Los profesionales en ciberseguridad han sido históricamente los bichos raros de cualquier organización. No hace demasiado tiempo, si alguien mencionaba en una compañía las palabras “firewall, antivirus o malware”, generaba una alarma que hacía que los directivos se miraran de soslayo, desconcertados frente a un empleado que parecía venir de otro planeta y que hablaba un idioma desconocido.
¿Empresas concienciadas con la ciberseguridad?
Afortunadamente esa situación ha cambiado. Actualmente, esos mismos directivos han descubierto que tienen empleados que no son extraterrestres, aunque su “idioma” a alguno le resulte aún desconocido.
La ciberseguridad ha ganado peso en las compañías con un impacto directo en sus organigramas directivos y funcionales.
Si a día de hoy el CEO de una organización desconoce lo que es la ciberseguridad tiene un serio problema. Probablemente, el “bicho raro” sea él.
Sin embargo, y en su defensa, cabe mencionar que la ciberseguridad actual tiene muchos frentes de acción.
La variedad de perfiles en torno a las funciones que desempeñan ha evolucionado tanto que en ocasiones resulta difícil de acotar. La diversidad de funciones ha abierto tanto el abanico que ha dado paso a nuevas necesidades que añaden además la dificultad de su contratación.
Mercado y recursos profesionales
El mercado de la ciberseguridad a nivel global —y dependiendo de los analistas que lo acoten— se estima entre los 150 mil y 190 mil millones de dólares anuales para un total de 5,5 millones de empleos directos.
Solo en España, el sector de la ciberseguridad factura casi 2.300 millones de euros y ocupa a algo más de 182.000 profesionales.
Según esos mismos estudios, en 2023, el segmento de la ciberseguridad presentaba a nivel global un déficit de prácticamente cuatro millones de profesionales —StationX—.
Extrapolándolo al ámbito nacional, el último análisis realizado en 2022 por el INCIBE indicaba que en 2024 serían necesarios más de 83.000 nuevos profesionales en ciberseguridad —ObservaCiber en 2022—.
Una estimación que posiblemente se quede corta con los crecimientos anuales superiores al 7% previstos para el próximo quinquenio.
De cualquier forma, este déficit de profesionales no es exclusivo de España. De forma agregada, en Europa se estima un déficit de más de 340.000 ingenieros solo en 2024, que se añadirían a las más de 1,3 millones de personas que actualmente lo ocupan.
El dilema de los salarios
Lo llamativo de estos datos no solo reside en la evidente escasez de recursos cualificados que demanda el mercado, sino también en el coste que supone para las empresas contratarlos, junto con su posterior retención.
En 2023 más de la mitad de las compañías a las que se les planteó esta pregunta manifestaron que uno de los grandes problemas que percibían era precisamente ese, la retención del talento —informe de Fortinet sobre el mercado de la ciberseguridad en 2023—.
Las oportunidades de crecimiento profesional en el sector permiten a un ingeniero de ciberseguridad sin ninguna experiencia adquirir conocimientos y responsabilidades a nivel medio en apenas 3 años.
Esta evolución trae consigo inquietudes personales que tienden a reflejarse en importantes mejoras salariales. Pero no propias de su empleador, sino externas.
Muchas empresas admiten la dificultad de competir en un mercado donde la demanda supera a la oferta. En consecuencia, aceptan con resignación el juego de actuar de formadores de profesionales que en poco tiempo serán tentados quizás con proyectos tecnológicos no más atractivos, pero sí con sueldos sensiblemente más altos.
Aun así, la dispersión de salarios puede resultar amplia dependiendo del país donde se resida.
El mercado norteamericano, por ejemplo, es el que presenta salarios más elevados con más de 50 mil dólares anuales para un ingeniero de ciberseguridad sin experiencia que quiera desarrollar su carrera profesional prestando servicios técnicos de análisis, despliegue y soporte a la operación de servicios de ciberseguridad —GETGIS—.
En contraste, el mercado español ofrece menos de la mitad de esa cantidad para un ingeniero recién titulado. Según algunos indicadores, las empresas que contratan profesionales de ciberseguridad en España solo están dispuestos a ofrecer esos salarios a ingenieros con varios años de experiencia —y aquí la horquilla es muy amplia —Worldsalaries.com—.
Perfiles profesionales
Esa dispersión está justificada en las funciones que los profesionales de ciberseguridad desempeñan dentro de una empresa: operadores de SOC, ingenieros de ciberseguridad, analistas y arquitectos de red, auditores, pentesters, desarrolladores, ingenieros de malware, forenses, responsables de gestión de incidentes, CISOs, etc.
En definitiva, las áreas de especialización son amplias y diversas; y los requisitos y habilidades profesionales para desempeñarlas también.
La previsión es que crezca la solicitud de ingenieros de seguridad, analistas de seguridad e ingenieros de respuesta a incidentes —Xcede—.
A todo ello hay que unir la proliferación de nuevos perfiles emergentes que son demandados a medida que nuevas apuestas tecnológicas adquieren la debida madurez. Profesionales de la ciberseguridad en la nube, ciberseguridad en entornos de Inteligencia Artificial, expertos en el cifrado de información o ingenieros de seguridad en Blockchain son algunas de las áreas que están adquiriendo mucho protagonismo durante los últimos años.
Formación, certificación y retención de talento
Sea cual sea el perfil en ciberseguridad que una empresa trate de incorporar dentro de su organización ha de admitirse que nos encontramos ante un sector donde la formación de los profesionales es clave para hacer frente a la criticidad de las funciones que desempeñan.
Ante este escenario, es necesario que la sociedad tome conciencia de la relevancia de la ciberseguridad en nuestras vidas y dedique esfuerzos a su formación, tanto académica como de concienciación ciudadana.
Asimismo, debe establecer procedimientos de evaluación de esos conocimientos con procesos de certificación profesional bien definidos, extendidos y homologables (CISSP, CSIM, CISA, CompTIA+, OSSTMM…). Con ellos se hará posible establecer medidas de avance tanto en cualificación como en eficiencia de servicios.
Además, ha de incorporar medidas de retención/atracción de los profesionales; proponer proyectos y desafíos técnicamente interesantes, así como, y muy especialmente, recompensar de forma justa a sus profesionales.
Si obviamos estos aspectos —como ocurre en muchos otros mercados— una de las primeras consecuencias a las que tendremos que hacer frente será la fuga de talento. Y entonces, muy probablemente, el daño causado superará el coste que hubiera supuesto llevarlo a cabo.
Porque, según los analistas, los eventos de ciberseguridad generan pérdidas empresariales de más de 60.000 millones de dólares anualmente. Todo ello sin considerar otro tipo de consecuencias sociales o de servicios que afectan a un modo de vida que tenemos ya casi totalmente digitalizado.
