La falta de reconocimiento, el estrés causado por la pandemia y las duras consecuencias emocionales de los incidentes están pasando factura a los expertos en ciberseguridad

Los peores momentos de la pandemia van quedando atrás y la normalidad se recobra poco a poco. Pero mientras esto sucede, la industria de la ciberseguridad debe adoptar una serie de medidas para evitar un riesgo que puede ser inminente: que el sector se llene de trabajadores quemados.

En Estados Unidos, el tiempo que aguanta un analista de seguridad en su puesto de trabajo es de una media de 26 meses. Estos son los datos del estudio de 2020 que ha elaborado el Instituto Ponemon y FireEye, que recogía hace unos díasBusiness Insider. En 2019 el tiempo medio de un profesional en su puesto era de un mes más, 27 meses. La cifra sigue cayendo.

En el estudio, el 80% de los encuestados adujeron que las principales causas por las que dimitir era precisamente el estresante aumento de la carga de trabajo que había aparejado la pandemia en el mundo de la ciberseguridad. Los ciberataques crecen, y aunque las inversiones en seguridad también, quienes más sufren el vertiginoso crecimiento del sector son sus profesionales.

Debido a la naturaleza de su trabajo, muchos analistas y ciberexpertos llevan esta procesión por dentro: un puesto en la industria de la seguridad informática requiere discreción y a menudo compromiso. Los ataques pueden llegar en cualquier momento, y la defensa de la infraestructura tanto en una empresa como en el sector público es una agotadora carrera contrarreloj.

El mejor 'cazador de ransomware' del mundo vive aislado y rodeado de cámaras en un lugar secreto en Reino Unido por las amenazas que recibe a diario de las mafias de ciberdelincuentes

Lo reflejó así el responsable TI de la Universidad de Castilla-La Mancha, que sufrió el impacto de un ransomware hace unos meses y obligó a movilizar a todo el equipo de Sistemas hasta bien entrada la noche de un domingo.

Rachael Cornejo es un analista que trabaja para una ONG llamada Global Cyber Alliance, y ha impulsado iniciativas en las redes sociales para obligar a las firmas de seguridad a tomar medidas que garanticen la salud mental de sus trabajadores. El vínculo entre ciberseguridad y salud mental es muy estrecho.

"Lo que demuestra que un departamento de Ciberseguridad hace bien su trabajo es que no sabes ni que están ahí". Lo malo es que solo descubres que sus profesionales existen "cuando algo ha ido mal". "Es una situación muy estresante en la que se está constantemente", lamenta Cornejo.

En España la situación es similar. Universidades, gobiernos y empresas advierten desde hace años que en el país (y en todo el mundo) hay una enorme brecha de talento que cerrar. Con este término los expertos aducen que hacen falta decenas de miles de trabajadores formados en ciberseguridad pero que los mismos no existen.

Muchos trabajadores respondieron con contundencia en este reportaje publicado en Business Insider España. Advirtieron de algo esencial: no es que falten profesionales de ciberseguridad, es que cobran mal y muchos deciden teletrabajar para empresas de fuera o directamente salir del sector.

Aparejada a las malas condiciones que muchos profesionales denuncian, la situación de estrés constante, a medida que los ciberataques crecen (y más en verano) puede ocasionar una oleada de salidas que podría agravar la situación.

Selva Orejón es especialista en ciberseguridad y directora de onBRANDING, una firma que se dedica a la reputación en línea tanto de marcas como de particulares. Atiende a Business Insider España a pesar de que está de vacaciones, y confirma que desconectar se torna imposible a pesar de que se esté en agosto. 

Hace unos meses, en un evento organizado por este medio, abundó en las consecuencias emocionales de la ciberseguridad.

Los datos de 10.000 cuentas de Facebook, 'secuestrados' por un malware de Android que opera en decenas de países, entre ellos España

"Muchos amigos, familiares, vecinos, conocidos... Como saben a lo que me dedico, aunque esté de vacaciones, recurren a nosotros. Cuando a alguien le han estafado 9.000, 12.000 o 50.000 euros, ¿cómo no vas a ayudar? Primero me sale de forma humana. Y teniendo el conocimiento, ¿cómo no voy a hacerlo?", resume.

