Félix Antonio Barrio, director general de INCIBE, el Instituto Nacional de Ciberseguridad

“Para crear talento digital es necesaria una estrategia a largo plazo no medidas puntuales”

Leonés de pro, su nuevo cargo le viene perfecto y no solo geográficamente al encontrarse precisamente en León la sede de INCIBE, el Instituto Nacional de Ciberseguridad. Un organismo del que conoce prácticamente toda su historia ya que Félix Barrio, nuevo director general de INCIBE, lleva ligado a la entidad desde 2007, año en el que se incorporó como subdirector de Ciberseguridad para la Sociedad y la Empresa.

Analizamos con él no sólo cómo la ciberseguridad es una preocupación y por ende uno de los objetivos estratégicos de la digitalización de España sino también el cada día mayor protagonismo que representa INCIBE más allá de nuestras fronteras o cómo abordar la creación de talento digital, algo que, en su opinión, no puede solventarse de forma urgente, con medidas para ya sino que requiere de un plan a largo plazo, que involucre a Administración Pública, ámbito académico y sector empresarial.

-Apenas lleva unos meses en su cargo. Lo primero, enhorabuena y, cómo no, ¿qué tal el desembarco?

Pues sin duda es un momento apasionante en todos los sentidos. La aceleración, por decirlo de algún modo, de todo lo digital que estamos viendo tiene su parte buena pero también su lado no tan positivo. Estamos ante un claro impulso de la conectividad, de los servicios digitales, del acceso de las pymes al comercio electrónico, etc. pero también esto ha supuesto que se han multiplicado las amenazas.  Esto implica que todos los organismos gubernamentales de ciberseguridad estemos intentando multiplicar todos nuestros programas y efectivos además de crear nuevos servicios…

Es decir, estamos en un momento óptimo en cuanto a que todos queríamos incrementar el nivel de digitalización pero al mismo tiempo es un momento de clara preocupación en el que necesitamos ser capaces de responder a tantos retos.

-Y en esa preocupación común, la inversión en tecnología para proteger la información e infraestructuras por parte de la AA.PP. es evidente pero ¿cree que es suficiente?

Yo creo que sí. Es una inversión que, por volumen, no tiene precedentes pero, además, su valor es que está condicionada por una capacidad de respuesta en los agentes privados. Tenemos programas para estimular tanto la demanda como la oferta en ciberseguridad; en la demanda, hemos lanzado el Kit Digital que tiene una inversión de 3.100 millones de euros en subvenciones directas para pymes y profesionales autónomos y del que, hasta el momento, hemos recibido 16.000 solicitudes, de las que el 9 por ciento han sido precisamente de soluciones de ciberseguridad.

Yo creo que sí se está haciendo bien en cuanto que estamos multiplicando las posibilidades de recibir apoyo pero los tiempos tampoco son lo suficientemente rápidos y es que todo avanza muy deprisa. Por ejemplo, el servicio de atención telefónica, el 017, que pusimos en marcha en 2020, pues cerramos 2021 con 69.000 consultas atendidas; ahora hemos dimensionado el servicio para poder llegar este año a las 100.000 consultas atendidas pero podríamos llegar a 200.000. El problema es que muchas veces las empresas no conocen el propio servicio de ayuda que prestamos pero también, en otras ocasiones, es que no son conscientes realmente de que pueden ser víctimas de un ciberataque.

“Muchas veces las empresas no conocen el propio servicio de ayuda que prestamos pero también, en otras ocasiones, es que no son conscientes realmente de que pueden ser víctimas de un ciberataque”

Entonces, la respuesta es ¿vamos a un buen ritmo? Sí. ¿Podríamos ir más deprisa? Posiblemente, también sí. Pero hay que ver la parte medio llena de la botella y esa es que estamos multiplicando la inversión, ofreciendo más servicios y apoyo y mi balance, por tanto, es que, en general, estamos entre todos avanzando en la dirección correcta y hacia el ritmo necesario.

Crear una capa de proveedores certificados

-Usted mismo lo acaba de decir; si algo hay que este en constante evolución es precisamente la ciberseguridad, con nuevos ataques y amenazas diariamente. Sabe usted que los organismos públicos tienen unos procesos de adquisición de tecnología que no siempre son lo ágiles que debieran. ¿Deberían revisarse los procesos de compra e inversión en tecnología de la AAPP para no quedarse atrás en materias como esta?

Seguramente los procedimientos de contratación y de compras de la AA.PP. se pueden mejorar, todo es mejorable, pero también es cierto que, de nuevo, lo más importante radica en un círculo virtuoso en este caso en el que necesitamos cualificar y preparar a los proveedores de ciberseguridad.

Esto se ve muy bien cuando piensas en el problema que tienen las administraciones locales; es verdad que el nivel de esfuerzo para una pequeña administración local, un ayuntamiento de un municipio pequeño por ejemplo, es muy grande a la hora de dotarse de todo un sistema de ciberseguridad pero igual de cierto es que los proveedores que ya están prestando servicios tecnológicos a esas pequeñas entidades, les han vendido los ordenadores, les hacen el mantenimiento de la red, les han desarrollado la web, etc. necesitan tener capacidades para prestar esos servicios con las condiciones de ciberseguridad necesarias.

