El año pasado no cesaron los titulares sobre ataques a la ciberseguridad. Gobiernos extranjeros han manipulado la cadena de suministro de software, han atacado servidores locales y han pirateado archivos gubernamentales confidenciales. Grupos criminales de ransomware han atacado escuelas, penetrado en hospitales y cerrado un oleoducto nacional crítico. Como documentamos en el reciente Informe de Defensa Digital de Microsoft, estos ataques crecen y se hacen cada vez más sofisticados. Hemos entrado en una nueva era internacional que no llega a ser una guerra, pero con constantes ataques extranjeros a la ciberseguridad que amenazan no sólo a nuestras empresas, sino también a nuestros estudiantes, la sanidad y la vida cotidiana.
Reconocemos que nadie tiene una mayor responsabilidad a la hora de abordar las amenazas a la ciberseguridad que las principales empresas tecnológicas. Por eso hemos aumentado las inversiones en ciberseguridad y ampliado nuestros esfuerzos en Microsoft, colaborando estrechamente con líderes gubernamentales y empresariales de todo el país. A principios de este año nos comprometimos a invertir 20.000 millones de dólares en cinco años para mejorar nuestras soluciones de seguridad y proteger a los clientes, así como 150 millones de dólares para ayudar a las agencias gubernamentales estadounidenses a mejorar sus protecciones y ampliar nuestras asociaciones de formación en ciberseguridad. Y, como ya dijimos a principios de esta semana, seguimos innovando y ofreciendo nuevas soluciones a clientes y particulares de todo el mundo, como el inicio de sesión sin contraseña, la gestión de identidades, la seguridad de puntos finales y mucho más.
Pero este trabajo también ha traído consigo una constatación adicional y desalentadora: los retos de ciberseguridad del país reflejan en parte una grave escasez de mano de obra. Hasta que no corrijamos la escasez de mano de obra en ciberseguridad, no conseguiremos reforzar la protección de la ciberseguridad del país.
Por eso, Microsoft lanza hoy una campaña nacional con las universidades comunitarias de Estados Unidos para ayudar a capacitar y contratar a 250.000 personas en el ámbito de la ciberseguridad de aquí a 2025, lo que representa la mitad de la mano de obra que falta en el país. Aunque algunas de estas personas trabajarán en Microsoft, la gran mayoría lo hará para decenas de miles de otras empresas de todo el país.
Pero incluso con este esfuerzo, se necesitará mucho más para resolver este problema. Por eso escribo este blog: para compartir lo que hemos aprendido hasta ahora y animarnos a todos a aprender más unos de otros y a hacer más juntos para abordar con urgencia un problema que debemos tratar como una crisis nacional.
* * *
Escasez crítica de mano de obra en ciberseguridad en Estados Unidos
Permítanme empezar con dos experiencias personales que ilustran los problemas que debemos resolver.
El primer momento fue en febrero, cuando analizamos el trabajo de Microsoft para responder a los sofisticados ataques rusos que se originaron con la manipulación el año pasado de una actualización de software de SolarWinds. Al principio llegamos a la conclusión de que la mayoría de los clientes podían protegerse contra los ataques aplicando las mejores prácticas de ciberseguridad. Es un fenómeno que también hemos visto repetidamente cuando trabajamos con clientes en ataques de ransomware. Respondimos al incidente de Solorigate en parte publicando más de 30 blogs para que los profesionales de la ciberseguridad pudieran entender los problemas técnicos y abordarlos para sus empleadores. Pero descubrimos que la escasez de trabajadores formados en ciberseguridad ralentizaba las respuestas de nuestros clientes. En resumen, no había suficientes personas con la formación necesaria para leer todo lo que escribíamos.
