La formación en ciberseguridad en España decae, pese a ser cada día más y más necesaria. Solo el 20% de las empresas españolas da formación obligatoria en ciberseguridad, un 1% menos que en 2019, datos que dejan a España por detrás de la media del resto de países de la Unión Europea, que está en un 21,20%. Con los ciberataques subiendo en cifras de incidencia anuales, los expertos destacan que España sigue necesitando varios cientos de miles de expertos en ciberseguridad para alcanzar las cifras fijadas por Europa, tanto formadores, como alumnado que debe ser formado. Hay escasez de formación universitaria y profesional, pero un exceso de academias y formación en las empresas sin la debida calidad.
LOS ATAQUES A ESPAÑA
España sufrió hasta 1.250 ciberataques cada semana en 2023, y ocupó el tercer puesto a nivel mundial en sufrir ciberataques durante la segunda mitad del pasado año, solo por detrás de EE.UU. y Japón, tal y como confirman los datos de la empresa de ciberseguridad ESET, que señalan que nuestro país todavía «cojea» de cierta dejadez en cuanto al uso de soluciones informáticas desactualizadas. La ciberdelincuencia ya no solo ataca a las grandes empresas y organizaciones, sino que también se ceba en pymes y pequeñas empresas, y todo tipo de instituciones públicas.
De ahí que la formación de todos los empleados de las organizaciones sea imprescindible, y las especialización de los equipos que deben luchar contra el crimen online sea imperativa. Pues bien, en España se ha relajado la formación en ciberseguridad según un informe analítico de la empresa Pandora FMS, experta en software de código abierto para el monitoreo y medida de todo tipo de elementos como sistemas, aplicaciones o dispositivos de red.
Nuestro país sufrió hasta 1.250 ciberataques cada semana en 2023, y ocupó el tercer puesto a nivel mundial en sufrir ciberataques durante la segunda mitad del pasado año, solo por detrás de EE.UU. y Japón
En el análisis, realizado con datos publicados por el INE y por Eurostat, Pandora FMS han comprobado como solo el 20% de las empresas españolas da formación obligatoria en ciberseguridad. Remarquemos el carácter «obligatorio». Esta formación ha bajado un 1% respecto al año 2019, nos deja por debajo de la media europea, que está en un 21, 20%, y de países como Italia, con un 22,50% y Alemania con el 23,50%, aunque España supera a Portugal y Grecia.
solo el 20% de las empresas españolas da formación obligatoria en ciberseguridad
Dentro de nuestro país, lógicamente por su mayor actividad empresarial, es en la Comunidad de Madrid, con un 29%, y Cataluña, con un 24%, donde más formación en ciberseguridad se realiza. El estudio también incide en un gravísimo problema; España sigue necesitando varios cientos de miles de expertos en ciberseguridad para alcanzar las cifras fijadas por Europa. Tal y como ha explicado el CEO de Pandora FMS, Sancho Lerena, «se necesitan expertos en ciberseguridad, pero también trabajadores con unas nociones suficientes como para manejar los sistemas de seguridad. Hoy en día existen soluciones que controlan todo el parque tecnológico y que reducen la carga de trabajo del equipo, pero alguien tiene que saber gestionarlo y comprenderlo».
FALTAN FORMADOS EN CIBERSEGURIDAD
Desde CyberMadrid, el Clúster de Ciberseguridad de Madrid, el profesor de ciberseguridad y director del Máster en Ciberseguridad de la Universidad Pontificia Comillas ICAI-ICADE, y responsable de generación de demanda estratégica en SIA (Grupo Indra), Javier Jarauta, valora que los datos del estudio de Pandora FMS demuestran la necesidad de mayor esfuerzo y madurez en lo que a formación y concienciación sobre ciberseguridad. También apunta que, aunque las grandes empresas y organizaciones disponen de medios para invertir en dicha formación, las PYMES y determinados sectores de la sociedad, no terminan de concienciarse en la importancia de esta formación a sus equipos para prevenir y detectar ciberataques.
Jarauta señala que los datos indican una verdad incómoda: «Ex para cubrir la demanda» e incide en que no somos tan maduros en cuanto a concienciación general en ciberseguridad entre los empleados de las empresas ni a nivel personal, «por lo cual muchos de las incidencias vienen causadas
por el factor humano».
España es un país maduro en especialistas y empresas de ciberseguridad, aunque necesitamos muchos más profesionales para cubrir la demanda
Los expertos de CyberMadrid confirman que es muy difícil dimensionar el tejido de centros de formación que imparten enseñanzas en ciberseguridad, entre las que están las universidades y centros de educación superior públicos y privados, los centros de investigación y tecnología, las academias y centros de Formación Especializada, las empresas especialistas prestadores de servicios de ciberseguridad y Plataformas de formación online.
