018. Una inversión de 40 millones paga el programa completo de becas para algo más de 1500 estudiantes. Dada la escala del déficit de profesionales cibernéticos, los responsables de la elaboración de políticas deberían incrementar significativamente la dotación del programa. Una inversión de 180 millones financiaría aproximadamente 6400 becas, lo que mitigaría a corto plazo el déficit de profesionales.

 

Crear un programa de formación profesional

Los centros de formación profesional atraen a distintos tipos de estudiantes, desde graduados de escuelas secundarias hasta veteranos de guerra u otros adultos con experiencia que desean cambiar de profesión. Con inversiones públicas y privadas los centros de formación profesional podrían financiar cursos específicos de TI y ciberseguridad. Profesores de los centros y expertos del sector privado impartirían las clases de un plan de dos años a los estudiantes interesados, que de esta forma obtendrían un certificado. Este certificado les permitiría acceder a un programa de cuatro años o acceder al mercado de trabajo de inmediato. Como en el programa CyberCorps, quienes finalicen los estudios ocuparían puestos de trabajo federales donde pasarían el mismo tiempo que el período de la beca, trabajando en un puesto público garantizado. Un programa de estas características no reemplaza, pero sí complementa, el actual programa CyberCorps, muy valorado.

 

Educación primaria y secundaria

Es fundamental informar a los estudiantes de primaria y secundaria de que la ciberseguridad es una carrera profesional apasionante que tiene un gran impacto positivo en la sociedad. Datos recientes de Microsoft muestran que las niñas europeas se interesan por las ciencias, la tecnología, la ingeniería o las matemáticas a la edad de 11 años, pero el interés empieza a decaer a los 15, lo que ilustra la necesidad de captar la atención y alentar a las jóvenes durante esos años esenciales.

Debemos contratar más profesores, pero es importante recordar que la ciberseguridad es un campo de estudio único y que por tanto requiere de un tipo de enseñanza también único. Los expertos del sector tienen gran y variada experiencia, lo que les permite hacer más interesante la formación de profesionales eficientes de la ciberseguridad. Además, los estudiantes adquieren valiosos conocimientos derivados de la experiencia práctica.

 

Aumento considerable de la diversidad

La profesión de experto en ciberseguridad podría beneficiarse de la diversidad en muchos sectores. La presencia de mujeres en este campo es de solo un 11 % en todo el mundo, de acuerdo con el informe  Women in Cybersecurity redactado por el Center for Cyber Safety and Education and Executive Women’s Forum on Information Security, Risk Management and Privacy. En Norteamérica, las mujeres constituyen solamente el 14 % de los profesionales de la ciberseguridad. El porcentaje de afroamericanos es incluso menor, ya que son solo el 3 % de los analistas de seguridad de la información en Estados Unidos, de acuerdo con las cifras del Bureau of Labor Statistics. Formar y contratar más mujeres y personas de color ayudaría a paliar el déficit de profesionales. Curiosamente, muchos de los que la sociedad tradicionalmente considera como rasgos "femeninos" están muy valorados en la ciberseguridad: la colaboración, el trabajo en equipo y la creatividad son solo algunos de ellos.

Además, podemos atraer a más mujeres y a más personas con perfil filantrópico si explicamos bien cómo ayuda la ciberseguridad a las personas. Por ejemplo, las mujeres tienen mayor presencia en los campos de ingeniería biomédica y medioambiental, campos que los estudiantes pueden correlacionar directamente con la ayuda a la humanidad. La ciberseguridad es claramente un campo desde el que se ayuda a proteger y empoderar a las personas. Si somos capaces de transmitir qué significan estos estudios de forma eficaz, las jóvenes y mujeres muy capaces podrían ocupar puestos vacantes para reducir el déficit creciente de 1,5 millones de profesionales.

 

Automatizar funciones rutinarias

Una estrategia final y a largo plazo para abordar el problema del déficit de profesionales de la ciberseguridad es desarrolla sistemas cada vez más automatizados, en particular tecnologías avanzadas que incorporen el aprendizaje automático y la inteligencia artificial. Una arquitectura automatizada ayuda a reducir el déficit dado que disminuye el trabajo rutinario del personal de ciberseguridad y TI, y les permite centrarse en determinar qué medidas correctoras requieren la intervención y el análisis humanos. Confiar en soluciones cada vez más automatizadas y sofisticadas será eficaz y necesario. Aunque nuestra tecnología mejora rápidamente, todavía estamos lejos de reducir el déficit de profesionales. Debemos trabajar simultáneamente en estos dos imperativos: formar más profesionales de la ciberseguridad y hacer que su trabajo sea más complejo al automatizar las tareas rutinarias.