La escasez de talento en el campo de la ciberseguridad es un mal endémico, no solo de las compañías españolas, sino de las organizaciones de los cinco continentes. Lejos de caer en el manido “mal de muchos”, hemos querido poner el foco en cómo se aborda este problema en distintos países de Europa, América y Asia, promoviendo la concienciación, formación, captación y retención de los profesionales de este campo.
Para ello, repasaremos las iniciativas, programas y proyectos que se están llevando a cabo en España, en uno de nuestros vecinos europeos, Francia, y en las dos superpotencias económicas y tecnológicas globales: Estados Unidos y China, con el fin de conocer y comparar las diferentes estrategias para impulsar la creación de talento en ciberseguridad.
El enfoque español
Pese a ser un elemento imprescindible de los procesos de transformación digital, la ciberseguridad adolece en España, como en casi todas las naciones de nuestro entorno, de un déficit de talento, que en nuestro país se cifra en 24.000 trabajadores. El estudio Análisis y diagnóstico del talento de ciberseguridad en España, realizado por el Instituto Nacional de Ciberseguridad (INCIBE), indica que el mercado de la ciberseguridad en España generó en 2020 cerca de 1.500 millones de euros y, según IDC, alcanzará los 2.000 millones de euros en 2024. En 2022, el sector empleaba a más de 120.000 personas.
Identificar, atraer, desarrollar y retener el talento ha de ser una prioridad para consolidar la industria española de la ciberseguridad y garantizar un entorno que facilite el desarrollo tecnológico de nuestro país. En esta línea, el INCIBE tiene en la promoción y detección de este talento uno de los objetivos clave de su Plan Estratégico 2021-2025, alineado con los objetivos de la Estrategia Nacional de Ciberseguridad y el Plan España Digital 2025.
El desarrollo del talento en ciberseguridad compete tanto a las Administraciones Públicas como a las empresas privadas y las instituciones educativas. En este sentido, en España destacan cinco iniciativas, en los ámbitos de concienciación, detección y promoción de los futuros expertos en seguridad cibernética.
En el primer ámbito, tenemos "Internet Segura for Kids (IS4K)" y "Comenzamos con Ciberseguridad". Mientras que el primero proporciona múltiples recursos para que los educadores puedan transmitir conocimientos sobre ciberseguridad a los estudiantes y promover el uso responsable de Internet entre los niños y adolescentes, "Comenzamos con Ciberseguridad", por su parte, es un recurso educativo del INCIBE dirigido a niños de entre 5 y 8 años, para que aprendan a utilizar las tecnologías de forma segura y positiva y eviten riesgos.
Con el fin de detectar el talento joven con potencial en ciberseguridad y promover la formación de futuros profesionales, la Guardia Civil organiza la National Cyberleague, una competición en la que los participantes asumen desafíos y demuestran sus capacidades en campos como el hacking ético, jurídico, comunicación, etc. Este torneo, que ya va por su cuarta edición y del que Escudo Digital es media partner, ha congregado a más de 3.500 participantes desde que inició su andadura.
Además, es un escenario ideal para que los miembros de la industria y las instituciones públicas puedan compartir conocimientos y experiencias con los jóvenes. En su última edición, la National Cyberleague ha apostado por impulsar la participación de los estudiantes de Formación Profesional y el emprendimiento, apoyando proyectos empresariales presentados por los equipos participantes para intentar que se transformen en startups reales.
Por su parte, la Policía Nacional disponen de C1b3rWall, el proyecto del cuerpo policial creado en 2018 para que las fuerzas de seguridad, pero también los ciudadanos, dispongan de una formación continua en ciberseguridad. Después de prácticamente cinco años, el balance, como explicó recientemente en estas mismas páginas Casimiro Nevado, inspector jefe y coordinador de C1b3rWall, es muy positivo: “El proyecto surgió con la idea de hacer un pequeño evento para reunirnos policías y profesionales, y ese pequeño evento se convirtió en un congreso de 4.000 asistentes en la primera edición, y de 5.000 en la segunda, y con la vertiente online, que es el C1b3rWall Academy, que en las dos primeras ediciones hemos tenido más de 100.000 alumnos de 82 países. Creo que ninguno de nosotros esperábamos una difusión y una repercusión del proyecto de esta envergadura, y por lo tanto estamos muy contentos porque estamos cumpliendo los objetivos que nos habíamos propuesto”.
