Para resolver los complejos problemas de ciberseguridad, distintos sectores deben aumentar la cantidad de profesionales dedicados a ella. Es necesario eliminar las barreras de entrada en este campo, y dar más oportunidades educativas para que personas cualificadas con distintos estudios puedan cubrir el déficit creciente de profesionales de TI y ciberseguridad. Para compensar la falta de profesionales cualificados, las soluciones automáticas deben ser más complejas.

Se sabe que el déficit de profesionales cualificados en ciberseguridad está afectando a la capacidad de las empresas para gestionar la seguridad de las cada vez más complejas redes de información. Un estudio realizado en 2016 por McAfee y el Center for Strategic and International Studies (CSIS), "Hacking the Skills Shortage" , desveló que este déficit no es un problema regional o nacional, sino mundial. El 82 % de los participantes en el estudio de todo el mundo mencionó la falta de conocimientos de ciberseguridad en sus organizaciones y el 71 % reconoció que el déficit hace que las organizaciones sean más vulnerables a los agresores.

Se prevé que el problema se agudice en los próximos años. De acuerdo con el estudio de febrero de 2017 Global Information Security Workforce Study realizado por (ISC)2, se estima que en 2022 faltarán 1,8 millones de profesionales. Para corregir este déficit, los responsables de la elaboración de políticas deberían animar a un segmento mayor de la población a elegir profesiones técnicas, en concreto, en ciberseguridad.

La falta de profesionales en este ámbito es especialmente grave en la Administración federal de Estados Unidos. De acuerdo con Tony Scott, ex director general de la información de Estados Unidos, unos 10 000 puestos de trabajo federales para ciberprofesionales quedaron vacantes porque no hubo suficientes candidatos cualificados para ocuparlos. Dado el papel vital que juegan departamentos como el de Defensa o de Seguridad Nacional, o las agencias de inteligencia, en la protección de Estados Unidos, esta falta de conocimientos es preocupante y merece que los responsables de la elaboración de políticas le presten atención.

En mayo de 2017, el presidente Donald Trump firmó una orden ejecutiva en materia de ciberseguridad que pide al secretario de comercio y al secretario de seguridad nacional evaluar el alcance y la idoneidad de los esfuerzos de la Administración para formar a los profesionales de ciberseguridad estadounidenses del futuro. La orden ejecutiva contempla evaluar planes de estudios y programas de prácticas, desde la educación primaria hasta la superior.

Por qué es importante para McAfee

Una de nuestras principales iniciativas es garantizar que haya un suministro creciente de profesionales de ciberseguridad en todos los niveles. Es nuestro compromiso colaborar con los sectores público y privado para corregir el déficit sistémico de profesionales de ciberseguridad apoyando políticas y asociaciones con escuelas y universidades. Este compromiso activo también nos permite estrechar lazos en las comunidades en las que operamos, lo que a su vez nos ayuda a contratar y retener al tipo de profesionales que necesitamos para que nuestra empresa crezca.

McAfee, empresa líder en ciberseguridad, hace todo lo que está en su mano para reducir la falta de profesionales y compensarla. Estamos convencidos de que la automatización inteligente en entornos integrados debe utilizarse para reemplazar recursos humanos que hasta ahora se dedicaban a realizar tareas rutinarias. La automatización contribuirá a mejorar la defensa de las organizaciones, lo que se logra mediante directivas configuradas que impulsan la automatización inteligente y contextual, de forma que los humanos se puedan dedicar a lo que saben hacer mejor: pensar y actuar.

Puntos clave

El intercambio de los sectores público y privado

Debemos desarrollar formas creativas de cooperar para que los sectores público y privado puedan compartir conocimientos, en particular durante eventos significativos de ciberseguridad. La ciberseguridad es un área que cambia con rapidez, y lo que es válido hoy puede no serlo mañana. Sabemos que el adversario innova y cambia de rumbo constantemente, a menudo como reacción a nuevas defensas desarrolladas por el sector privado. No es realista pensar que los funcionarios públicos expertos en ciberseguridad puedan mantener el ritmo de un entorno que cambia a gran velocidad sin la asistencia del sector privado. Debemos diseñar un mecanismo que permita a los ciberprofesionales —en particular a analistas o quienes estén preparándose para serlo— ir y venir entre el sector público y el privado, de forma que la experiencia de los organismos públicos se actualice de forma constante.

Una forma de conseguirlo sería que el Departamento de Seguridad Nacional se asociara con empresas y universidades para formar cuadros de profesionales de ciberseguridad —operadores, analistas e investigadores— autorizados a transitar libremente entre los servicios de los sectores público y privado. Estos profesionales, en particular los del sector privado, podrían estar de guardia para ayudar a entidades afectadas y a la Administración a responder a tiempo a un gran ataque. Los profesionales de ciberseguridad de los sectores público y privado se beneficiarían de rotaciones laborales de dos o tres semanas al año. Este tipo de intercambio ayudaría a compartir los procedimientos recomendados para la tecnología, los procesos de negocio y la gestión de los recursos humanos. El Departamento de Seguridad Nacional debería contar con un grupo flexible de profesionales certificados tanto del sector público como del privado dentro de un plan nuevo de contratación y retención de profesionales de ciberseguridad. Si Seguridad Nacional no está preparada para actuar, el Congreso debería nombrar un comité de expertos independiente que estudie cómo formar un cuadro de profesionales de ciberseguridad y gestionarlo. El mejor modelo para terminar con el déficit de recursos podría ser contar con una dotación de personal flexible, similar a la de la Guardia Nacional.

