En el actual panorama digital hiperconectado, el sector de la ciberseguridad se enfrenta a una grave escasez mundial de casi 4 millones de profesionales. Con un aumento constante año tras año de la demanda de profesionales cualificados, el déficit no muestra signos de disminuir. En un momento en que las ciberamenazas son cada vez más sofisticadas y frecuentes, el personal de ciberseguridad, como columna vertebral de la seguridad de las organizaciones, desempeña un papel clave para garantizar los beneficios de la Cuarta Revolución Industrial. No garantizar un suministro constante de profesionales de la ciberseguridad puede tener consecuencias de largo alcance, dado que las organizaciones de todo el mundo se encontrarán vulnerables y sin personal suficiente frente a las amenazas emergentes. Por lo tanto, es imperativo que los responsables de la toma de decisiones den prioridad a la gestión del talento en ciberseguridad como una necesidad estratégica. El Foro Económico Mundial, consciente de que un único actor no puede hacer frente por sí solo a la escasez de mano de obra en ciberseguridad, creó la iniciativa Bridging the Cyber Skills Gap. Reuniendo a más de 50 organizaciones públicas y privadas, la iniciativa desarrolló un Marco de Talento en Ciberseguridad (CTF, por sus siglas en inglés) estratégico que presenta enfoques procesables para ayudar a las organizaciones a construir canales de talento sostenibles. Más concretamente, el CTF se estructura en torno a cuatro áreas prioritarias clave destinadas a proporcionar un enfoque holístico de la gestión del talento en ciberseguridad. Como marco de aplicación universal, el CTF pretende servir como fuente de referencia para los líderes de la industria, las agencias gubernamentales, la sociedad civil y el mundo académico, es decir, todas las partes interesadas preocupadas por la escasez de mano de obra en ciberseguridad y comprometidas con el desarrollo y el fomento de un talento sólido en ciberseguridad en sus respectivos sectores. La escasez de mano de obra es un problema mundial que afecta a todos los países e industrias. Las estimaciones sugieren que para 2030 podría haber una escasez mundial de talento de más de 85 millones de trabajadores, lo que llevaría a una pérdida estimada de 8,5 billones de dólares en ingresos anuales no realizados. El sector de la ciberseguridad también se ve afectado por este reto generalizado. Mientras que la fuerza de trabajo de ciberseguridad creció un 12,6% entre 2022 y 2023, hay una escasez de casi 4 millones de profesionales de ciberseguridad en todo el mundo. Con un aumento constante año tras año en la demanda de profesionales cualificados, hay poco optimismo de que la oferta se ponga al día. De hecho, sólo el 15% de todas las organizaciones son optimistas en cuanto a que las cibercapacidades y la educación mejorarán significativamente la situación en los próximos dos años. Desde una perspectiva regional, la escasez es más pronunciada en Asia-Pacífico, que carece de más de 2,5 millones de trabajadores de ciberseguridad, seguida de Norteamérica, que se enfrenta a un déficit de mano de obra de casi 522.000 personas. En África, con una población total de más de 1.400 millones de personas, se calcula que el número de profesionales de la seguridad certificados es de sólo unos 20.000. Por países, la escasez de talentos es especialmente pronunciada en China, India, Estados Unidos y Brasil. India, a pesar de contar con una de las mayores poblaciones juveniles del mundo y con el 31,7% de los licenciados en ciencias, tecnología, ingeniería y matemáticas (STEM) de todo el mundo, tenía unas 40.000 vacantes para profesionales de la ciberseguridad en mayo de 2023. Debido a la escasez de talento, el 30% de estas vacantes no pudieron cubrirse.9 Del mismo modo, en enero de 2024 se calcula que Estados Unidos tiene 448.000 vacantes de ciberseguridad en los sectores público y privado.
La escasez de mano de obra en ciberseguridad es especialmente evidente en los sectores educativo, gubernamental y sanitario. De hecho, el Global Cybersecurity Outlook 2024 descubrió que la falta de recursos y competencias es el mayor reto a la hora de diseñar la ciberresiliencia para el 52% de las organizaciones públicas. Del mismo modo, las pequeñas y medianas empresas (PYME) luchan por digitalizarse debido a la falta de cibercapacidades. La investigación muestra que el 43% de las PYME británicas no han podido contratar apoyo en ciberseguridad debido a la escasez de especialistas o a los retos para atraer, contratar y retener a profesionales de la ciberseguridad. En lo que respecta a funciones específicas de ciberseguridad, la escasez de mano de obra es grave en ámbitos como la seguridad en la nube, la inteligencia sobre ciberamenazas y el análisis de malware. A medida que las organizaciones se enfrentan a la complejidad de las crecientes ciberamenazas -que van desde sofisticados ataques de ransomware a insidiosas violaciones de datos- la escasez de profesionales cualificados en ciberseguridad está alcanzando proporciones alarmantes, y no es de extrañar que más de dos tercios de las organizaciones se enfrenten a riesgos adicionales debido a la escasez de competencias en ciberseguridad. Las causas de la escasez de mano de obra en ciberseguridad son múltiples. Un factor clave es la rápida evolución del panorama de la ciberseguridad, que supera el desarrollo de una mano de obra acorde. A medida que los actores de las amenazas siguen perfeccionando e innovando sus métodos de ataque, la demanda de profesionales con un conjunto de habilidades diversas y especializadas supera la oferta. Sin embargo, la escasez de profesionales cualificados capaces de defenderse de los crecientes riesgos cibernéticos va más allá de los retos inmediatos a los que se enfrentan las organizaciones. Como riesgo sistémico, existe una creciente preocupación por el impacto potencial del déficit de mano de obra en ciberseguridad sobre la seguridad nacional, las infraestructuras críticas y la resistencia y seguridad generales de las economías y las sociedades. Además, la proliferación de tecnologías de vanguardia -como la inteligencia artificial generativa (IA), la computación cuántica y la Internet de las cosas- introduce nuevos riesgos, ampliando la superficie de ataque y, por lo tanto, amplificando aún más la necesidad de una mano de obra de ciberseguridad equipada con conocimientos técnicos en evolución. El sector de la ciberseguridad también tiene una pronunciada falta de diversidad -incluida la representación de mujeres, inmigrantes, minorías étnicas y empleados neurodiversos-, por lo que no debería sorprender que el 91% de las organizaciones crea que es necesario impulsar una mayor diversidad de personas en el campo de la ciberseguridad. Otros factores que contribuyen a la escasez de mano de obra son la incapacidad de algunos empleadores, sobre todo del sector público, para competir con los salarios que ofrecen otras organizaciones; la falta de correspondencia entre los programas educativos; la evolución de las necesidades del sector de la ciberseguridad; y la falta de claridad sobre las oportunidades profesionales en este campo. Para hacer frente al déficit de mano de obra en ciberseguridad, el siguiente Marco estratégico para el talento en ciberseguridad (CTF, por sus siglas en inglés) pretende presentar a los responsables de la toma de decisiones públicos y privados de todo el mundo enfoques prácticos y mejores prácticas sobre cómo cultivar y mantener una cantera de profesionales cualificados.
