El crecimiento de los ciberataques a lo largo de los años provocó un aumento de la demanda de profesionales en el campo de la seguridad de la información. Según un informe reciente de Cybersecurity Ventures, el crecimiento de las vacantes en el sector de la ciberseguridad se espera que crezca en un 350% para el 2021. Sin embargo, la escasez de profesionales con las habilidades suficientes para cubrir esa demanda se estima que generará, para ese mismo año, tres millones y medio de vacantes a lo largo del mundo que no serán cubiertas.

Teniendo en cuenta este panorama y pensando sobre todo en los más jóvenes, como parte de la serie sobre educación en seguridad informática que estamos publicando cada lunes de noviembre en conmemoración del Antimalware Day 2019, decidimos consultar a diferentes especialistas que se desempeñan en la industria cómo es que se formaron en este campo, qué tan cierto es que muchos de los profesionales que actualmente se desempeñan en la industria han aprendido de manera autodidacta, si consideran que la oferta académica está alineada con esta creciente demanda y qué opinan sobre la difusión que tiene las carreras y especializaciones este campo de estudio.

¿Una formación que se adquiere de manera autodidacta?

Si bien cada vez más universidades alrededor del mundo ofrecen carreras de grado en seguridad informática, aún no es una titulación que pueda encontrarse en todas las instituciones. Muchos profesionales que se desempeñan en este campo adquirieron sus habilidades a través de certificaciones y de manera autodidacta. Sin embargo, si bien no están lo suficientemente difundidas como deberían si consideramos la demanda, la realidad es que la oferta se está incrementando, aseguran especialistas.

Según nos explica el reconocido investigador de ESET, Aryeh Goretsky, quien comenzó a trabajar en la industria a fines de los años 80, al principio no había cursos ni certificaciones sobre ciberseguridad. “Si bien nos enseñaron seguridad informática, el foco estaba centrado en modelos de control de acceso y en el concepto de asegurar sistemas informáticos para múltiples usuarios; pero no desde una perspectiva más amplia o como un sistema interconectado a nivel global. Por lo tanto, quienes estaban interesados en el concepto de ciberseguridad teniendo en cuenta el comportamiento de computadoras y redes interconectadas comunicadas entre sí, debían aprenderlo por cuenta propia a partir de libros y de la propia experimentación práctica”, explica.

Por su parte, el investigador de malware del laboratorio de ESET de Canadá, Marc Etienne Léveillé, quien estudió desarrollo de software e ingeniería informática, explica que “varias de las cosas que aprendí en la universidad no aplicaban en mi posición como investigador, lo que me llevó a tener que leer y aprender acerca de muchos aspectos de seguridad por cuenta propia”.

Sin dudas que en la actualidad el escenario contribuye enormemente al aprendizaje autodidacta. Esto lo comprobamos con la oferta educativa y de calidad que ofrecen plataformas que ofrecen cursos online masivos y abiertos (MOOC, por sus siglas en inglés) como Coursera, con la posibilidad que ofrecen redes sociales como Twitter para compartir información constantemente y en la que se conectan grandes profesionales con personas deseosas de aprender; además de la cantidad de recursos disponibles en YouTube, sitios web y demás repositorios. “Si bien el aprendizaje por cuenta propia es un camino posible y muchos profesionales en esta industria se formaron de esta manera, no se trata de la única opción”, explica el investigador de ESET Brasil, Daniel Cunha Barbosa. “También es cierto que la comunidad de tecnología y seguridad es cada vez mayor y a un gran porcentaje de la misma le gusta compartir sus conocimientos, lo que permite que los profesionales que recién comienzan consigan tener el apoyo de otros profesionales”, añade.

Sin embargo, pese a la necesidad muchas veces de aprender por cuenta propia muchos aspectos que forman parte de la seguridad y de la labor diaria de los investigadores, varios coinciden en el valor de la formación académica. “Si tuviera que decidir nuevamente qué camino seguir volvería a elegir la universidad, ya que me dio la oportunidad de conocer muchas personas y de participar en distintas actividades extra curriculares”, dice Marc Etienne.

