En la era digital actual, en la que casi todos los aspectos de nuestra vida están interconectados y dependen de la tecnología, la ciberseguridad desempeña un papel crucial. Para protegerse de las ciberamenazas, es esencial contar en las empresas con profesionales formados en seguridad informática.
Sin embargo, las tendencias actuales muestran que hay escasez de expertos, especialmente en el campo de la ciberseguridad. Según McKinsey, las administraciones federales, estatales y locales carecen ya de 39.000 profesionales de TI. Para 2030, se espera que esta cifra aumente a 140.000. El Institut für die deutsche Wirtschaft (Instituto de Investigación Económica) confirma este dato y afirma que en 2022 quedarán 68.000 puestos de TI sin cubrir. A continuación puede leer las razones de esta escasez y sus posibles consecuencias.
La creciente demanda de expertos en ciberseguridad
La demanda de expertos en ciberseguridad se ha disparado en la última década. Entretanto, 9 de cada 10 empresas declaran haber sido víctimas de la ciberdelincuencia en forma de ciberataques, pero también de espionaje industrial o sabotaje. Por tanto, las empresas están obligadas a invertir en la ciberseguridad de su propia organización y a dar la máxima prioridad al tema de la seguridad informática. Los siguientes aspectos refuerzan aún más esta evolución:
- El panorama de las amenazas, en constante evolución: las ciberamenazas son cada vez más complejas y diversas. Por lo tanto, es necesario que las empresas empleen a expertos que puedan identificar y combatir eficazmente estos retos.
- Cumplimiento legal: las normativas y los requisitos legales, como la actual directiva NIS-2, estipulan que debe prevalecer un cierto nivel de seguridad informática en las empresas. En particular, las empresas de sectores críticos, pero también de sectores importantes debido a la directiva NIS-2, deben cumplir estos requisitos. Además, las estrictas normativas de protección de datos, como el GDPR, exigen ciertas medidas para garantizar la seguridad de los datos. Cada vez se necesitan más especialistas para su correcta ejecución e implementación.
- Conceptos de trabajo a distancia: La pandemia de Corona ha trasladado el lugar de trabajo de muchos empleados a sus propias cuatro paredes. Incluso después de la pandemia, muchas empresas se aferran al concepto de oficina en casa. Para ofrecer a los empleados un espacio de trabajo seguro y no poner así en peligro su propia infraestructura de seguridad informática, los expertos deben estar constantemente de guardia para contrarrestar amenazas como la aparición de la TI en la sombra.
- Internet de las cosas: A medida que más y más dispositivos se conectan, comunican e interactúan, la infraestructura de TI también se vuelve más compleja. Si un dispositivo es manipulado o atacado por ciberdelincuentes, la interrupción o el fallo pueden propagarse rápidamente a los dispositivos conectados. Se necesitan conocimientos especializados para protegerse de las amenazas y de las posibles vulnerabilidades.
Esto explica por qué hay tanta demanda de expertos en TI y ciberseguridad. Pero, ¿cómo es posible que la demanda de expertos supere a la oferta y que la falta de personal experimentado se haya convertido en un problema tan grave? Una vez más, se pueden citar varios factores que han contribuido a ello:
- Rápidos avances tecnológicos: las ciberamenazas evolucionan con rapidez, y las competencias necesarias para defenderse de ellas deben seguir el mismo ritmo. Los programas tradicionales de formación en ciberseguridad suelen tener dificultades para adaptarse a estos rápidos cambios.
- Falta de educación y formación: Según el Instituto de la Economía Alemana, sólo el año pasado faltaron casi 34.000 trabajadores cualificados. La razón es que no había trabajadores debidamente cualificados para estos puestos. Lo preocupante es que, según los expertos, de momento no se vislumbra ninguna mejora, ya que el número de estudiantes de matemáticas, informática, ciencias naturales y tecnología en los primeros semestres universitarios ha disminuido en los últimos años.
- Altas tasas de rotación: El panorama siempre cambiante y la alta presión en los puestos de ciberseguridad pueden llevar al agotamiento y a una alta rotación. Esta rotación dificulta a las empresas la creación de un equipo de ciberseguridad constante.
- Jubilación relacionada con la edad: Otro factor que no debe subestimarse es que los trabajadores cualificados se jubilan. El Instituto de la Economía Alemana también ha publicado cifras al respecto: según éstas, cabe suponer que para 2030 más de 1,5 millones de empleados abandonarán la función pública por motivos de edad.
- Competencia por el talento: empresas de casi todos los sectores compiten por una reserva limitada de talento en ciberseguridad. La competencia es, por tanto, inmensa. Esto también repercute en los salarios. El talento es cada vez más caro, y las pequeñas y medianas empresas y las organizaciones sin ánimo de lucro, en particular, tienen dificultades para contratar a profesionales de la ciberseguridad porque no pueden hacer frente a los salarios exigidos.