El segundo momento llegó este otoño mientras viajaba por el país. Un lunes por la mañana, en Green Bay (Wisconsin), un grupo de empresarios locales hablaban de sus frustraciones en materia de contratación. En palabras de una persona, "todas las pequeñas empresas y start-ups que conozco se quejan de que no encuentran gente con conocimientos de ciberseguridad". A medida que me desplazaba de un estado a otro, las personas y las salas de conferencias cambiaban, pero la conversación seguía siendo la misma.
Hemos trabajado para comparar lo que hemos oído con una evaluación de datos más amplia. Por eso pedimos a uno de nuestros equipos de análisis de datos que reuniera los mejores conjuntos de datos sobre mano de obra del país, incluidos los de LinkedIn y cyberseek.org. Y las conclusiones son sorprendentes.
Considera esto... Hoy en día, por cada dos puestos de trabajo en ciberseguridad en Estados Unidos, un tercero está vacío debido a la escasez de personal cualificado. Es como ir a la Serie Mundial de béisbol con sólo seis jugadores en el campo cuando el otro equipo tiene los nueve. (Y como nos encontramos cada día en Microsoft, los adversarios de la ciberseguridad de la nación están alineando equipos completos y de talla mundial). 
Actualmente hay 464.200 puestos de trabajo vacantes en Estados Unidos que requieren conocimientos de ciberseguridad. Representan el 6% de todos los puestos vacantes del país.
Así es. más de uno de cada 20 puestos de trabajo vacantes en Estados Unidos requiere conocimientos de ciberseguridad.. Y todas las previsiones muestran que el número de estos puestos de trabajo crecerá aún más en los próximos años.
Y son trabajos estupendos. Pagan una media de 105.800 dólares al año. Algunos son puestos de ciberseguridad a tiempo completo, como el de Director de Seguridad de la Información (CISO). Otros implican una combinación de ciberseguridad y otras funciones informáticas. En nuestra opinión (ligeramente sesgada), el trabajo es fascinante y noble. Y vivas donde vivas en Estados Unidos, hay muchos puestos vacantes de ciberseguridad cerca de ti.
Hemos creado el siguiente panel de Power BI para que pueda consultar los detalles de cada estado del país.
Hay otra buena noticia. Muchos de estos puestos vacantes no requieren un título universitario de cuatro años. Puedes optar a ellos si obtienes un certificado reconocido por la industria o si obtienes un certificado o un título asociado en un colegio comunitario.
En resumen, esperamos que las personas de todas las edades interesadas en la ciberprotección del país consideren el medio millón de puestos de trabajo abiertos en ciberseguridad como una invitación personal a un futuro gratificante y apasionante. Y estamos dispuestos a poner la tecnología, los recursos financieros, los materiales de aprendizaje, las conexiones y la voz de Microsoft detrás de una nueva campaña nacional para ayudar a dar el siguiente paso.
Reunir los recursos de la nación
Durante meses hemos estado trabajando para desarrollar un plan que ayude a ampliar y reforzar la mano de obra en ciberseguridad. Dada la magnitud del reto, pronto se hizo evidente que el éxito requerirá que el país reúna sus recursos más importantes. Esto incluye los esfuerzos de grupos sin ánimo de lucro y empresas de todo el sector tecnológico. Requerirá una labor más intensa por parte de las universidades del país. Pero, por encima de todo esto, una conclusión se alzó sistemáticamente a la cabeza. Es la siguiente:
Tenemos que movilizar a las universidades comunitarias de Estados Unidos y alistarlas en la batalla de la ciberseguridad.
Las universidades comunitarias son el mayor activo potencial de Estados Unidos para ampliar la mano de obra en ciberseguridad. Son uno de los activos más notables y omnipresentes de la nación y, con alguna ayuda específica, pueden actuar rápidamente para ayudar a abordar la escasez de mano de obra en ciberseguridad. Pensemos en lo siguiente:
- Los colegios comunitarios están en todas partes. Hay 1.044 colegios comunitarios en todos los estados y territorios, y en todos los entornos: urbano, suburbano, rural y tribal. Como nos dijo recientemente un dirigente de un colegio comunitario, "hay tres cosas que se pueden encontrar en todas partes en Estados Unidos: una panadería, un banco y un colegio comunitario."
