Por: Carlos Lozano.
Cada vez es más común que universidades mexicanas lleven a cabo seminarios, encuentros, congresos o algún tipo de actividad relacionada con la Seguridad Informática. Este tipo de actividades despiertan interés en alumnos, sobre todo al escuchar menciones de temas sensibles como el espionaje, el desarrollo de “malware”, historias de conspiraciones, entre otras.
De manera que, una de las preguntas comunes entre los alumnos es: ¿realmente puedo vivir de esto que me están presentando? La respuesta, por desgracia, no es tan sencilla y hay que tomar en cuenta varios factores.
México tiene una industria creciente en cuanto a Seguridad Informática. En comparación con la situación del mercado hace cinco años, el número de empresas especializadas se ha triplicado. Cada vez más compañías ofrecen servicios de consultoría en TI y abren áreas orientadas a ofrecer servicios de Seguridad Informática. A primera vista esto parecería ser un excelente panorama para aquellos estudiantes y recién egresados que desean integrarse como profesionales en seguridad, pero no lo es del todo.
A medida que la oferta en servicios relacionados a la Seguridad Informática ha aumentado, los beneficios para los profesionales han ido degradándose. Las razones son complejas de entender, incluso para aquellos que nos hemos desenvuelto en este mercado por varios años.
El nivel de experiencia necesario para desarrollar cualquiera de las actividades de seguridad informática en México debiera de ser alto; sin embargo, la industria tanto a nivel nacional como internacional tiende a marcar ciertos puntos generales, entre los que podemos reconocer certificaciones como: C|EH, GPEN, ISO 27001 Auditor, CISSP, CISM, CISA, entre otras. Así como multitud de certificaciones para productos comerciales de firmas como: HP, Juniper, Cisco, EnCase y muchas más.
Los clientes, por su parte requieren de este tipo de servicios y fomentan que los empleados de las empresas mexicanas se capaciten en estas tecnologías, colocando dentro de licitaciones y en los Request for Proposal (RFP) requerimientos específicos sobre dichas certificaciones.
Hasta este punto parece que todo continúa por buen camino; los clientes, como es lógico, buscan gente capacitada en diferentes tecnologías y metodologías con reconocimiento internacional, de manera que las empresas deben de ofrecer oportunidades de capacitación para los empleados para que éstos tengan la oportunidad de desarrollarse profesionalmente.
Sin embargo las compañías requieren de colaboradores certificados, más que de personal capacitado; por ello resulta conveniente certificar a los profesionales en tecnologías, que más que brindar valor al empleado remuneran en beneficios económicos para la empresa. Es el caso de la certificación de soluciones y dispositivos, mismos que pueden ser vendidos en grandes cantidades; un mayor número de empleados certificados que puedan obtener “partnerships” más ventajosos con los fabricantes, reduce los costos de adquisición y aumenta las ganancias del dueño.
Por su lado, el empleado prefiere poner entre sus metas la obtención de certificaciones de nivel gerencial y directivo como CISSP; con el objetivo de obtener acceso a puestos con mayor remuneración económica.
Estos dos son sólo los ejemplos más evidentes de los errores de la industria mexicana. Pero el problema no termina allí, las consecuencias son igual de evidentes.
Al tener empleados únicamente capacitados en el uso de determinadas tecnologías, las soluciones que pueden ofrecer a los clientes están limitadas a los productos de la empresa para la cual trabajan. Aquellos que se dedican a la preventa defenderán sus soluciones sin ofrecer bases sólidas, y durante la implementación de ellas generalmente se encuentran con retrasos y tropiezos que no tenían contemplados, dejando el proyecto en manos del soporte técnico del producto. Esto termina por elevar los costos al cliente, quien debe de adquirir licencias de soporte técnico a fin de solucionar sus problemas cuando éstos se presenten.
Al tener profesionales en seguridad con certificaciones orientadas a nivel gerencial y dirección con poca experiencia, tanto las empresas que ofrecen servicios en Seguridad Informática como aquellos que los adquieren, ponen sus activos en manos de personas inexpertas que no cuentan con los años de experiencia que los profesionales de hace algunos años tenían.
En el ámbito jurídico, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) ha venido a crear nuevas áreas de negocio orientadas a la privacidad; aunque por desgracia la protección de datos personales sigue siendo algo nuevo en México, y por el momento la mayoría de los proveedores se limitan a ofrecer mecanismos legales para la protección de sus clientes, más que de los datos “per se”.
La oferta de capacitación y entrenamiento sigue siendo escasa, en México de forma presencial únicamente es posible tomar los cursos EC-Council y un escaso catálogo de SANS Institute; ambos tienen altos costos y no siempre impartidos por instructores con experiencia. De manera que la solución se reduce a los entrenamientos en línea y la posibilidad que ofrecen algunas empresas de capacitar a sus empleados en el extranjero, principalmente en Estados Unidos.
Probablemente lo necesario para el crecimiento de la industria en México, es el requerimiento por parte de los clientes de servicios más especializados, soluciones concretas y efectivas, así como la implementación de estrategias de seguridad a conciencia. Sin duda es un círculo vicioso que no permite un crecimiento deseable; no obstante, entre sus vicios ofrece oportunidades para el desarrollo de nuevos profesionales y nuevas empresas.
Sin embargo, no todo pinta tan mal en la industria mexicana. A diferencia de hace algunos años, actualmente es común ver una sinergia entre universidades e industria para la capacitación y concientización de nuevos recursos humanos en cuanto a temas de seguridad; lo cual ha traído la modificación de planes de estudio, integrando asignaturas relacionadas a seguridad en redes, criptografía y gestión de riesgos; consolidación de alianzas con centros de entrenamiento para capacitar alumnos, creación de plazas para becarios, entre otras cosas más.
En conclusión, la respuesta para los estudiantes y recién egresados que planean vivir como profesionales en Seguridad Informática, es la de prepararse y ser concientes que la novedad de esta área trae consigo una serie de inconvenientes relacionados con su misma juventud. Es importante considerar que se requiere de habilidad para desarrollarse al interior de la misma, debido a los vicios que vienen acompañando su crecimiento.
El autor, Carlos A. Lozano Vargas, es especialista en Seguridad Informática, fundador y director del comité técnico de BugCON y CEO de blueMammut. Se le puede seguir en @BelindoFan, en Twitter.
