El problema de la escasez de profesionales de la seguridad informática

.

Que hay una importante escasez de profesionales en el sector de la seguridad informática y de la información ya no es ninguna noticia. El problema es que esta escasez está suponiendo que el grado de vulnerabalidad de las organizaciones cada vez sea mayor. Cada día es más frecuente leer noticias acerca de incidentes de seguridad que han sufrido algunas empresas, muchas de ellas empresas multinacionales.

Se estima que en la actualidad y a nivel global hay una necesidad de 1 millón de profesionales de la seguridad informática. Cantidad que se quedará corta con el paso del tiempo y que en un corto plazo de tiempo puede ser mucho mayor. Al igual que existe una brecha digital a nivel de los conocimientos de un usuario a la hora de usar las nuevas tecnologías, esta brecha es mucho mayor si la centramos en el área de la seguridad. Y es que los ciberataques ahora son más sofisticados, mucho más difíciles de detectar en tiempo real, de pararlos y de mitigarlos.

Se necesitan profesionales de la seguridad capaces de poder identificar los patrones de ataque y saber reaccionar de forma correcta ante cualquier ciberataque. Muchas empresas confían sus sistemas de información con la sóla presencia de un UTM (Unified Threat Management, Gestión Unificada contra Amenazas) y antivirus en los equipos de escritorio. Mantener seguros los sistemas de información es mucho más que instalar un cortafuegos / IDS / IPS y antivirus en los ordenadores.

Hay que saber monitorizar el tráfico entrante y saliente en busca de patrones que puedan ser sospechosos, hay que saber reaccionar ante los nuevos ataques dirigidos (APT) y hay que saber cómo implementar las contramedidas oportunas para que no se vuelva a repetir. ¿Algo más? Si, también es necesario que el responsable de seguridad de la información sea capaz de saber qué activos han sido afectados por el ataque, para determinar así la criticidad de la incidencia.

En España concretamente, opino que es un problema de base, de la propia educación. A nivel de formación reglada es muy difícil encontrar institutos o universidades que impartan oficialmente formación específica en seguridad informática. Esta falta de formación se está paliando con la aparición de Másters Universitarios y con ofertas formativas privadas.

Me parece increíble que en muchas universidades donde se ofrecen grados de informática, la asignatura de seguridad en muchas de ellas sea una asignatura opcional. O que muchos ciclos formativos de FP de informática no incluyan obligatoriamente asignaturas de seguridad.

Surgen nuevos ciclos, como el de desarrollo de aplicaciones multiplataforma o como los ya existentes de desarrollo de aplicaciones Web, pero ¿dónde está la asignatura de desarrollo seguro de software?

Esperemos que los responsables de esta escasez de formación en materia de seguridad se den cuenta de que los ciberdelincuentes cada vez están más preparados, y que los profesionales informáticos que terminan sus estudios en universidades e institutos están actualmente a años luz de poder enfrentarse adecuadamente a los nuevos ciberataques.

Etiquetas
Publicado el
15 de agosto de 2014 - 15:33 h