Los investigadores dicen que el talento cibernético en ciberseguridad está disponible en el mercado laboral de Occidente (EEUU y Europa), pero, a menudo, no se encuentra -aunque se tenga delante- porque los requisitos de contratación de las empresas para los trabajos cibernéticos tienen poco que ver con lo que las empresas necesitan.
Parece absurdo, pero pensando un poco, no lo es tanto. Occidente sigue en buena parte obsesionada con la “titulitis”, literalmente, "exceso de títulos universitarios, que priman, ante las empresas, por encima de las capacidades profesionales del individuo". Un experto/a en ciberseguridad (un hacker, por ejemplo) puede tener conocimientos necesarios para proteger los datos privados de los clientes de un gran banco pero si el "hacker" no tiene tres carreras universitarias y dos master por Harvard y Stanford, el banco rechaza al candidato. Así de absurdo.
Una encuesta entre grandes empresas norteamericanas llevada a cabo por Advice Strategic Consultants para el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información (International Information System Security Certification Consortium) dio como resultado que el empleo mundial en el campo de la seguridad cibernética debería crecer un 89% para cumplir con los requisitos de seguridad necesarios para las empresas. El informe dio el mismo resultado de otra manera: el 89% de los puestos de trabajo necesarios en ciberseguridad para empresas en EEUU y Europa no se cubren por las compañías porque no encuentran a los candidatos adecuados.
"El 89% de los puestos de trabajo necesarios en ciberseguridad para empresas en EEUU y Europa no se cubren por las compañías porque no encuentran a los candidatos adecuados".
¿Quién es el problema? Muy sencillo. Aquellos que definen los requisitos profesionales y de formación para cubrir un puesto en ciberseguridad. En muchos casos, estos decisores -de Recursos Humanos, RRHH o de Sistemas de Información o TI- no son expertos en ciberseguridad. Ni ellos mismos están actualizados conforme a los nuevos tiempos de la Digitalización y sus tecnologías les resultan conocidas solo en teoría, pero no en la práctica. En consecuencia, cuando tienen enfrente al candidato ideal para cubrir un puesto en ciberseguridad, no lo reconocen si no tiene los requisitos que ellos exigen.
No es de extrañar que empresarios exitosos en tecnologías de la información (TIC/Digital) sean “dropouts”: personas muy inteligentes que abandonan sus estudios para fundar una empresa y lo hacen de manera muy exitosa. Casos muy notorios son Steve Jobs con Apple, Mark Zuckerberg con Facebook, Larry Ellison con Oracle, Bill Gates y Steve Ballmer con Microsoft, Larry Pager y Sergei Brin con Google (Alphabet), Michael Dell con Dell Computers (hoy DellEMC)…, hay un largo etcétera en el mundo de las TI-Digitales.
Ninguno de ellos terminó sus estudios universitarios, todos son genios en ciencias de la información y todos son fundadores de empresas muy exitosas, hasta el punto que son las más y mejor valoradas en los mercados de valores, a día de hoy: Apple (2,3 trillones de dólares), Microsoft (,1,62 trillones de dólares), Facebook (casi 800 billones de dólares), etc. Repetimos: las personas más ricas del planeta y dueños de las empresas más exitosas y valoradas del mundo no acabaron sus estudios. La excepción sería Jeff Bezos, fundador de Amazon, quien acabó sus estudios de ingeniería en Princeton y se fue a trabajar a Wall Street antes de ponerse a vender libros por Internet.
La conclusión es la siguiente: las empresas necesitan millones más de profesionales de la ciberseguridad para ocupar puestos necesarios en empresas de todo el mundo, pero los datos dicen que el problema son los requisitos laborales extravagantes, más que la falta de trabajadores con talento. De hecho, se necesitan alrededor de 3,1 millones de profesionales para cerrar la brecha de talento en ciberseguridad. Y, como vimos antes, el empleo mundial en ciberseguridad necesitaría crecer un 89% para cumplir con los requisitos de necesarios para garantizar la ciberseguridad de bancos, gran distribución y alimentación, operadoras de telecomunicaciones, empresas tecnológicas y digitales, etc.