Creció la oferta académica en el campo de la seguridad informática

Dado que los incidentes de seguridad han incrementado con el correr de los años, también el deseo de estandarizar los aspectos pedagógicos de quienes desean formarse en este sector, opina Goretsky. “En general creo que es positiva la amplia oferta educativa que existe actualmente en todos los niveles que hacen a la ciberseguridad, pero también me preocupa la calidad de la educación que se ofrece”, explica. “Necesitamos tanto de profesionales que cuenten con conocimientos teóricos como de perfiles operativos, y necesitamos que todos ellos cuenten con sólidos conocimientos acerca de la construcción de bloques de sistemas complejos. Si bien mucho de esto puede aprenderse, aún es necesario el aprendizaje por cuenta propia para llevar los conocimientos adquiridos a la construcción de estructuras complejas y al desarrollo de ideas, pero no sé si la oferta de posgrados y las certificaciones ofrecen un marco suficiente o limitado que permita obtener una base sólida de los conceptos en ciberseguridad”, añade.

En países como Canadá, la oferta de cursos universitarios en ciberseguridad ha incrementado, cuenta Léveillé. “Ahora hay titulaciones con especializaciones en seguridad informática, mientras que antes la única opción era hacer desarrollo de software o redes informáticas. Igualmente, aún existe una demanda creciente de profesionales que es necesario cubrir en nuestra industria. Quizás, con el esfuerzo de los programas educativos veremos en algunos años una situación más estable”, opina.

Para Cunha Barbosa, “es más positivo que existan programas de especialización y de posgrado que titulaciones en sí, ya que contar con una titulación que le brinda al futuro profesional una base más amplia le permitirá conocer aspectos tecnológicos que van más allá de la seguridad, y eso lo ayudará a convertirse en un profesional más preparado”.

¿Qué tan promocionadas son las carreras en ciberseguridad?

Muchas veces, los jóvenes se enfrentan a un difícil proceso cuando deben decidir qué carrera estudiar. Muchos finalizan la educación secundaria sin tener muy claro qué quieren hacer de sus vidas. Más allá de la multiplicidad de factores que entran en juego y que hacen que este proceso sea difícil, el hecho de no tener información sobre las carreras menos tradicionales hace que los jóvenes no logren vincular sus intereses y gustos personales con un área de formación.

Varios especialistas coinciden en que la visibilidad de las carreras en seguridad es mayor ahora que hace unos años. “Antes era algo que debías descubrir por tu propia cuenta, pero ahora veo muchos más estudiantes interesados en seguridad informática que en mi época de estudiante. Ahora se nota que hay más empresas y escuelas que quieren despertar el interés en los estudiantes”, opina Léveillé.

Por otra parte, “los jóvenes muchas veces se hacen una imagen equivocada acerca de qué es la ciberseguridad y no logran darse cuenta del alcance”, comenta Aryeh Goretsky. Los jóvenes puede que vean como atractiva la imagen del prototipo de un hacker atacando computadoras y adquiriendo fama y dinero, pero lo que hace falta también es explicar que hace la ciberseguridad. “Creo que hay una falta de conciencia a nivel general, ya que la defensa de redes y equipos ante un ataque suele ser una tarea más difícil e intensa que la de atacar esas redes y computadoras. Sin embargo, lo que los medios de comunicación y la industria del entretenimiento transmiten es una imagen sesgada e idealizada del atacante y no de quienes trabajan del lado de la defensa, lo cual distorsiona la visión de lo que es la ciberseguridad”, opina.

La seguridad por diseño: ¿un problema de la formación?

Consultados acerca de si consideran que los contenidos sobre seguridad que se ven durante el proceso de formación los futuros programadores y/o desarrolladores son suficientes para que cuando los profesionales den el salto al mercado laboral estén capacitados para brindar sistemas seguros, para Marc Etienne, “el desarrollo seguro está muy bien enseñado en la actualidad. El problema está en que los desarrolladores necesitan el incentivo para aplicar lo que aprendieron. Los problemas de seguridad en el código deben detectarse durante la revisión del código y deben ser resueltos antes de incluirse en el proyecto. Si los desarrolladores ven que sus códigos siempre son rechazados prestarán más atención y desarrollarán los reflejos apropiados”, opina.

 

El desarrollo de los profesionales en el campo de la seguridad informática debe ser constante debido a la continua evolución de las amenazas. Si bien en la actualidad existen muchas opciones para desarrollar habilidades suficientes para desempeñarse en este campo, como son las carreras, las especializaciones, las certificaciones e incluso los cursos y el material disponible para estudiar de manera independiente, está claro que no hay una única forma.