Esta semana se ha celebrado el Día Mundial de la Ciberseguridad y, con él, múltiples eventos en torno a la ciberdefensa y las grandes ciberamenazas. Sobre ello han podido leer aquí, en D+I, y tal vez hayan apreciado algo que esos eventos tenían en común, además de la temática: la falta de representación femenina.
Las excusas para ello son múltiples: desde el “no me había dado cuenta” hasta el “lo he intentado pero ninguna podía”, pasando por el “no he encontrado a nadie”. Pese a que no dejan de ser justificaciones, tienen algo de cierto: si hubiera más mujeres en el sector, y específicamente en puestos de autoridad, sería más difícil que esto pasase.
La falta de mujeres en estos eventos y en seminarios, cursos, etc. es un problema en sí, porque las que hay no tendrán visibilidad en los medios, otras profesionales no se verán atraídas por el sector, y las estudiantes no se sentirán identificadas ni integradas en entornos eminentemente masculinos y masculinizados, y además carecerán de referentes.
Es la pescadilla que se muerde la cola, el círculo vicioso que vuelve siempre a la base del problema: la falta de talento. Las cifras hablan claro: solo el 18% de las personas graduadas especializadas en esta materia son mujeres, según el Análisis y Diagnóstico del Talento en Ciberseguridad en España del Instituto Nacional de Ciberseguridad (INCIBE). Eso en un sector con una brecha de talento de más de 60.000 profesionales en España y 3,4 millones de personas a nivel global, según el estudio de la fuerza laboral de seguridad cibernética (ISC)².
Frenos y obstáculos
¿Qué está frenando la incorporación de profesionales a este sector? Según INCIBE, uno de los principales problemas es la falta de vocaciones tempranas, asociada a la escasa divulgación de los pasos formativos necesarios para acceder al mercado y a falta de estandarización en la definición de los roles y habilidades asociados.
Por ello, la Agencia de la Unión Europea para la Ciberseguridad (ENISA), ha desarrollado un marco europeo de competencias en ciberseguridad como modelo común de entendimiento.
De dicho marco -el European Cybersecurity Skills Framework (ECSF)- se desprenden 12 perfiles principales: responsable de seguridad de la información (CISO); respuesta a incidentes cibernéticos; oficial de cumplimiento, políticas y legal cibernético; especialista en inteligencia de amenazas cibernéticas; arquitecto de ciberseguridad; educador en ciberseguridad; auditor de ciberseguridad; implementador de ciberseguridad; investigador en ciberseguridad; gestor de riesgos de ciberseguridad; investigador forense digital, y personas dedicadas a hacer pruebas de penetración (penetration testers).
No son, por tanto, solo perfiles técnicos, sino también de gestión, de análisis, legal, de formación o de estrategia geopolítica y de defensa. De hecho, es en los entornos híbridos donde las mujeres parecen encontrarse más cómodas.
El INCIBE señala que las formaciones que combinan los conocimientos de ciberseguridad con otras materias tienen un mayor grado de aceptación entre las estudiantes. Por ejemplo, el máster en Derecho de la Ciberseguridad y Entorno Digital de la Universidad de León cuenta con un 50% de mujeres egresadas.
Tras comentar esta problemática de la escasez de vocaciones y talento femenino en ciberseguridad con varias expertas y expertos, queda claro que, efectivamente, el hecho de que las profesiones en este campo estén asociadas a la informática es un hándicap unido a muchos estereotipos. “El mito de que es un sector para chicos superdotados aún existe y asusta a muchas (y a muchos)”, dice Adriana Botelho, cofundadora y CEO de la escuela tecnológica de alto rendimiento Keepcoding.
Botelho confiesa que aún le sorprende comprobar cómo la imagen del profesional de ciberseguridad es para muchos la figura del hombre ‘hacker superfriki’ y con una inteligencia extraordinaria. Como ejemplo de lo contrario cita a la premiada española Soledad Antelada, directora de Programas Técnicos de Seguridad a nivel global en Google, y anteriormente ingeniera de ciberseguridad en NERSC: el Centro Nacional de Computación Científica de Investigación Energética del mítico Berkeley Lab, que fue parte del origen de internet.
De hecho, Antelada fundó en 2014 Girls Can Hack precisamente para romper estereotipos. He hablado con ella sobre lo que aún sigue siendo un reto. Cree que es un gran problema que no haya suficientes mujeres ingenieras que sigan la ciberseguridad como carrera, ya sea a través de formación reglada o autodidacta.
La ingeniera reconoce que ahora hay más mujeres en el sector que cuando ella empezó, y que esto es positivo. Sin embargo, señala que la mayoría no tienen perfiles técnicos y eso hace que los que sigan a la cabeza, innovando en seguridad, publicando artículos científicos y llevando la batuta sean ellos.
“Necesitamos más mujeres que sepan qué es un buffer overflow, cómo se puede hacer un bypass a un proxy, cómo funciona el traceroute, cómo se protege un módem, que es el TCP handshake o cómo funciona el DNS. Cosas muy básicas de la ciberseguridad”.