- Los colegios comunitarios atienden a estudiantes de todas las etapas educativas, desde los recién graduados de secundaria hasta los que buscan empleo o forman parte de la población activa. Actualmente, 11,8 millones de estadounidenses asisten a clases en un colegio comunitario. Casi dos tercios (65%) asisten a clase a tiempo parcial, mientras tienen trabajo o ayudan a sacar adelante a sus familias (o ambas cosas). Esto los convierte en lugares ideales para las personas que desean ampliar su actual conjunto de habilidades desarrollando conocimientos de ciberseguridad.
- Los colegios comunitarios son flexibles. Curiosamente, el 58% de los estudiantes de los community colleges están matriculados en cursos con créditos, mientras que el 42% restante lo están en cursos sin créditos, de formación laboral y de capacitación. Son idóneos para ayudar a los trabajadores estadounidenses a adquirir las cualificaciones adicionales que deseen de la forma que deseen, de poco a mucho.
- Los colegios comunitarios son eficaces. En 2018-2019, los colegios comunitarios otorgaron 878,900 títulos asociados, 619,711 certificados y 20,700 títulos de bachillerato.
- Los colegios comunitarios son más asequibles. La media anual de los colegios comunitarios es de sólo 3.770 dólares de matrícula y tasas, frente a los 10.560 dólares de los colegios públicos de cuatro años. Además, el 59% de los estudiantes de colegios comunitarios pueden acceder a ayudas económicas, incluido el 33% que recibe becas Pell.
- Los colegios comunitarios son diversos. Los estudiantes de los community colleges reflejan la diversidad de Estados Unidos: el 40% son negros, afroamericanos o hispanos. Además, el 29% son la primera generación de su familia que asiste a la universidad, el 20% son estudiantes con discapacidades y el 5% son veteranos. Y el 57% de los estudiantes de los colegios comunitarios son mujeres.
Este último aspecto es importante por una razón adicional. Actualmente, la mano de obra de la ciberseguridad del país carece notablemente de diversidad. Hoy en día, el 82,4% de los puestos de ciberseguridad del país están ocupados por hombres y el 80% por personas de raza blanca. Necesitamos crear una mano de obra de ciberseguridad más numerosa y diversa. Las universidades comunitarias están en una situación única para ayudar al país a conseguir ambas cosas.
Una nueva asociación para ayudar a los colegios comunitarios a avanzar más rápido
Desde enero hemos pasado tiempo trabajando y escuchando a administradores, profesores y estudiantes de 14 colegios comunitarios de seis estados de todo el país, en concreto:
Nuestro objetivo ha sido conocer mejor sus necesidades y saber cómo podemos serles más útiles. También hemos pasado un tiempo muy valioso con líderes nacionales de la Asociación Americana de Colegios Comunitarios y del Centro Nacional de Formación y Educación en Ciberseguridad (NCyTE), situado al norte de Seattle, en Bellingham (Washington), en el Whatcom Community College.
Una cosa que oímos repetidamente es que cuando los colegios comunitarios invierten e innovan en ofertas de ciberseguridad, los beneficios para los estudiantes y la comunidad llegan rápidamente. Por ejemplo, en Cheyenne (Wyoming), el Laramie County Community College ha desarrollado un nuevo laboratorio de hardware que denomina Cyber City y Cyber Range. Los estudiantes utilizan los dos entornos cibernéticos para atacar y defender una ciudad simulada mientras aprenden las distintas formas en que se producen los ciberdelitos. Desplegados utilizando una parte de los recursos proporcionados a la escuela como miembro del programa Microsoft Datacenter Academy, los estudiantes aprenden y progresan a un ritmo impresionante incluso para un experto en ciberseguridad.