Respecto al emprendimiento, existe un programa denominado "INCIBE Emprende", dotado con 191 millones de euros y dirigido a emprendedores y startups de ciberseguridad. "INCIBE Emprende" tiene entre sus objetivos el apoyo a la creación de nuevas empresas de ciberseguridad, la internacionalización de startups, el fomento de la innovación y la atracción de inversiones.
Junto a estas iniciativas, el Instituto Nacional de Ciberseguridad también está trabajando con las instituciones educativas en el fomento de los programas formativos oficiales y no oficiales, la FP relacionada con ciberseguridad y la autoformación como alternativa o complemento a la formación reglada. También recomienda el reciclaje de profesionales desde otras áreas de la tecnología hacia la ciberseguridad cuando no se disponga del talento necesario.
En el lado de las empresas, las recomendaciones incluyen crear una cultura de atracción e incorporación del talento, contar con una taxonomía clara de puestos de ciberseguridad en la compañía, mejorar los modelos retributivos y establecer planes de desarrollo profesional.
Francia, la importancia de implicar a todos los actores
La ciberseguridad supone un mercado relevante en Francia: en 2020 generó 6.000 millones de euros y da trabajo a más de 40.000 personas, aunque, al igual que en el resto del mundo, existe una carencia de talento, que en nuestro vecino del Norte se cifra en 120.000 puestos de trabajo. Destaca la escasez de habilidades relativas al “desarrollo de software” y la “detección de intrusiones”, problemas que afectan al 78% y el 73% de las organizaciones francesas respectivamente, según un estudio realizado por McAfee.
La formación de talento y la construcción de capacidades es uno de los cinco objetivos estratégicos de la Estrategia Nacional Francesa para la Seguridad del Ámbito Digital. La formación pasa por tres fases: sensibilización de los estudiantes ante los riesgos ligados a la digitalización de la sociedad, formación inicial y formación continua, para dar respuesta a la creciente demanda de empresas y administraciones en materia de ciberseguridad.
En el primer caso, el Ministerio de Educación Nacional, el de Enseñanza Superior e Investigación y la Secretaría de Estado para la Economía Digital han impulsado un programa de sensibilización de todos los franceses sobre la seguridad digital y los comportamientos inadecuados en el cibersespacio, con el apoyo del Servicio de Información del Gobierno y de la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI).
En cuanto a la formación, la Agencia Nacional de Seguridad de los Sistemas de Información, un organismo interministerial creado en 2009, se encarga, entre otras acciones, de promover el conocimiento técnico. La ANSSI ofrece cursos de formación impartidos por sus expertos, destinados a funcionarios y personal militar. Hay tanto cursos cortos como un curso de ciclo largo para obtener el título de Experto en Seguridad de Sistemas de Información (ESSI).
Además, ANSSI participa en varios programas para promover el reconocimiento de la formación continua e inicial en el campo de la ciberseguridad. SecNum es una de las iniciativas estrella, que integra a los actores relevantes de la industria y garantiza educación de calidad en ciberseguridad. Por ejemplo, ofrece el MOOC SecNumacadémie, un curso en línea para enseñar a mejorar la seguridad en el puesto de trabajo, con conceptos básicos de ciberseguridad útiles en el trabajo y en el hogar.
Otro programa, SecNumedu, certifica la formación en ciberseguridad de acuerdo a unos criterios definidos por expertos y profesionales de la industria. Este programa se dirige a las instituciones de enseñanza superior que ofrecen grados de ingeniería o másters.