Sin embargo ponen el foco en la extraordinaria labor que realizan el CCE-CERT con su plataforma de formación Angeles y del INCIBE, que en la actualidad cuenta con un total de 87 programas de Máster, 4 especializaciones universitarias, 3 Grados y 62 especializaciones de Formación Profesional en ciberseguridad, todos debidamente reglados. No obstante, para Jarauta, «en todo el territorio nacional sigue siendo poca para la cantidad de profesionales especialistas que se necesitan en el sector que ascienden a más de 300.000 en Europa y más de 3,4 millones a nivel mundial».
RESPONSABILIDAD DE LAS EMPRESAS
También ven insuficiente la formación y concienciación para «no especialistas» en todo el tejido empresarial español, porque deberíamos estar «convirtiendo a las personas en la primera línea de protección, es decir en un firewall humano». Eso es así porque, claramente, según «sin ciberseguridad no hay transformación digital», según Jarauta.
Las grandes empresas, especialmente las del Ibex, invierten gran parte de su presupuesto en la protección de sus activos críticos y minimizar los riesgos de los ciberataques, tanto en adquisición de tecnología como en equipos especialistas y formación de sus empleados. Por esa razón nos confirman desde CyberMadrid que las empresas del IBEX y grandes compañías en España es tienen un nivel «bastante maduro» en materia de ciberseguridad gracias a los 20 años de experiencia, y al trabajo de CCN y de la Red Nacional de SOC a la hora de intercambiar información. España sí que gana al resto de países europeos al ser el Estado con mayor cantidad de Centros de Operaciones de Ciberseguridad.
Las grandes empresas, especialmente las del Ibex, invierten gran parte de su presupuesto en la protección de sus activos críticos y minimizar los riesgos de los ciberataque
No obstante, apuntan a que el foco hay que ponerlo en 95% del tejido empresarial que son Pymes. Ahí, «la inversión en formación y concienciación es muy limitada. Hay que luchar contra el concepto de que la ciberseguridad es cara y un gasto. Se pueden establecer acciones de formación e inversión específicas y razonables para el tamaño y necesidades de cada empresa -nos indica Jarauta-. Además, se requiere una formación continuada ya que las técnicas y tácticas de los cibercriminales cambian y se vuelven más sofisticadas casi diariamente».
ALTA DEMANDA DE FORMACIÓN
El Subdirector y Jefe de Estudios de la Escuela Técnica Superior de Ingenieros de Telecomunicación de la Universidad Politécnica de Madrid, y secretario de CyberMadrid, Víctor Villagrá, por su parte confirma que la formación en ciberseguridad podría ser un negocio más floreciente si existiera «una gestión adecuada de la formación con los apoyos e inversiones adecuadas por parte de las Administraciones Públicas puede ayudar a adecuar mejor la oferta y la demanda, resolver las ineficiencias y mejorar claramente la calidad de esta formación, con grandes ventajas tanto para los formadores como para los estudiantes».
Jarauta explica como que la demanda de formación especializada en ciberseguridad lleva creciendo significativamente en los últimos años y tiene varios orígenes: «por un lado, el perfil de jóvenes universitarios que quieren realizar sus estudios superiores universitarios en esta área; por otro lado, el perfil de estudiantes que quieren acceder a formación más básica de ciberseguridad, para poder afrontar diversos tipos de perfiles laborales en este área; y por último, el perfil de profesionales que quieren recibir formación de ciberseguridad para una especialización o reciclaje profesional».
ha surgido un entorno de entidades formadoras (academias, centros, etc.) en el que la calidad de la formación no siempre cumple los estándares adecuados y la gran demanda que hay hace que sea complicada su discriminación
Este incremento de la demanda está siendo absorbido por los actores tradicionales de formación «con
un gran esfuerzo, ya que no se ha realizado las inversiones necesarias para poder acometer este incremento con garantías», indica Jarauta. Este experto señala que a nivel universitario, no se ha modificado el marco de enseñanzas y estas enseñanzas las universidades las asumen como un esfuerzo propio, «por esa razón las ofertas son limitadas e insuficientes para la demanda actual».
Como profesor destaca que a nivel de formación más básica, ha surgido un entorno de entidades formadoras (academias, centros, etc.) en el que la calidad de la formación no siempre cumple los estándares adecuados y la gran demanda que hay hace que sea complicada su discriminación. A nivel del perfil de profesionales, la falta de oferta especializada hace que se asuma muchas veces por las propias empresas como formación propia con las ineficiencias que ello puede suponer.