Del mismo modo, nos hemos asociado con el profesorado del Fox Valley Technical College de Appleton, Wisconsin, mi ciudad natal, para poner en marcha nuevas iniciativas de ciberseguridad. Como han informado, "el talento cibernético está muy demandado". Los participantes en estas iniciativas conseguirán rápidamente empleo en una gran variedad de sectores.
¿Cuáles son los obstáculos a los que se enfrentan los colegios comunitarios?
Esta pregunta es aún más importante, y la respuesta es triple.
En primer lugar, los colegios comunitarios necesitan acceder a materiales curriculares de última generación que puedan desplegar de inmediato y utilizar ampliamente para ampliar sus cursos.
En segundo lugar, formar a más profesores para que impartan clases en programas de ciberseguridad, así como cursos que no hayan impartido antes para hacer frente a las amenazas emergentes.
En tercer lugar, tienen que ampliar las ayudas económicas y los servicios de aprendizaje adicionales para ayudar a más estudiantes a obtener títulos y certificados de ciberseguridad, especialmente si queremos llegar a la población más diversa que no está bien representada en el campo de la ciberseguridad hoy en día.
Si somos capaces de superar estos tres obstáculos, podremos aprovechar el poder de las universidades comunitarias del país para hacer frente a la escasez de mano de obra en ciberseguridad.
Nueva campaña de empleo en ciberseguridad de Microsoft
Microsoft lanza hoy una campaña de cuatro años para ayudar a cubrir 250.000 puestos de trabajo en ciberseguridad en Estados Unidos para mediados de esta década. Con ello se cubrirá la mitad de la escasez nacional de mano de obra en ciberseguridad. Nuestro compromiso inicial será:
- Poner el plan de estudios a disposición gratuita de todos los colegios comunitarios públicos del país.
- Impartir formación al profesorado nuevo y existente de 150 colegios comunitarios.
- Proporcionar becas y recursos complementarios a 25.000 estudiantes.
Estos son algunos de los detalles:
- Impartir planes de estudios listos para la enseñanza y desarrollados por la industria para los colegios comunitarios.
A través del programa Microsoft Learn for Educators, proporcionaremos a todos los colegios comunitarios del país (y a todas las instituciones de educación superior) acceso a planes de estudios gratuitos, formación para educadores y herramientas para la enseñanza. Esto incluirá materiales de curso alineados con la certificación Microsoft Security, Compliance and Identity Fundamentals (SC-900) y Microsoft Azure Security Technologies (AZ-500). Para apoyar aún más la entrega del plan de estudios de Microsoft listo para enseñar, también proporcionaremos a los profesores de todas estas instituciones acceso a recursos adicionales, incluyendo exámenes de práctica y certificación gratuitos, apoyo para la integración del plan de estudios, sesiones de preparación para la entrega del curso dirigidas por instructores técnicos de Microsoft, y acceso a nuestra comunidad global de educadores comprometidos a ayudar a los estudiantes a tener éxito. También continuaremos desarrollando y ampliando nuestro trabajo para proporcionar a las instituciones educativas un fácil acceso a los cursos a través de LinkedIn Learning.
- Desarrollar la capacidad educativa y administrativa en las vías de aprendizaje de la ciberseguridad
Profundizaremos aún más con 150 colegios comunitarios para ayudar a estas instituciones a formar y retener al profesorado de ciberseguridad. Nos asociaremos con el Centro Nacional de Formación y Educación en Ciberseguridad (NCyTE) para ofrecer al profesorado mayores oportunidades de desarrollo profesional y ayudar a estas instituciones a obtener la designación de Centro de Excelencia Académica en Ciberdefensa (CAE-CD). Este apoyo sentará las bases de la formación en ciberseguridad en casi el 15% de los colegios comunitarios de Estados Unidos.
