Las empresas invierten cada vez más en cibersguridad. ¿Están haciendo suficiente?

Todas las empresas están invirtiendo cada vez más en ciberseguridad, de eso no hay duda. El problema es el punto del que parte cada compañía; hay muchas que llevan un déficit acumulado de muchos años de no haber hecho casi nada, esperando que lo que estaba pasando no les afectase a ellos. Pero ahora se dan cuenta que el riesgo ciber es casi igual para todos, independientemente del país y sector en el que operan. Por tanto, queda mucho por hacer.

Las nuevas formas de trabajo también suponen nuevas vulnerabilidades…¿Cómo ha afectado el teletrabajo masivo a la ciberseguridad de las empresas?

La extensión del teletrabajo a prácticamente toda la fuerza laboral de muchas empresas ha ampliado el perímetro de ataque y, por tanto, ha generado que las compañías tengan que dedicar más recursos a proteger a los trabajadores deslocalizados. Y esto no solo desde un punto de vista de tener que desplegar nuevas tecnologías e implantar nuevos procesos para garantizar la seguridad del trabajo en remoto, sino también de invertir mucho en formación y concienciación de los empleados.

«El compromiso con la posición del CISO debe estar avalado directamente por el CEO y su equipo ejecutivo»

¿El responsable de seguridad informática debería estar presente en el comité ejecutivo?

Eso dependerá de cada empresa, pero la realidad es que en los últimos años el rol del CISO ha sufrido una evolución muy relevante, pasando de ser un perfil técnico, que solía estar ubicado dentro del departamento de Sistemas, a ser un rol que ha tenido que evolucionar hacia un perfil más de gestión que entienda y pueda valorar un compendio de nuevos riesgos de ciberseguridad. Por todo ello, y dado que es una función cada vez más transversal a la organización y a todos sus procesos, tanto de negocio como de back-office, la dependencia jerárquica del CISO debe estar al máximo nivel de la organización, para garantizar su independencia y su capacidad de implantar las estrategias de seguridad corporativas que se definan y aprueben. De igual modo, el compromiso con la posición debe estar avalado por la alta dirección de la compañía, directamente por el CEO y su equipo ejecutivo, y debe gestionar su propio presupuesto para garantizar el éxito de su función. 

Te hemos escuchado decir que “Debería existir una carrera o una ingeniería especializada en ciberseguridad”. ¿Hay un déficit de formación?

Claramente. Hasta ahora todas las ingenierías se han focalizado muy poco en tener una vía curricular vinculada principalmente a la ciberseguridad y la tendencia ha sido formarse en Ingenieria Informatica o de Telecomunicaciones y luego buscar una especialización o máster en la materia. Eso, lógicamente, reduce la población formada, pues muchos no llegan a esos postgrados. Por ello, y a pesar de que los números van mejorando cada año, no lo hacen al mismo ritmo que las demandas, cada vez más abundantes en las empresas, de perfiles con formación y experiencia en ciberseguridad.

¿Por qué cuesta tanto encontrar Talento en esta especialidad?

El talento es un compendio de formación y experiencia pero, sobre todo, de los llamados soft skills. Por tanto, dado que para llegar a tener talento hay que pasar por un proceso, y si ya hemos dicho que hay escasez de profesionales con formación en ciberseguridad, hay menos que además atesoren la experiencia necesaria y, por supuesto, menos que tengan un compendio de habilidades interpersonales. Todo esto hace que haya un número no muy elevado de profesionales con “talento” en ciberseguridad.

«En ciberseguridad faltan perfiles de todo tipo. Ya no es un tema puramente técnico»

¿Qué tipo de perfiles faltan en el sector?

Pues casi de todo tipo. La ciberseguridad ya no es un tema puramente técnico. Hacen falta perfiles que sepan gestionar personas y proyectos, que tengan dotes de liderazgo para asumir riesgos y tomar decisiones, y poder transmitir a la organización por qué la ciberseguridad es importante. También perfiles que sepan cómo interpretar las regulaciones existentes y las que están viniendo y que afectan a temas muy diversos. Pero estos son solo algunos ejemplos porque muy pronto serán necesarios perfiles con capacidades de robótica, IoT o Inteligencia Artificial.

¿Faltan mujeres en estos equipos?

La realidad es que sí. Pero como decía, también faltan hombres. Nos encontramos que en los procesos de selección nos suele llegar un ratio de canditatas de 1/2 por cada 8/9 candidatos. Por tanto, con estos porcentajes es muy difícil que en los equipos haya muchas mujeres. Pero sí es evidente que cada vez hay más y, para que esto siga creciendo, hay que trabajarlo desde las bases y desde la formación.