Crisis persistente. Este es el cariz que está tomando la escasez de especialistas formados en ciberseguridad para los analistas y consultoras tecnológicas. El Foro Económico Mundial, lo constata en su estudio Strategic Cybersecurity Talent Framework: se necesitan, de forma urgente, más de cuatro millones de expertos en ciberseguridad para cubrir puestos que no encuentran profesionales formados disponibles.
Al ritmo actual, dicho estudio afirma que la brecha entre oferta y demanda de talento en ciberseguridad aumentará hasta los 85 millones de profesionales para 2030. Ello se debe a la dinámica actual del mercado, con ciberataques creciendo de forma exponencial y cada vez más sofisticados, así como a la llegada de la IA, que está exponiendo a las empresas a nuevas ciberamenazas», afirman Iván Sánchez e Isaac Gutiérrez, ambos directores académicos del máster de Ciberseguridad de la Universidad CEU San Pablo.
«En el mundo de la ciberseguridad, trabajan perfiles muy diversos, desde muy técnicos a más de gestión», precisa Gutiérrez, también CEO de la empresa Atalanta Evolution. Y aunque en todo el ámbito de la ciberseguridad, la demanda es alta, ha evolucionado particularmente hacia algunas áreas especializadas. «Ciertos roles técnicos son actualmente muy demandados, como los analistas e ingenieros de ciberseguridad, analistas N2/N3 de SOC, especialistas de seguridad Cloud o de respuesta a incidentes, pentesters y ethical hackers, así como ingenieros DevSecOps o arquitectos de Seguridad», dice Sánchez, desde su conocimiento como CISO en ALS.
Además, Gutiérrez señala la búsqueda de perfiles relacionados con «la gestión de la ciberseguridad, como especialistas en gestión de riesgos y cumplimiento, o especialistas en privacidad así como roles directivos senior». Y, por supuesto, el boom reciente de profesionales de ciberseguridad con conocimientos de IA.
Queda claro que la demanda y oferta no acaban de encontrarse. En este contexto, las instituciones educativas trabajan por una convergencia que aún está lejana. Por esa razón, según expone Santiago Torres, director del máster en Ciberseguridad de la Universidad Europea, «la demanda de este tipo de posgrados está subiendo en los últimos años». Torres expone que en ellos se forma tanto «en asignaturas enfocadas al concepto de GRC (gobernance, risk and compliance), como en otras enfocadas a la seguridad en las redes y en el desarrollo de aplicaciones así como las especificas en seguridad defensiva y ofensiva».
Se trata de posgrados en los que la parte práctica debe rondar la mitad de la enseñanza, según Torres, y el entrenamiento en compañías a través de convenios resulta clave. Por ejemplo, el máster del CEU, combina docencia teórica con laboratorios prácticos de hacking, masterclass y trabajo final, amén de la experiencia práctica real en empresas.
La demanda de expertos en ciberseguridad es transversal. Se da en todos los sectores de actividad, pues todas las organizaciones gestionan datos, sistemas o servicios digitales. No obstante, Luis Jesús Ríos, director del máster en Big Data de ESIC Business & Marketing School, señala que hay ámbitos donde son fundamentales: «Áreas de data security, gobierno y riesgos y expertos en detección de amenazas mediante IA y analítica avanzada para automatizar la defensa». Entre los sectores que más expertos en ciberseguridad necesitan por sus características y regulación destacan la banca, los seguros, las fintech o las infraestructuras críticas.También el ámbito de la salud y las administraciones públicas.
PREPARACIÓN PARA NORMAS
La ciberseguridad vive una transformación acelerada. A la irrupción masiva de la IA y la creciente sofisticación de los ciberataques se une la llegada de nueva normativa europea. Según Álvaro del Hoyo, technology strategist de la empresa de ciberseguridad CrowdStrike, eso ha disparado más la demanda. Y es que «las organizaciones se replantean sus estrategias de protección digital», dice.
Directivas como la NIS2, que no ha sido traspuesta aún a España, azuzan a las empresas para prepararse con más especialistas. «La NIS2 ha transformado la ciberseguridad de opción técnica a una obligación legal de la alta dirección de empresas», cuenta Ríos. Y es que tener conocimientos en normativas -ISO 27001, GDPR o NIST- o gestión de proyectos IT es importante para este tipo de experto. Pero, además, Del Hoyo detalla la necesidad adicional de directores financieros en comités de crisis, abogados o perfiles de márketing o relaciones públicas que estén coordinados con los perfiles más técnicos de respuesta a incidentes.
Por otro lado, para Ríos son claves las soft skills, sin olvidar que la ciberseguridad es un área en continua evolución. «Las amenazas en infraestructuras tecnológicas avanzan más rápido que la formación académica, por lo que hay que mantenerse en un estado de reskilling permanente».