Expansión del programa CyberCorps

El programa de becas CyberCorps Scholarship for Service (SFS) de la National Science Foundation (NSF) está diseñado para reforzar el cuadro de especialistas federales en seguridad de la información que protegen los sistemas y redes de la Administración de Estados Unidos. Hasta hoy, la Administración federal se ha comprometido a respaldar el programa SFS y ha gastado 45 millones de dólares en 2015, 50 millones en 2016, 70 millones en 2017 y hay 40 millones en la solicitud de presupuesto para 2018. Una inversión de 40 millones paga el programa completo de becas para algo más de 1500 estudiantes. Dada la escala del déficit de profesionales cibernéticos, los responsables de la elaboración de políticas deberían incrementar significativamente la dotación del programa. Una inversión de 180 millones financiaría aproximadamente 6400 becas, lo que mitigaría a corto plazo el déficit de profesionales.

Crear un programa de formación profesional

Los centros de formación profesional atraen a distintos tipos de estudiantes, desde graduados de escuelas secundarias hasta veteranos de guerra u otros adultos con experiencia que desean cambiar de profesión. Con inversiones públicas y privadas, los centros de formación profesional podrían financiar cursos específicos de TI y ciberseguridad. Profesores de los centros y expertos del sector privado impartirían las clases de un plan de dos años a los estudiantes interesados, que de esta forma obtendrían un certificado. Este certificado les permitiría acceder a un programa de cuatro años e incorporarse de inmediato al mercado de trabajo. Como en el programa CyberCorps, quienes finalicen los estudios ocuparían puestos de trabajo federales donde pasarían el mismo tiempo que el período de la beca, trabajando en un puesto público garantizado. Un programa de estas características no reemplaza, pero sí complementa, el actual programa CyberCorps, muy valorado.

Educación primaria y secundaria

Es fundamental informar a los estudiantes de primaria y secundaria de que la ciberseguridad es una carrera profesional apasionante que tiene un gran impacto positivo en la sociedad. Datos recientes de Microsoft muestran que las niñas europeas se interesan por las ciencias, la tecnología, la ingeniería o las matemáticas a la edad de 11 años, pero el interés empieza a decaer a los 15, lo que ilustra la necesidad de captar la atención y alentar a las jóvenes durante esos años esenciales.

Debemos contratar más profesores, pero es importante recordar que la ciberseguridad es un campo de estudio único y que por tanto requiere de un tipo de enseñanza también único. Los expertos del sector tienen gran y variada experiencia, lo que les permite hacer más interesante la formación de profesionales eficientes de ciberseguridad. Además, los estudiantes adquieren valiosos conocimientos derivados de la experiencia práctica.

Aumento considerable de la diversidad

La profesión de experto en ciberseguridad podría beneficiarse de la diversidad en muchos sectores. La presencia de mujeres en este campo es de solo un 11 % en todo el mundo, de acuerdo con el informe Women in Cybersecurity elaborado por el Center for Cyber Safety and Education and Executive Women’s Forum on Information Security, Risk Management and Privacy. En Norteamérica, las mujeres constituyen solamente el 14 % de los profesionales de ciberseguridad. El porcentaje de afroamericanos es incluso menor, ya que son solo el 3 % de los analistas de seguridad de la información en Estados Unidos, de acuerdo con las cifras del Bureau of Labor Statistics. Formar y contratar más mujeres y personas de color ayudaría a reducir el déficit de profesionales.

Además, podemos atraer a más mujeres y a más personas con perfil filantrópico si explicamos bien cómo la ciberseguridad ayuda a las personas. Por ejemplo, las mujeres tienen mayor presencia en los campos de ingeniería biomédica y medioambiental, campos que los estudiantes pueden correlacionar directamente con la ayuda a la humanidad. La ciberseguridad es claramente un campo desde el que se ayuda a proteger y empoderar a las personas. Si somos capaces de transmitir de forma eficaz qué significan estos estudios, las jóvenes y mujeres muy competentes podrían ocupar puestos vacantes para reducir el déficit creciente de 1,5 millones de profesionales.

Automatizar funciones rutinarias

Una estrategia final y a largo plazo para abordar el problema del déficit de profesionales de ciberseguridad es desarrolla sistemas cada vez más automatizados, en particular tecnologías avanzadas que incorporen el aprendizaje automático y la inteligencia artificial. Una arquitectura automatizada ayuda a reducir el déficit dado que disminuye el trabajo rutinario del personal de ciberseguridad y TI, y les permite centrarse en determinar qué medidas correctoras requieren la intervención y el análisis humanos. Confiar en soluciones cada vez más automatizadas y sofisticadas será eficaz y necesario. Aunque nuestra tecnología mejora rápidamente, todavía estamos lejos de reducir el déficit de profesionales de ciberseguridad. Debemos trabajar simultáneamente en estos dos imperativos: formar más profesionales de ciberseguridad y automatizar las tareas rutinarias para que puedan dedicarse a otras más complejas.

Thomas Gann

Director general de políticas corporativas

Correo electrónico

Kent Landfield

Estratega jefe para la política sobre estándares y tecnología

Correo electrónico

Chris Hutchins

Director de políticas públicas, EMEA

Correo electrónico