El verdadero problema no es que vayan a faltar profesionales en materia de Ciberseguridad, sino que no se van a poder encontrar tampoco en los próximos años. Los motivos son muchos, y semejante afirmación no genera paz sino más miedo todavía. El objeto de este post no es otro que, al identificar los problemas, podamos entre todos trabajar por aplicar las salvaguardas necesarias para corregirlos. Romper el círculo de inseguridad en el que nos encontramos.
La motivación de los actuales estudiantes
Quizás sean los años, que ya van dejando canas. Puedes que sea que cualquier tiempo pasado siempre fue mejor. Tal vez sea que vemos siempre la mota en el ojo ajeno y no la viga en el nuestro. Pero lo que está claro, es que la sensación general que tenemos es que cada vez hay menos ingenieros y estudiantes que salen de carreras técnicas.
Los cinco o seis años de ingenierías de hace años, se han visto reducidos a 4 años, juntando muchas materias y modificando muchos planes. Quizás sea esta reducción en contenidos, o quizás sean los cambios en las materias, pero lo que está claro es que faltan ingenieros, que sin detrimento del resto de profesiones, son fundamentales para el desarrollo de esta profesión.
Tal vez sea la crisis, o el esfuerzo en sacar la carrera, o tener que combinarla en muchos casos con trabajos diversos para poder pagarlas, pero sí que es cierto que la motivación de los estudiantes por estas materias no está teniendo mucho éxito.
Si no sabes difícilmente podrás enseñar
Todos conocemos los límites de las universidades, en las que los profesores que dan las clases deben de pasar duras pruebas para poder llegar, pero luego, el reciclaje de los mismos, en las materias más actuales, es harto complicado.
En las universidades privadas pasa algo parecido, puesto que para que se validen los estudios, deben de incorporar un gran número de doctores a sus claustros. Todo este panorama hace que los pocos profesores que logren pasar todas las pruebas no sean suficientes, o estén suficientemente actualizados en los contenidos, o en la realidad de la aplicación práctica de los mismos, para que los alumnos puedan tener una idea clara de la realidad.
Está claro que hay un claro desfase entre las necesidades actuales y los conocimientos o contenidos que se están ofreciendo. Y en muchos casos, dichos contenidos no llegan al mínimo exigible para poder ser útiles.
Si pagas con cacahuetes, sólo podrás contratar monos
Pese a la dureza de este título, se encuentra una gran verdad. Verdad que en la actualidad afecta a muchos sectores, donde se están tirando los precios en los servicios que se venden, por uno u otro motivo, pero que están haciendo que, aguas abajo, sólo se pueda pagar con cacahuetes.
De pequeño siempre escuche un refrán que decía: “aunque la mona se vista de seda, mona se queda”. Podremos pintar como queramos la situación, pero en ningún caso podremos decir que estamos en los precios del resto de Europa, ni tampoco, del resto de occidente. La culpa del destrozo de los sectores, de forma sistemática, la estamos consiguiendo realizar nosotros mismos siguiendo en este ciclo sin fin. Rotos grandes sectores, pasará lo mismo en la Ciberseguridad, donde las empresas quieren comprar duros a cuatro pesetas, y eso no existe.
Todo esfuerzo debe llevar pareja una recompensa, que por supuesto debe ser equiparable al esfuerzo realizado. Este es un motivo muy importante de por qué nos encontramos en esta situación, en especial si entendemos las dificultades que plantea el poder lograr formarse en estas materias, con respecto al beneficio que reportan. Romper con esta situación, es la única vía para conseguir seguridad.
Construimos sobre arena
La seguridad, en general, nunca se ha visto como un factor necesario y decisivo para el negocio, sino como un coste que había que reducir al mínimo. Como primaba por encima de todo la disponibilidad, y en muchos casos “asumir” el riesgo salía gratis, porque las consecuencias no se “pagaban”, se han cometido abusos sistemáticos en contra de la seguridad. Las bases sobre las que estamos construyendo la seguridad de hoy en día no son sólidas, y no sólo debemos de preocuparnos de lo que hacemos, sino también de lo que hicimos.
Los grandes problemas de seguridad perduran en el tiempo contra todo pronóstico, y no somos capaces de evitarlos. Las deficiencias en los sistemas es una tónica general en todos los productos que se entregan. La seguridad en el desarrollo ha sido una de las asignaturas pendientes en todas las compañías y es necesario cambiar la tendencia. El cambio será duro, porque seguiremos sufriendo vulnerabilidades hasta que consigamos modificar todos los componentes que se usen.
Romper el círculo es posible
Estas hipótesis deberían ser suficientes para iniciar el cambio:
- Es necesario crear grados de seguridad, que integren la seguridad en sus tres ámbitos (Lógico, Físico y Humano) en las Universidades.
- Los profesores deben combinarse con personal propio de las empresas que aporten la visión práctica y concreta de los contenidos a realizar. Hay que romper las estructuras que impiden que los profesionales puedan formar a sus sucesores.
- Deben crearse exigencias concretas de cumplimiento de la seguridad en el sector, tal y como apuntan la Directiva NIS y el nuevo GDPR, con multas millonarias si no se protege la seguridad desde un punto de vista holístico.
- Sin afectar a la libre competencia del mercado, los proveedores de seguridad deberían estar certificados, desde un punto de vista férreo y estricto, en la calidad y seguridad de los servicios que prestan, con objeto de generar garantías en los consumidores.
- Las áreas de seguridad deberán salir de los ámbitos parciales de otras áreas para situarse en puesto de control libres de partidismos internos. Es el único medio de conseguir que una seguridad adecuada y proporcionada a los riesgos.
- Los trabajos deben ser adecuadamente remunerados, tanto para las empresas que los venden, como para las personas que los ejecutan. La calidad tiene un precio, y no todo vale.
Origen: Se buscan 350.000 expertos en ciberseguridad
Si quieres puedes valorar la entrada
Has apuntado al centro del problema, y das con varias de las claves.
Echa un vistazo al grado en Seguridad de por ejemplo en la Antonio Nebrija… Más de 18.000€ por 4 años y un temario no mucho mejor al de Director de Seguridad en Infraestructuras Críticas que estudio yo por menos de 5.000€ en On-Line. Normativa y un poco de aplicación de seguridad física, y se acabó…
Pero Ciberseguridad, o simplemente redes, ni puñetera idea de quién es Turín, ni Tanenbaum, ni las capas OSI, ni un que es una x.x.x.x/24… como para saber qué es una PKI, o una simple AES… y si hay suerte sabrán que es la ISO 27001, pero ni idea de cómo correlacionar eso en GRC con la 22301, la 31000, y la 20000…
Cuentan en la ISO 27006 las competencias que debe tener un auditor de SGSI… 7.2 y clarifica en el 7.2.1.3.1 los pre-requisitos en nivel de educación,experiencia laboral,cursos y experiencia en el puesto.
Yo creo que deberían sacar una carrera técnica con dotes de cumplimiento legal y gestión empresarial…
Tal vez haya que recurrir a sistemas con métricas como ISACA, ISC2, AENOR, etc… para encontrar a los profesionales a día de hoy, mientras alguien piensa en una carrera como la que propongo.