Carlos Alberto Saiz, vicepresidente de ISMS Forum.

Carlos Alberto Saiz, vicepresidente de ISMS Forum.

Tecnología Entrevista

"Hacen falta miles de profesionales en ciberseguridad y el sector está bastante bien pagado"

Carlos Alberto Saiz, vicepresidente de ISMS Forum y socio de Ecix Tech, asegura que la IA está provocando "más ciberataques en menos tiempo".

Publicada

Unos 80 directivos de ciberseguridad de grandes empresas se reúnen este fin de semana en Málaga en la 15ª edición de la CISO Academy, una iniciativa impulsada por el ISMS Forum. Van a hablar de amenazas, estrategias y de la nueva directiva NIS2, entre otros muchos aspectos.

Carlos Alberto Saiz es vicepresidente de ISMS Forum y socio de Ecix Tech y ha concedido una entrevista a EL ESPAÑOL de Málaga en la que la ciberseguridad es la principal protagonista.  

¿Qué supone para ISMS Forum la realización de esta jornada sobre ciberseguridad?

Llevamos diseñando jornadas con CISO´s y Profesionales de la Ciberseguridad desde hace muchos años, y sin duda este formato de jornada es muy especial por el nivel de conocimientos que se comparten entre los asistentes, así como por la generación de un mayor vínculo entre la comunidad de profesionales del sector.

¿Por qué se ha elegido Málaga?

Sin duda Málaga se ha convertido en una de las ciudades más importantes para la ciberseguridad en nuestro país. Ha sido muy clara la apuesta de gigantes tecnológicos por su establecimiento en la ciudad, y tiene un fantástico poder de atracción de talento ciber. Además, una jornada de fin de semana permite conjugar muy bien las horas de trabajo, talleres y reflexión con momentos culturales y de ocio en una ciudad como Málaga.

"Málaga se ha convertido en una de las ciudades más importantes para la ciberseguridad en nuestro país. Tiene un fantástico poder de atracción de talento ciber"

¿Han incrementado las empresas el interés o la inversión en ciberseguridad?

Lamentablemente el interés en ciberseguridad es creciente porque también crecen el número de amenazas y ciberataques que sufren todo tipo de organizaciones, públicas y privadas, grandes y pequeñas. Desde hace muchos años la inversión en ciberseguridad sigue creciendo, lo cual es inevitable para acompañar a las entidades en sus procesos de transformación digital. Pero es posible que aún no sea suficiente, los profesionales estamos convencidos de que debemos seguir generando una cultura de ciberseguridad en todos los estamentos, instituciones y empresas. No se puede tener una Economía Digital potente sin ciberseguridad. 

¿Qué formación es necesaria para ser experto en ciberseguridad?

Lo cierto es que hablamos de una materia que ha crecido mucho en estos años y que tiene muchas aristas, lo cual implica que exista una taxonomía de diferentes perfiles de profesionales de ciberseguridad: directores, operadores, analistas, consultores de riesgos, expertos en normativa, etcétera. 

En nuestro país existe una amplia variedad de formaciones en materia de ciberseguridad, desde Masters para estudiantes hasta programas ejecutivos para Directivos. Desde ISMS Forum llevamos potenciando la formación y certificación profesional desde hace más de 15 años y seguimos innovando en cuestiones de máxima actualidad como, por ejemplo, los riesgos de la IA.

¿Hay mucha demanda laboral en España?

En España, al igual que en el resto de países de nuestro entorno, hacen falta miles de profesionales en ciberseguridad. Existen muchos puestos que cubrir tanto en entidades públicas como en el sector privado. Desde una Asociación como ISMS Forum intentamos fomentar la especialización de perfiles profesionales que vienen de entornos relacionados como la tecnología, los procesos de calidad o el mundo jurídico.

¿Cómo es el salario en el sector?

Actualmente creo que el sector de ciberseguridad está bastante bien pagado, hablando en general y siempre dentro del contexto de los salarios en España. La escasez de perfiles hace que se ofrezcan buenas condiciones a los profesionales que se incorporan al sector, si bien, también percibimos que los profesionales más jóvenes valoran otros factores importantes más allá del salario, como los días de teletrabajo, la flexibilidad, la formación o la proyección profesional.

Y por supuesto no podemos comparar los salarios de un mismo perfil profesional de ciberseguridad en nuestro país con lo que se paga en Reino Unido o Estados Unidos. 

¿Hay más amenazas para empresas, instituciones e incluso particulares que nunca?

Sin duda. Todos los reports anuales de empresas e instituciones públicas presagian que hay más tipologías y número de amenazas y de ciberataques. De hecho, al igual que la IA se está aprovechando por muchas compañías para automatizar tareas y procesos, los ciberatacantes están utilizando la IA para crear más tipos y sobre todo mucho más ciberataques en menos tiempo.

"Vamos consiguiendo mayor conciencia en los directivos que toman decisiones sobre los riesgos de ciberseguridad y los presupuestos siguen aumentando, pero vivimos en un entorno de cambios tecnológicos continuos"

¿Estamos realmente protegidos?

No existe la ciberprotección perfecta ni el riesgo cero. Creo que tenemos muy buenos profesionales, vamos consiguiendo mayor conciencia en los directivos que toman decisiones sobre los riesgos de ciberseguridad y los presupuestos siguen aumentando, pero vivimos en un entorno de cambios tecnológicos continuos, que además cada vez son más rápidos. También se ha generado todo un nuevo marco normativo que ha transformado buenas prácticas de ciberseguridad en requisitos obligatorios para muchas entidades, tanto públicas como privadas.

¿Qué implica la directiva NIS2 de la que van a hablar en la jornada?

La Directiva NIS2 supone la elevación del listón de ciberseguridad para muchas compañías europeas que son esenciales o importantes en multitud de sectores y servicios que tanto ciudadanos como empresas recibimos. Las obligaciones regulatorias de NIS2 implica mejorar los análisis y gestión de riesgos, el establecimiento de controles y su monitorización, la diligencia debida en la cadena de suministro y proveedores, la gestión de incidentes de seguridad, la formación a empleados y directivos, etc. Y por supuesto incluye un régimen sancionador para las entidades que no cumplas con tales requisitos a través de las facultades de diferentes autoridades de control.