Cuando se habla del déficit de mano de obra en ciberseguridad, términos como «escasez de competencias», «escasez de talento», «escasez de capacidad» y «escasez de experiencia» se utilizan a menudo indistintamente a pesar de sus distintos matices. Esta imprecisión provoca confusión y malentendidos sobre el tipo específico de escasez al que se enfrenta el sector. Examinando más de cerca los distintos tipos de déficit, la «escasez de competencias» suele referirse a la escasez de competencias o habilidades técnicas y sociales específicas necesarias para determinadas funciones dentro del campo de la ciberseguridad. En este contexto, las organizaciones pueden tener dificultades para encontrar una persona que domine una programación específica o un idioma extranjero. Por otra parte, una «escasez de talento» sugiere una falta de individuos que posean el conjunto más amplio de habilidades, conocimientos y atributos necesarios para sobresalir en diversas funciones de ciberseguridad. El término «escasez de capacidad» va más allá del personal de ciberseguridad y abarca aspectos como la infraestructura digital y los marcos normativos necesarios para establecer y mantener medidas de seguridad sólidas en el panorama digital. Por último, la «escasez de experiencia» se refiere a la falta de conocimientos prácticos y prácticos para hacer frente a los problemas de ciberseguridad del mundo real. Además de estos tipos de escasez, las organizaciones tienen cada vez más dificultades para encontrar personas con el impulso y la motivación adecuados. Para idear soluciones eficientes y eficaces a los problemas que se plantean, es necesario identificar la naturaleza exacta de la escasez con la que se encuentra una determinada geografía, industria u organización. Es importante señalar que en ciberseguridad pueden manifestarse múltiples carencias simultáneamente y de forma interconectada. Por ejemplo, los recién licenciados pueden poseer los conocimientos adecuados, pero carecer de experiencia en la vida real. Por otro lado, los profesionales con experiencia pueden carecer de competencias porque muchas organizaciones se esfuerzan por invertir en iniciativas de mejora de las cualificaciones. Por último, los profesionales cualificados con las competencias y la experiencia adecuadas tienden a buscar salarios más altos, y las organizaciones pueden encontrarse con una escasez de mano de obra simplemente porque no pueden permitirse contratar el talento. El panorama de la mano de obra de la ciberseguridad es polifacético e implica a un conjunto diverso de actores que forman una red dinámica e interconectada dedicada a proteger un mundo cada vez más digitalizado.
El informe presenta un marco estratégico integral para abordar los desafíos actuales y futuros en la gestión del talento en ciberseguridad. Reconoce que la demanda de profesionales en este campo está aumentando rápidamente, pero que la oferta no está creciendo al mismo ritmo, lo que crea una brecha significativa de talento. El informe destaca la importancia de abordar esta brecha de manera holística y sostenible para garantizar la seguridad cibernética en un mundo cada vez más digitalizado. El marco propuesto se basa en cuatro pilares fundamentales: identificar, capacitar, atraer y retener talento en ciberseguridad. En primer lugar, se enfoca en identificar las habilidades y competencias clave necesarias para desempeñarse en roles de ciberseguridad, destacando la importancia de la diversidad de habilidades y experiencias. Luego, destaca la importancia de capacitar a las personas en estas habilidades a través de programas educativos y de formación específicos en ciberseguridad, así como la necesidad de desarrollar habilidades blandas y capacidades de liderazgo. En cuanto a la atracción de talento, el informe enfatiza la importancia de crear una cultura organizacional atractiva que fomente la diversidad, la equidad y la inclusión. También destaca la necesidad de colaborar con la academia, el sector público y otras partes interesadas para mejorar la percepción de la ciberseguridad como una carrera viable y emocionante. Finalmente, en términos de retención de talento, el informe sugiere implementar programas de desarrollo profesional y oportunidades de crecimiento, así como ofrecer compensaciones y beneficios competitivos. En resumen, el informe del WEF sobre el marco estratégico para el talento en ciberseguridad destaca la importancia de abordar la brecha de talento en este campo de manera integral y sostenible. Propone un enfoque basado en identificar, capacitar, atraer y retener talento en ciberseguridad, con el objetivo de garantizar la seguridad cibernética en un mundo cada vez más digitalizado.