La consolidación de capacidades técnicas y científicas en materia de ciberseguridad es otro punto clave para la protección de la información y el desarrollo de una economía digital confiable, según las autoridades francesas. Con este objetivo, se ha creado un grupo de trabajo de expertos que identificará las tecnologías, como la seguridad de la infraestructura crítica y el cloud computing, cuyo dominio es necesario para los sectores relacionados con la seguridad digital. Junto a ello, evaluará las necesidades de formación inicial y continua, diseñará el asesoramiento a los jóvenes y prestará especial atención a la investigación.
Cyber Campus France es un espacio de 25.000 metros cuadrados en el distrito parisino de La Défense, que reúne a un millar de expertos en ciberseguridad.
El objetivo último es transferir los conocimientos adquiridos por las administraciones y las instituciones educativas al sector privado para que este pueda hacerse cargo de su propia ciberseguridad. De esta forma, los servicios del Estado únicamente tendrían que intervenir en caso de crisis grave. Esta transferencia de conocimientos hacia el sector privado, junto a la certificación de proveedores competentes y de confianza, permitiría afrontar el incremento del número de ataques que sufren las organizaciones francesas.
Esta colaboración entre el sector público y el privado se refleja también en el Cyber Campus France, un espacio de 25.000 metros cuadrados en el distrito parisino de La Défense, que reúne a un millar de expertos en ciberseguridad. Aquí participan actores privados, como Orange Cyberdefense, Thalès o Atos, junto a pequeñas y medianas empresas; instituciones académicas como el Institut National de Recherche en Sciences et Technologies du Numérique (INRIA) y actores públicos como la ANSSI. El campus alberga también el CERT (Equipo de Respuesta ante Emergencias Informáticas) interbancario francés, además de varios Centros de Operaciones de Seguridad y laboratorios.
Estados Unidos apuesta por la concienciación y la capacitación
Uno de los pilares de la supremacía de Estados Unidos como potencia mundial, ahora enfrentada al auge de China, ha sido siempre la seguridad. Con la expansión de las actividades económicas, comerciales y también militares en el ciberespacio, el Departamento de Seguridad Nacional (DHS) ha establecido una Estrategia de Ciberseguridad basada en cinco puntos. Respecto al talento, el objetivo principal es mejorar la educación, la formación, el reclutamiento y la retención, de cara a desarrollar una fuerza laboral en ciberseguridad puntera a nivel mundial.
Actualmente, 880.000 personas trabajan en el sector de la ciberseguridad en EE.UU., pero se estima que existe un gap de 360.000 profesionales, según el Benchmark Internacional de Talento en Ciberseguridad realizado por el INCIBE. El Instituto Nacional de Estándares y Tecnología (NIST) y la Agencia de Seguridad de Infraestructuras y Ciberseguridad (CISA) estadounidenses trabajan para achicar esta brecha. Y a través de la Iniciativa Nacional para la Educación en Ciberseguridad (NICE), se da soporte a los programas para elevar la oferta de talento.
Actualmente, 880.000 personas trabajan en el sector de la ciberseguridad en EE.UU., pero se estima que existe un gap de 360.000 profesionales
Las líneas de actuación promovidas por estos organismos se resumen en mejorar la concienciación, identificar las necesidades en ciberseguridad, aumentar el número de expertos, la contratación de talento altamente capacitado, y la retención y desarrollo de ese talento. Las acciones van dirigidas a organizaciones, profesionales, estudiantes, docentes y minorías.
Dentro del apartado de concienciación se encuentran iniciativas como la campaña "Stop, Think, Connect", centrada en elevar el conocimiento de las amenazas cibernéticas, y el National Cybersecurity Awareness Month, que se celebra en octubre para concienciar sobre la importancia de mantenerse seguros y protegidos en línea.
Para mantener a todos los actores informados del trabajo que realiza en materia de ciberseguridad e infraestructuras, la CISA dispone de la biblioteca de publicaciones CISA Library. Además, ofrece un Cyber Resource Hub para realizar análisis de datos de evaluaciones que aporten información sobre amenazas, tendencias de vulnerabilidades y acciones de protección efectivas.