Orejón ejemplifica con que el día en el que conversó con Business Insider España había "intentado" desconectar. "Todo el día en la montaña. Pero cuando he bajado, tenía a una amiga a la que le habían estafado, a otra con dudas de que si la persona con la que estaba chateando era quien decía ser, y una tercera con dudas sobre WhatsApp", apunta.

Algo de resignación. "Aunque los derive a mi equipo, que sí está trabajando, está claro que el cibercrimen se ha expandido de tal manera que ahora mismo no hay esquina en la que no le esté pasando algo a alguien".

Cómo evitar trabajadores quemados en ciberseguridad

Orejón recuerda el caso de un amigo suyo que recaló en una multinacional. Procedía de otra gran firma internacional. "Salió quemadísimo por temas de horarios". Trabajaba en un departamento de Seguridad. "Sufrió burnout", concluye. "Hubo un tiempo en el que no podía ni contestar ni a WhatsApp ni a Twitter".

Ese amigo publicó hace poco en sus redes sociales un comentario. "Si contestase. todo lo que me están pidiendo amigos, no tendría por qué seguir trabajando en la multinacional". Un ejemplo de cómo de demandados están los servicios de profesionales y analistas en ciberseguridad.

Incluso en la compañía de Selva Orejón sucede. "Hemos tenido que fichar a nuevas personas porque algunos se han marchado tras conseguir plaza en la Administración. Se han hecho funcionarios. Y creo que no es casual", apunta. "No se han ido a al competencia. Se han ido por tener mejores horarios. La tranquilidad de que no va a haber emergencias cuando se acabe el turno".

Así entrenan los expertos en ciberseguridad de Telefónica: dos guerrillas de hackers profesionales luchan a diario en secreto para prepararse ante ciberataques reales

Orejón rechaza que fuese una cuestión de malas condiciones. Lo rechaza de plano. "No es el caso. Necesitaban desconectar del nivel de estrés al que estamos sometidos". La firma de Orejón es muy peculiar. Aunque monitorizan la dark web y la red en su conjunto para garantizar la seguridad y reputación de marcas y corporaciones, muchos de los casos que aceptan son de particulares.

Casos con testimonios desgarradores que afectan sobre todo a menores o a ancianos, dos de los colectivos más propensos a ser vulnerables frente a ciberdelincuentes. Casos que requieren de urgencia.

"El nivel de saturación que hemos tenido es brutal", rememora Orejón, con la vista puesta en la pandemia que poco a poco se va dejando atrás. "Yo personalmente recomiendo mucho solicitar ayuda para gestionar emociones. Quizá ir a un psicólogo. Yo hago boxeo y para mí es casi una religión: necesito ir a mis clases para ir drenando todo".

Más flexibilidad laboral

La principal recomendación que Cornejo hacía a las compañías de seguridad en el reciente artículo de Business Insider es que, si querían evitar que sus trabajadores se quemaran, siguiesen invirtiendo en ellos.

Depresión y ansiedad: la pandemia tras la pandemia que ya está afectando a miles de profesionales sanitarios

Económicamente no siempre es posible, pero en España una firma de ciberseguridad nacional que trabaja con muchas compañías del Ibex 35, Tarlogic, ha anunciado un plan para permitir el teletrabajo desde cualquier punto del país de forma perpetua a la vez que practican un piloto sobre la jornada de 4 días.

De esta manera, su CEO, Andres Tarascó, reveló en una entrevista con Business Insider España que lo que pretendía la firma era atraer el talento que "no quiere volver a la oficina". "La forma de poder competir en el talento es mediante dos vías: con mejores salarios o con mejores medidas de flexibilidad laboral", adujo.

Con respecto a la primera vía, Tarascó reconocía que "una empresa afincada en España tiene sus limitaciones". Pero por esa misma razón, Tarlogic está abogando por la segunda. "Ahí creemos que el teletrabajo, la jornada de 4 días, más días de vacaciones y todo ese tipo de iniciativas es lo que al final influye en que un trabajador decida venir a Tarlogic, o que el que ya está decida quedarse".