Sin embargo, los requisitos excesivos de años de experiencia y certificaciones profesionales, además de las expectativas infladas para los puestos junior son habituales, según Forrester. Eso da como resultado el problema perpetuo de que tales puestos no se ocupen porque las empresas a menudo buscan candidatos super-cualificados cuyos salarios deberían ser mucho más elevados que los que estos puestos de trabajo tienden a ofrecer. De nuevo, la oferta y la demanda no se encuentran a la hora de cubrir las necesidades de talento profesional en ciberseguridad en las empresas.
Primero vimos que las empresas ponen énfasis desorbitado en exigir títulos universitarios. “El saber no ocupa lugar” suele decir mi madre. Pero, muchas veces, el estudio no es conocimiento, ni la inteligencia es sabiduría. De nuevo, acudimos a los ejemplos de autodidactas informáticos, expertos en computación cuántica, inteligencia artificial, cloud, conectividad, big data, etc como Mark Zuckerberg, Bill Gates, Larry Ellison, Sergei Brin, Larry Page, Steve Jobs… Si hubieran acabado sus estudios, es altamente probable que no hubiesen fundado sus empresas y, en el mejor de los casos, habrían acabado como asalariados en una gran empresa, “amargadillos de la vida”.
Esto es lo que le sucedió al co-fundador de Apple, Steve Wozniak, quien abandonó Apple porque -entre otros motivos, como que quería que la informática fuera cosas de unos pocos ingenieros, versus Steve Jobs que “quería poner un ordenador en cada hogar”- prefería un puesto de trabajo seguro y un salario estable en Hewlett-Packard. Lo cuenta muy bien la gran biografía sobre Steve Jobs de Walter Isaacson y las dos películas tituladas Steve Jobs y Jobs, protagonizadas, respectivamente por Michael Fassbender y Ashton Kutcher, éste último muy conocido como actor, productor y exmodelo en Hollywood, pero poco conocido por su exitosa trayectoria profesional como inversor en empresas TIC en Silicon Valley.
Los anuncios de trabajo de ciberseguridad y los anunciados el pasado mes de noviembre en firmas inmobiliarias, bancos, consultoras y otras grandes empresas en los EE. UU. y Europa, solicitaban habitualmente al menos de dos a cuatro años de experiencia y conocimiento de disciplinas avanzadas. Los profesionales que obtienen “certificados”, como la certificación “Certified Information Security Systems Professional” (CISSP), pueden tener una ventaja para encontrar trabajo, pero las propias organizaciones que otorgan dichos certificados de educación continua, piensan que es desconcertante y contraproducente que “el certificado” sea un requisito de entrada en las ofertas de trabajo de ciberseguridad. Muchos candidatos válidos, bien se desaniman y acaban montando su propia startup o son rechazados y buscan otra clase de empleo
La Cyberspace Solarium Commission, un organismo federal establecido para analizar la preparación en materia de ciberseguridad de EE. UU., recomendó en un informe de septiembre que las agencias federales deberían considerar candidatos “con antecedentes académicos o profesionales no tradicionales”. Otras comisiones que estudian la inteligencia artificial y la seguridad nacional estadounidense han hecho recomendaciones similares.
Nuestro informe concluye que, si se produjese este cambio y las empresas primasen los conocimientos por encima de los títulos universitarios, al tiempo que se ofreciesen salarios acordes con los puestos, sería evidente que, “en realidad, no hay escasez de talento, sino escasez de conocimiento sobre las personas válidas que están cualificadas en ciberseguridad”.
Jorge Díaz Cardiel, Socio Director de Advice Strategic Consultants. Autor de “Digitalización y Éxito Empresarial”, “Digitalización, productividad y competividad: empresas más exitosas gracias a la transformación digital”, “Inteligencia Artificial, Internet de las Cosas, Big Data y Éxito Empresarial.