La capacitación es otro aspecto esencial para preparar a los futuros especialistas y mantener al día a los trabajadores actuales sobre habilidades y amenazas. El principal recurso en este campo es la National Initiative for Cybersecurity Careers and Studies (NICCS), que proporciona herramientas online de capacitación, educación y desarrollo del talento en ciberseguridad, conectando a la industria con estudiantes, empresas, funcionarios del Gobierno y profesores de todo el país.
Otro programa que busca reducir el déficit de expertos es el National Cyber Education Program, que ofrece formaciones en línea a 30 millones de alumnos y tres millones de profesores de Primaria y Secundaria, en colaboración con Discovery Education. Además, el DHS contribuye a la capacitación con la iniciativa "Cybersecurity Training and Exercices", mientras que la NSA dispone de los "NSA Resources for Students and Educators". Estos incluyen programas de desarrollo de habilidades como campamentos de verano, planes de estudio de ciberseguridad, patrocinio de competiciones, prácticas para estudiantes, becas y financiación de laboratorios y trabajos de investigación.
También se trabaja en reclutar y contratar talento altamente capacitado, agilizando el proceso de contratación y las autorizaciones de seguridad. Y por último, para retener y desarrollar ese talento, se promueve un enfoque empresarial que soporte la mejora continua de la fuerza laboral en ciberseguridad, con flexibilidad de contratación y compensación.
Para coordinar todas las iniciativas, el NIST ha implementado un framework de talento en ciberseguridad bajo el paraguas de la Iniciativa Nacional para la Educación en Ciberseguridad. El framework NICE pretende ser una referencia central, ofreciendo un lenguaje común para el Gobierno, la academia y el sector privado. NICE categoriza, organiza y define el trabajo relacionado con ciberseguridad, ayudando así a los empleadores a identificar, reclutar, desarrollar y retener el talento clave que requieren sus equipos de trabajo.
China: la formación en ciberseguridad como elemento crítico
La estrategia de ciberseguridad de la República Popular China se enfoca en asegurar el crecimiento económico, desarrollar su capacidad militar, hacerse con tecnologías emergentes dentro de las operaciones de ciberespionaje y garantizar la continuidad de sus sistemas, según el Benchmark Internacional de Talento en Ciberseguridad. Entre sus objetivos están impulsar la inversión en ciberseguridad en todo el tejido productivo y promover el despliegue y la aplicación de productos y servicios en esta área.
Una característica interesante del enfoque chino de promoción del talento es la relación entre academia y empresa, incentivando la contratación de personal especializado de las empresas como profesores a tiempo parcial.
Con el fin de desarrollar la industria de ciberseguridad china, el Ministerio de Tecnología anunció en 2021 un plan de acción de tres años, con una inversión estimada para 2023 de más de 32.300 millones de euros. Debido a que pervive una cierta dependencia de tecnologías extranjeras en este sector, China está apostando por establecer políticas que fomenten la innovación y el desarrollo y promoción de talento en ciberseguridad.
A día de hoy, China ostenta la tasa más alta de especialistas en ciberseguridad respecto al número de usuarios tecnológicos. Sin embargo, la escasez de talento se estima en 1,4 millones de profesionales. Por ello, el país mantiene sus planes de poner en marcha y consolidar escuelas de ciberseguridad de primer nivel mundial. Una característica interesante del enfoque chino de promoción del talento es la relación entre academia y empresa, vinculando a docentes y profesionales de la industria en un trabajo conjunto e incentivando la contratación de personal especializado de las empresas como profesores a tiempo parcial. Esto tiene mucho que ver con la apuesta del país por vincular el talento con capacidades prácticas, más allá de los títulos formativos.