- Cada vez más profesionales miran al mercado laboral de forma global: la globalización significa que los jóvenes profesionales, en particular, ya no sólo se plantean un trabajo en su país de origen, sino que amplían su búsqueda a todo el mundo. Muchas personas con talento buscan un reto y están dispuestas a trabajar en el extranjero, por un tiempo limitado, pero también de forma permanente. Por otra parte, las empresas internacionales están explícitamente interesadas en contratar talentos de distintas partes del mundo para poner en común su experiencia, sus conocimientos y su saber hacer. En particular, las grandes empresas mundiales ejercen un cierto tirón que resulta atractivo e interesante para los jóvenes talentos.
Consecuencias de la escasez de trabajadores cualificados
La falta de expertos cualificados en ciberseguridad tiene consecuencias de gran alcance. Por ejemplo, las empresas con equipos de ciberseguridad insuficientemente formados corren mayores riesgos. Esta inadecuación las hace más vulnerables a una serie de amenazas, como ciberataques, fugas de datos y pérdidas financieras. En caso de ciberemergencia, la falta de profesionales experimentados en ciberseguridad puede ralentizar los tiempos de respuesta. Estos retrasos proporcionan a los atacantes una mayor ventana de oportunidad para infligir daños mayores y más generalizados. Las consecuencias de una respuesta demasiado tardía o ineficaz a un incidente cibernético pueden ser graves. Por un lado, el coste de remediar el incidente de seguridad informática puede aumentar drásticamente y superar los recursos de una empresa. Además, hay otras consecuencias negativas, como interrupciones del negocio, pérdida de datos, sanciones contractuales y un daño significativo a la imagen y reputación de la empresa.
La falta de expertos en TI y ciberseguridad también puede repercutir negativamente en el progreso tecnológico. Por ejemplo, se pueden ralentizar las innovaciones o incluso obstaculizar la introducción de nuevas tecnologías. El miedo a los posibles riesgos de seguridad puede hacer que las empresas sean reacias a cambiar las estructuras existentes. A largo plazo, esto puede afectar a la competitividad de una empresa en un panorama empresarial en constante evolución.
En el ámbito del cumplimiento de la legislación y la normativa, la protección de datos es una de las principales preocupaciones. Si las empresas carecen de personal cualificado y, por tanto, de medidas de seguridad suficientes, se exponen al riesgo de elevadas multas y consecuencias legales en caso de incidente de seguridad informática. El incumplimiento de las leyes de protección de datos añade otra capa de posibles complicaciones legales. El impacto de unos equipos de ciberseguridad insuficientemente formados y con poco personal va, por tanto, mucho más allá de la situación de amenaza inmediata e incluye retos financieros, operativos y legales.
¿Cómo debe abordarse el problema en el futuro?
La escasez de profesionales cualificados en ciberseguridad es un problema grave que puede afectar a cualquier empresa. A medida que evoluciona el panorama digital, las empresas deben invertir en programas de educación y formación, diversificar sus prácticas de contratación y fomentar una cultura de ciberseguridad para hacer frente a este creciente desafío. Reducir la brecha de competencias es fundamental no solo para la protección de datos sensibles, sino también para la estabilidad y seguridad generales de nuestro mundo cada vez más conectado.
Si no es posible que las empresas formen a sus propios talentos o creen sus propios departamentos de TI, sin duda hay otras formas de aumentar la concienciación cibernética dentro de su propia organización. Proveedores de servicios como Perseus ofrecen formatos de formación que sensibilizan a los empleados sobre los tipos de ataques y métodos utilizados por los ciberdelincuentes, ayudando a prevenir ataques y a garantizar una respuesta correcta y rápida en caso de ciberemergencia. Los expertos informáticos externos y las líneas directas de ciberemergencia también ofrecen apoyo en caso de emergencia y pueden así evitar males mayores.
Actualmente se está elaborando legislación a nivel nacional en la UE para aplicar la nueva directiva (NIS-2), promulgada para reforzar la ciberresiliencia en Europa. Esta directiva NIS-2 establece medidas que deben cumplir las empresas tanto de sectores importantes/esenciales como críticos. Para aplicar posteriormente estos requisitos, las empresas recurren a profesionales cualificados con formación específica y amplia en TI y ciberseguridad.
Para poder resolver este problema a largo plazo, sin duda hacen falta iniciativas por parte de la política. Deberían crearse incentivos e impulsos para que los jóvenes profesionales decidan estudiar o formarse en las áreas de seguridad informática y ciberseguridad. También habría que crear programas para los que cambian de carrera y recompensar y promover los esfuerzos de las empresas por formar a especialistas en TI.