Desde el departamento de Seguridad Nacional del Gabinete de la Presidencia del Gobierno, una fuente anónima comenta que todo suma. “Son necesarios una multitud de profesionales en ámbitos como la comunicación, lo legal, la economía, la auditoría, la consultoría o las relaciones internacionales”, asegura.
Eduvigis Ortiz, fundadora y presidenta de la Asociación Women4Cyber Spain, y líder del MeetUp de Madrid de Women in Machine Learning & Data Science, destaca que “hay muchos mitos culturales y sociales que hacen pensar a la sociedad que las mujeres prefieren unos tipos de trabajo y los hombres otros”.
También considera que por eso es tan importante trabajar los sesgos inconscientes y abrir las ventanas a las jóvenes y mujeres “para que confíen en que pueden lograr cualquier lo que se propongan con curiosidad y esfuerzo”.
Pasos hacia adelante
La experiencia de la inspectora de policía experta en cibercrimen y ciberinvestigación Silvia Barrera confirma esta necesidad. Cuenta que a menudo se dirigen a ella mujeres que le confiesan que, gracias a los libros y charlas de la inspectora, han visto una oportunidad laboral en un sector donde no pensaban que tuvieran sitio. “Es importante que seamos referentes visibles para animar a otras mujeres. Hay que darse a conocer”, señala.
En la importancia de contar con estas figuras guía coinciden todas las personas con las que he hablado. “Creo que el problema reside en que no se nos ve o se nos ve poco, y siempre a las mismas mujeres”, sostiene Ana Isabel Corral, una experta en ciberinteligencia conocida online como ‘AIBot’, que trabaja en ciberseguridad para Telefónica. Corral cree que es un “grave problema” la sensación de tener que demostrar mucho más por el mero hecho de ser mujer, y que eso “nos frena a la hora de presentarnos a congresos y conferencias”.
La experta hace una llamada a quitarse los miedos: “Hay que lanzarse a probar, porque capaces somos de sobra. Y, si no nos gusta, podemos cambiar el rumbo. Yo lo hice: he sido administrativa y contable, teleconcertadora, he trabajado en una cadena de montaje de coches, en marketing, etc., hasta que por fin me lancé al mundo de la ciberseguridad (y no me ha ido nada mal)”, comparte.
Antelada reivindica que hay que apoyar en su camino a las mujeres que empiezan en ciberseguridad. Sin esa sororidad, cree que es imposible cambiar las cosas. Un apoyo que puede empezar desde la mentoría y la formación. La Policía Nacional, por ejemplo, cuenta con una academia de ciberseguridad - la C1b3rwall Academy- que ofrece cada año multitud de cursos gratuitos a diferentes niveles.
Desde Keepcoding hacen campañas masivas de captación de talento desde cero, sin pedir prerrequisitos de formación, ofreciendo plazas becadas hasta un 100% por las empresas contratadoras. Invertir en estas acciones permite a las personas becadas eliminar la gran barrera de entrada que supone el coste de una buena formación, y a las organizaciones les facilita acceder -y, de hecho, crear- el talento que necesitan. Sin embargo, Botelho lamenta que no sean muchas las compañías “dispuestas a invertir a medio plazo en cambiar esta realidad y, por tanto, su propia realidad”.
La fuente de Seguridad Nacional consultada incide en la necesidad de “una buena oferta de los estudios de grado y posgrado para todos los perfiles en ciberseguridad” y de “despertar el interés por las carreras tecnológicas a edad temprana, por ejemplo promocionando las profesiones CTIM (Ciencia, Tecnología, Ingeniería y Matemáticas) en los ciclos formativos. También considera relevante dar a conocer las oportunidades y ventajas del sector (salarios, flexibilidad, proyección, etc.).
El documento del INCIBE no se aleja de las soluciones expuestas por las personas aquí consultadas. Respecto a las iniciativas que posibilitarían incrementar la presencia de mujeres en posiciones de ciberseguridad, el documento señala “la gestión de las vocaciones, ya sea a edad temprana (educación primaria o secundaria obligatoria) o en ciclos educativos superiores”, eliminar los obstáculos culturales e impulsar programas de impulso de mujeres en investigación en ciberseguridad.
Ortiz cree que es imprescindible comunicar: “lograr que los temas sobre tecnología, ingeniería, inteligencia artificial y ciberseguridad se traten de forma regular en los medios de comunicación generalistas y promover la importancia de las competencias digitales para todas las personas”. “También es fundamental explicar cómo la tecnología y las ciencias pueden hacer del mundo un lugar mejor y ayudar a proteger y cuidar a las personas”, añade. En Women4Cyber Spain promueven, por cierto, el programa ‘Women4Cyber Spain Startup School’, que apoya a emprendedoras en ciberseguridad.
Si se acciona el cambio con voluntad real y medidas específicas e inversión desde lo público y lo privado, así como desde la educación y la ruptura de estereotipos, progresaremos adecuadamente en dirección a la paridad en ciberseguridad, también en puestos de dirección y liderazgo. Como sostiene Barrera, “es cuestión de tiempo”. Ojalá sea así, porque no llegaremos lejos sin la mitad del talento.