Una serie de graves violaciones de la seguridad digital ocurridas el año pasado son un llamado de atención a las empresas de Estados Unidos sobre la necesidad de invertir en ciberseguridad.El viernes se produjo un nuevo recordatorio del riesgo de los ciberataques, ya que Microsoft dijo que los cibercriminales que estaban detrás de la brecha de 2020, Solar Winds, lanzaron un nuevo ataque a más de 150 agencias gubernamentales, grupos de reflexión y otras organizaciones a nivel mundial.
Pero tal vez el ejemplo reciente más llamativo sea el ataque de ransomware a Colonial Pipeline, que obligó a la empresa a cerrar temporalmente el oleoducto, lo que provocó escasez de combustible y subidas de precios en varios estados durante varios días. El problema le costó a Colonial al menos US$ 4,4 millones, la cantidad que su CEO admitió haber pagado a los hackers.
En las semanas anteriores al ataque, la empresa había publicado una oferta de empleo para un director de ciberseguridad.
«Hasta donde yo sé, este es el primer incidente de ciberseguridad que ha provocado un impacto económico medible en la población estadounidense», dijo Jonathan Reiber, director senior de ciberseguridad y política de AttackIQ y el jefe de estrategia para la política cibernética del secretario de Defensa del gobierno de Obama.
«Debería ser algo que despertara a la gente», dijo.
Según los expertos, la lección que se desprende de estos fallos de seguridad es que ya es hora de que las empresas empiecen a invertir en controles sólidos y, en particular, a incorporar profesionales de la ciberseguridad a sus equipos.
El único inconveniente: hay una escasez masiva y prolongada de mano de obra en el sector de la ciberseguridad.
«Es una guerra de talentos», afirma Bryan Orme, director de GuidePoint Security. «Hay una escasez de oferta y un aumento de la demanda».
Millones de puestos de trabajo sin cubrir
Los expertos han vigilado la escasez de mano de obra de ciberseguridad durante al menos una década, y ahora, un nuevo aumento en las empresas que buscan contratar después de los recientes ataques podría exacerbar el problema.
Las apuestas no hacen más que crecer, a medida que la tecnología evoluciona y los delincuentes se vuelven más avanzados.
En Estados Unidos, hay unos 879.000 profesionales de la ciberseguridad en activo y una necesidad no cubierta de otros 359.000 trabajadores, según una encuesta realizada en 2020 por (ISC)2, una organización internacional sin ánimo de lucro que ofrece programas de formación y certificación en ciberseguridad.
A nivel mundial, la brecha es aún mayor, con casi 3,12 millones de puestos sin cubrir, según el grupo. Su CEO, Clar Rosso, dijo que cree que la necesidad puede ser mayor, dado que algunas empresas pospusieron la contratación durante la pandemia.
Las necesidades van desde los analistas de seguridad de nivel básico, que supervisan el tráfico de la red para identificar posibles agentes maliciosos en un sistema, hasta los líderes de nivel ejecutivo que pueden explicar a los CEO y a los directores de las juntas directivas los posibles riesgos financieros y de reputación de los ciberataques.
La Oficina de Estadísticas Laborales de EE.UU. prevé que el «analista de seguridad de la información» será la décima ocupación de más rápido crecimiento durante la próxima década, con una tasa de crecimiento del empleo del 31%, en comparación con la tasa promedio de crecimiento del 4% para todas las ocupaciones.
Si la demanda de profesionales de la ciberseguridad en el sector privado aumenta drásticamente, algunos expertos afirman que los trabajadores con talento podrían abandonar la administración pública en busca de empleos corporativos más lucrativos, un riesgo que es especialmente grave para las agencias gubernamentales locales más pequeñas que gestionan infraestructuras críticas en sus comunidades pero que tienen presupuestos limitados.
«Piensa en cuán crítico es lo que hace tu gobierno local: la purificación del agua, el tratamiento de los residuos, la gestión del tráfico, las comunicaciones para las fuerzas del orden, la seguridad pública, la gestión de emergencias», señaló Mike Hamilton, jefe de seguridad de la información en Critical Insight. «Pero Amazon está por ahí agitando bolsas de dinero para proteger su operación de venta al por menor».
Hamilton, que fue jefe de seguridad de la información de Seattle, Washington, de 2006 a 2013, añadió que los gobiernos locales «no pueden atraer y retener a estas personas cuando la competencia por ellas es tan alta, por lo que necesitamos que haya muchas».
No es una solución a corto plazo
Una serie de programas de educación, formación y perfeccionamiento ya están trabajando para hacer frente a la escasez.
GuidePoint ayuda a formar a los veteranos que abandonan el ejército para profesiones relacionadas con la ciberseguridad. Y Hamilton, de Critical Insight, dirige una organización sin ánimo de lucro llamada Public Infrastructure Security Cyber Education Systems, a través de la cual los estudiantes de cinco universidades adquieren experiencia práctica en la supervisión de la seguridad de los datos en tiempo real de las redes de los gobiernos locales, proporcionando un servicio crucial para las pequeñas ciudades y condados que de otro modo no podrían pagarlo.
Los expertos afirman que también existe la oportunidad de atraer nuevos talentos al sector centrándose en la diversidad. Solo el 25% de los profesionales de la ciberseguridad son mujeres, por lo que (ISC)2 lanzó este año un programa de diversidad, equidad e inclusión destinado a reclutar y mantener a más mujeres en la profesión, comentó Rosso.
«Tenemos que reconocer que hay una gran diversidad de personas que pueden hacer muy bien este trabajo», dijo Hamilton, refiriéndose a los analistas de seguridad que supervisan el tráfico en una red para buscar comportamientos que puedan indicar que un actor malintencionado ha accedido al sistema. «Como país, no estamos aprovechando muy bien los recursos que tenemos».
Mientras tanto, a medida que el sector trabaja para aumentar su mano de obra, podría ser una gran oportunidad para las empresas proveedoras de servicios y software que pueden ayudar a las empresas a reforzar sus protocolos de ciberseguridad sin contratar a sus propios equipos.
Porque incluso con los programas de formación existentes, se espera que el déficit de mano de obra en ciberseguridad a nivel mundial aumente entre un 20% y un 30% anualmente en los próximos años, dijo Rosso de (ISC)2. Los expertos afirman que tanto el sector público como el privado deben invertir más en el crecimiento de la mano de obra del sector.
Algunas partes del Plan de Empleo Estadounidense de US$ 2 billones del presidente Joe Biden podrían ayudar. La propuesta de infraestructuras incluye una partida de US$20.000 millones para que los gobiernos estatales, locales y de las tribus actualicen y mejoren los controles de ciberseguridad de sus sistemas energéticos.
Aun así, los expertos dicen que hay más por hacer, y sugieren un amplio replanteamiento de los sistemas educativos, desde la escuela primaria hasta la educación superior, para incluir más formación en ciberseguridad.
«Lamentablemente, no hay una solución a corto plazo», afirma Orme, de GuidePoint. «Creo que tenemos que adoptar una visión a largo plazo, como hacen muchos de nuestros adversarios, para decir: ¿cómo podemos formar sistemáticamente a la próxima generación y a la siguiente y crear un flujo de talento cualificado en materia de seguridad que se incorpore a la fuerza de trabajo en los próximos 50 a 100 años?»