También trabajaremos con la Asociación Americana de Colegios Comunitarios para poner en marcha una comunidad de prácticas para instituciones que ofrecen educación en ciberseguridad. Concederemos subvenciones para financiar y prestar asistencia técnica a 42 colegios comunitarios que están acelerando sus programas de ciberseguridad. Nuestro objetivo es aprender de este esfuerzo y explorar formas de ampliar las prácticas prometedoras a otros colegios comunitarios de todo el país.
- Anuncio del Programa de Becas de Ciberseguridad de Microsoft
Por último, hoy lanzamos un nuevo programa nacional de becas de Microsoft sobre ciberseguridad. Proporcionaremos becas y recursos adicionales que llegarán al menos a 25.000 estudiantes durante los próximos cuatro años. Esto proporcionará financiación para complementar la ayuda financiera federal, estatal y de otro tipo existente que ya está disponible pero que no es suficiente para satisfacer las necesidades de los estudiantes, especialmente en el extremo inferior del espectro de ingresos. Esta financiación ayudará a hacer frente a los costes de matrícula, así como a otros retos financieros que a menudo se interponen en el camino de la finalización de los cursos, incluidos los costes de los exámenes de certificación y los gastos de guardería.
Nuestro nuevo programa también incluirá el apoyo de herramientas críticas para el éxito, incluyendo la tutoría de los empleados de Microsoft y apoyos a los estudiantes, así como cuentas gratuitas de LinkedIn Premium para ayudar a cerrar la brecha de redes y conectarlos con puestos de trabajo. Los estudiantes también recibirán acceso a los beneficios de educación de GitHub, incluyendo paquetes de desarrolladores estudiantiles y acceso a eventos locales patrocinados por GitHub. Este nuevo programa se asociará en parte con el Last Mile Education Fund, a través del cual proporcionaremos becas de ciberseguridad de Microsoft a 10.000 estudiantes de bajos ingresos -incluidos veteranos- en colegios comunitarios que cursen carreras y certificaciones de ciberseguridad.
No sólo un programa, sino una campaña
Creemos que las medidas que estamos tomando hoy pueden contribuir de forma importante a resolver la escasez de mano de obra en ciberseguridad en Estados Unidos. Pero también sabemos que se necesita mucho más. Por eso estamos pensando en este esfuerzo no sólo como un programa, sino como una campaña. Basada en nuestra iniciativa global Microsoft Skills for Jobs, esta nueva campaña puede crecer rápidamente para implicar a más empresas, más organizaciones sin ánimo de lucro y gobiernos a nivel federal, estatal y local. Con voluntarios adicionales de otras empresas y recursos financieros añadidos, podemos ampliar aún más nuestra escala para cubrir todas nuestras necesidades nacionales.
También reconocemos la importancia de llegar a otras instituciones educativas. Ya nos estamos preparando para apoyar a otras instituciones, incluidas las universidades de cuatro años, entre ellas las Historically Black Colleges and Universities y las Hispanic-Serving Institutions del país. Permanezcan atentos a los pasos que vayamos dando en los próximos meses.
En última instancia, también se trata de salir y convencer a la gente de todo el país para que considere la oportunidad de seguir una carrera en ciberseguridad. Eso es algo que también haremos: hablar en los campus, en las cámaras de comercio y llegar a la gente tanto en persona como a través de las redes sociales y las reuniones virtuales.
Queremos dar a la gente de todo el país la oportunidad de ver más claramente algo que vemos directamente en Microsoft todos los días. Si queremos proteger el futuro de la nación, tenemos que reforzar la protección de la ciberseguridad. Y necesitamos una mano de obra de ciberseguridad más numerosa y diversa para tener éxito. Hay grandes puestos de trabajo esperando a ser ocupados. Ahora necesitamos reclutar el talento y proporcionar las habilidades que la gente necesita.
En muchos días y en muchos temas, los desacuerdos pueden dividir a nuestro país. Pero necesitamos una campaña de empleo en ciberseguridad que proteja a la nación y nos una a todos. Estamos comprometidos con su éxito.