La semana pasada estuve participando en una mesa de trabajo titulada “Identificación de tendencias en los sectores económicos de la Comunidad de Madrid y de sus repercusiones en materia de empleo y formación”, y que tenía como objetivo (en nuestro ámbito) identificar qué perfiles y qué necesidades tiene realmente el mercado en materia de ciberseguridad.
La mesa de trabajo estaba organizada por la empresa encargada por la Dirección General del Servicio Público de Empleo de la Comunidad de Madrid, de forma privada, invitando a una serie de perfiles a priori referentes del sector. Por ahí había algunos encargados de INCIBE, de consultoras de bastante renombre, de académicos de algunas universidades como la UC3M… y un servidor.
Entrando ya en el tema, lo cierto es que casi todos estuvimos de acuerdo en esas dos horas que duró el conversatorio de varios puntos que quería dejar esbozados por aquí, ya que me parece ejemplifican con bastante exactitud el problema que actualmente tenemos en el sector.
Que al parecer, no hay talento, oye.
¡Vamos al lío!
Habilidades transversales y perfiles generalistas en seguridad informática
De base el documento que nos enviaron previamente pecaba, como suele ocurrir, en ver el sector de la ciberseguridad o seguridad informática como un sector de perfiles puramente técnicos.
En el mismo se hablaba principalmente de dos grandes perfiles:
- Administradores de seguridad en redes: Es decir, los encargados de la seguridad de las redes y equipos de una organización.
- Expertos en seguridad en software: Es decir, los más centrados en el desarrollo y mantenimiento de las herramientas y servicios.
La realidad es que aunque por supuesto estos perfiles son necesarios, por sí solos, en un mercado tan volátil como es el actual, son insuficientes.
Hablando en plata:
Que de todas las amenazas más importantes del momento, la amplia mayoría se basan en ataques al trabajador (campañas de phishing, ingeniería social, etc…) que ninguno de los perfiles anteriores puede apenas minimizar.
Es ahí donde vuelve a salir el tema manido de esta página. Necesitamos sí o sí perfiles:
- Con habilidades transversales: Algo tan sencillo como, por ejemplo, saber escribir o hablar. COMUNICARTE. Que puede parecer una tontería, pero te aseguro que para la mayor parte de las organizaciones el departamento de IT es como ir a Mordor. Hablan otro idioma incomprensible. Esto genera los típicos problemas que vemos en el día a día. A fin de cuentas, si no entiendo por qué no puedo tener de contraseña “Maripur76”, pues voy a gastar mis recursos temporales e intelectuales no en cumplir la normativa de seguridad, sino en encontrar la manera de saltármela, por ejemplo teniendo una contraseña impronunciable escriba en un pos-it al lado del ordenador.
- Perfiles (más) generalistas: Y unido a lo anterior. Yo puedo ser uno de los mejores desarrolladores del mundo, que si no son capaz de entender cómo funciona una campaña de ingeniería social, o qué impacto tiene en el negocio el ciclo de desarrollo que me compete, haré mi trabajo a medias. Y vale que el que está abajo en la cadena tampoco necesita ver con toda la amplitud el escenario donde se mueve… pero con un límite por favor. La especialización está genial y es necesaria, pero teniendo una base generalista mínima. Poniendo un símil absurdo, un servidor no es un runner profesional, pero oye, si de pronto al salir de casa me asalta un jabalí, seguro que aunque sea seré capaz de pegar unas zancadas bien dadas antes de que me destroce. Que aunque me haya “especializado” en caminar, soy capaz de correr e incluso de escalar algún pico básico. Pues lo mismo en seguridad informática.
Las soft skills son necesarias para CUALQUIER trabajo. Igual que tener una base de conocimiento generalista.
Porque un pentester debe saber también un mínimo de legislación para, por ejemplo, saber hasta dónde pueden forzar la maquinaria.
Que ese administrador de sistemas debe entender que cuando el departamento de marketing le pide que le de acceso a esa carpeta para subir una landing page, su trabajo además de gestionar los activos informacionales es explicarle en su mismo idioma por qué no puede abrirle todos los puertos del servidor.
No hay talento vs no se quiere pagar
La segunda pata que más me ha parecido interesante de la mesa de trabajo (aunque se obvió en buena parte de la misma), de nuevo algo que ya hemos tratado en más de una ocasión.
Es cierto que buena parte de los perfiles que salen de la formación reglada llegan al mercado muy cojos, precisamente por lo que comenté antes (la formación reglada no forma a los futuros trabajadores en habilidades transversales básicas). Esto genera un escenario que ya es por muchos conocido: sales con tu titulillo, llegas a la empresa con una beca, y todavía tienes por delante un año, año y medio de formación.
Ahora bien, esto no es excusa para que en un sector eminéntemente técnico como es el de la seguridad informática se repita hasta la saciedad que al parecer no hay talento suficiente, cuando la realidad es que se espera tener un perfil que además de tener esa especialización, tenga unas soft skills decentes y sea capaz de ver en toda su amplitud el negocio… le podamos pagar 15.000 euros brutos al año.
Que por mucho que lo repitan, no es compatible, coño.
¿Quieres un perfil que en efecto te cubra todo eso? Pues saca la billetera, porque hablamos de perfiles que además de tener un bagaje académico más que decente, ha tenido que formarse en habilidades transversales y tener experiencia real en empresas, seguramente con un cargo de responsabilidad.
¿Que no puedes pagar más de 20k? Pues te va a tocar quedarte con perfiles más junior. Y junior de verdad, ojo, que de seguro van a estar cojos en una o dos de esas patas que hemos mencionado.
Que una cosa no quita la otra, y aunque es cierto que creo que hace falta incluir más competencias transversales en las formaciones, y que cada vez queda más claro que es necesario inyectar al mercado de la seguridad informática perfiles técnicos con capacidades generalistas, hay que tener en cuenta que TODO ESO SE PAGA.
Puede fallar la primera, puede fallar la segunda, pero hablamos de un movimiento que engloba tanto a la educación como a la propia industria.
Y sin el compromiso de ambas partes, por muchas mesas de trabajo y muchos anuncios políticos que se hagan, poco vamos a conseguir…
________
¿Quieres conocer cuáles son mis dispositivos de trabajo y juego preferidos?
Revisa mi setup de trabajo, viaje y juego (ES).
Y si te gustaría ver más de estos análisis por aquí. Si el contenido que realizo te sirve en tu día a día, piénsate si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.