Entre las iniciativas de promoción del talento que aportan valor a la industria de la ciberseguridad encontramos el Curso de Capacitación Administrativa de aplicación de la Ley de la Administración Nacional del Ciberespacio. El curso, que en su 13ª edición reunió a 120 alumnos, busca fortalecer la creación de equipos de aplicación de la ley y mejorar las capacidades referentes al sistema legal, el poder de Internet y el trabajo policial en red.
Además, la Administración del Ciberespacio de China, el principal regulador de Internet del país, y el Ministerio de Educación están inmersos desde 2017 en un plan de construcción de escuelas de ciberseguridad. La idea es crear entre cuatro y seis escuelas de primer nivel antes de 2027. Estas escuelas cuentan con programas interdisciplinares que abarcan ingeniería, leyes y gestión para capacitar al talento en ciberseguridad.
Otro de sus objetivos es poner en marcha laboratorios con empresas y unidades de investigación científica y realizar las tareas de investigación que les encomiende el Estado. Las universidades que forman parte de esta iniciativa reciben apoyo y recursos financieros del Gobierno chino.
Desde los medios de comunicación, diarios online como People’s Daily, la agencia Xinhuanet o la televisión educativa china colaboran con la Administración del Ciberespacio en la organización del Concurso Nacional de Habilidades y Conocimientos de Plataformas de Sitios Web. Esta competición reúne a millones de internautas para promover el aprendizaje y el uso práctico de los recursos web, con el fin de construir “Una mejor red doméstica”. El concurso, que tiene lugar en Pekín, se divide en tres etapas: ensayos, semifinales y finales.
Dentro de la Digital China Summit, un polo de reunión del ecosistema tecnológico chino, surgió el plan Digital China Construction and Development. En lo relativo a la ciberseguridad, dentro de este plan se han implementado medidas clave en el desarrollo de una integración profunda entre la ciberseguridad y el desarrollo militar-civil, se ha mejorado la gobernanza integral del ciberespacio y se ha consolidado el sistema de garantía de ciberseguridad.
En China existen programas de motivación en los que los profesionales de ciberseguridad realizan actividades culturales, visitan lugares emblemáticos y asisten a clases temáticas basadas en las enseñanzas y discursos del Partido Comunista Chino.
A estas iniciativas de formación e impulso del talento en ciberseguridad hay que añadir la construcción de centros específicos, entre los que destacan dos. El National Cybersecurity Center de Wuhan es un campus de 4.000 hectáreas que reúne siete centros de investigación, desarrollo de talento y emprendimiento, dos laboratorios de investigación y una Escuela Nacional de Ciberseguridad. Con 1.300 estudiantes graduados en 2022, se espera que la cifra se eleve a 2.500 graduados anuales a partir de este año. El NCC realiza eventos que atraen talento de todo el país y su incubadora ofrece a los estudiantes y las startups orientación empresarial y fondos de inversión.
En cuanto al ZTE Cybersecurity Lab, abierto por el fabricante de equipos de telecomunicaciones en Nanjing, tiene una doble función. Por un lado, proporciona a la industria y los reguladores el entorno de red integral 4G/5G y la infraestructura para realizar múltiples evaluaciones de seguridad independientes de productos, servicios y procesos, incluyendo revisión del código fuente, revisión de documentos o pruebas de penetración. Por otro, este laboratorio también es un lugar propicio para facilitar el desarrollo de capacidades, investigaciones en profundidad y exploraciones en el ámbito de la ciberseguridad.
Además, China realiza eventos en diferentes provincias que reúnen a los actores más importantes del mundo digital, de cara a desarrollar políticas y proyectos que impacten en todo el ecosistema de ciberseguridad chino. Otro aspecto distintivo de este ecosistema es el fomento del sentido de pertenencia y patriotismo que impregna a toda la sociedad china. En este sentido, existen programas de motivación en los que los profesionales de ciberseguridad realizan actividades culturales, visitan lugares emblemáticos y asisten a clases temáticas basadas en las enseñanzas y discursos del Partido Comunista Chino. Según los impulsores de estos programas, todo ello hace que el desempeño de los equipos sea más integro y responsable.