Por eso para nosotros esto es una prioridad: que se refuerce la capacidad de tener esa capa de pequeños proveedores, sobre todo pymes, certificados en este caso en el Esquema Nacional de Seguridad y que, de este modo, puedan prestar esos servicios sin necesidad de que todo el peso recaiga en la capacidad de los administradores públicos para poder adquirirlos.

O sea que tiene que haber ese círculo virtuoso en el que trabajemos en el lado de la demanda pero también en el de la oferta.

Dentro de ese plan de choque también estaba la aprobación del Real Decreto del nuevo Esquema Nacional de Seguridad (ENS) y en el propio texto se refuerza el papel de INCIBE como centro de referencia de los proveedores del Sector Público; por ello, estamos trabajando para multiplicar en este caso el canal de apoyo y soporte de incidentes pero además estamos comprometidos en ayudar a generar una nueva capa de proveedores de ciberseguridad así como a ayudar a que los que ya están puedan abordar los procesos de certificación del ENS y dotarse de capacidades.

Por eso yo creo que sí que se han adoptado las medidas necesarias, se ha identificado el problema y ceo que se va en el buen camino porque se está trabajando en toda la cadena de valor. Esto es lo que a lo mejor antes nos faltaba. Ahora tenemos una Agenda Digital para España que, desde el Plan Avanza es el programa más rupturista, innovador y con mayor inversión en todos estos temas y una preocupación específica en crear esa cadena de valor que permita acompasar el esfuerzo que tiene que hacer el organismo público con un tejido de proveedores en el sector privado que también este preparado para esa demanda.

-Hablando de la certificación de acuerdo al ENS, ¿es un proceso muy complicado? ¿La gente sabe qué tiene que hacer? Lo digo porque no hay muchos organismos públicos que lo estén haciendo…

Claro, es un proceso difícil y muchas veces lo es por que no tienes un referente de otro organismo que ya lo haya hecho y te cuesta mucho el adaptarlo. Si conozco otro organismo público, con el que incluso trabajo ya en determinados procesos, que a lo mejor incluso estamos a medio kilómetro de distancia, que yo sé que ha licitado, que se ha dotado de un sistema de apoyo o de gestión de su ciberseguridad, me va a resultar más fácil por que ya sé cómo lo han hecho ellos.

Por eso son tan importantes los casos de uso y que haya ese esfuerzo por llevar hasta la última organización pública la posibilidad de saber quién le puede ayudar y de qué manera.

Yo pienso que ese es quizás el mayor reto que tenemos ahora: la capacitación. Gracias a la  excelente colaboración que siempre hemos tenido con el Centro Criptológico Nacional yo creo que  vamos a poder avanzar rápido en ese sentido, porque vamos a poder tener interlocutores a ambos lados.

No se puede depositar todo el esfuerzo en un único lado de la balanza porque entonces se descompensa y esa es mi sensación, que hasta ahora habíamos trabajado un poco en paralelo y ahora lo hacemos con un marco común, mucho mejor coordinado y una gobernanza del modelo que va a dar resultados en el corto plazo.

Concienciar a pymes y sociedad

-Señalábamos antes, a día de hoy, aún son muchas las pymes y autónomos que no son conscientes de que pueden ser atacadas. ¿Cómo podemos llegar a ellos en esa labor de concienciación?

Pues además de a través de ese efecto de proximidad que decía antes de intentar tener pymes proveedoras formadas y capacitadas en ciberseguridad, no podemos dejar de lado las campañas de comunicación e información y la involucración, sobre todo, de las asociaciones empresariales, las cámaras de comercio, etc. Siempre responden muy bien y tenemos una relación estrecha y constante con ellas con programas como Acelera Pyme que nos está ayudando muchísimo al despliegue del Kit Digital.

-Si descendemos, por decirlo de algún modo, un peldaño más, nos encontramos con la sociedad en general, con colectivos como el de las personas mayores a los que, desgraciadamente, la ciberseguridad no es algo que dominen. ¿Cómo podemos luchar contra esa realidad? ¿Concienciación más formación?

Es cierto que no es solo una cuestión de hacer campañas de publicidad o información sin más, estas acciones tienen que estar muy bien dirigidas. Nosotros tenemos una colaboración con el Observatorio Nacional de Seguridad de la Información, el ONTSI con el que elaboramos un Panel de Ciberseguridad en el que se analiza el comportamiento de 3.000 familias y lo que sí puedo decir es que, año tras año, su preocupación y concienciación en temas de ciberseguridad, como por ejemplo la necesidad de instalar un programa antivirus en sus ordenadores, ha ido creciendo.

Es cierto que todavía hay que mejorar porque, por ejemplo, cuando hablamos de instalar ese mismo antivirus en el teléfono móvil vemos que en teléfonos Android aún hay un 40 por ciento que no tiene antivirus alguno pero ¡hay un 60 por ciento que sí! Cada vez es mayor el nivel de concienciación y preocupación aunque no podemos caer en triunfalismos.

Es cierto que hay colectivos como el que decías de las personas mayores con el que hay que realizar acciones concretas como la que hemos hecho, en colaboración con Policía Nacional, sobre el fraude bancario y ya estamos preparando nuevas campañas para más colectivos.

Pero sí, podemos decir que cada vez la sociedad española está más concienciada en cuanto a la ciberseguridad e, incluso, que su comportamiento respecto a otros países de nuestro entorno, es bastante bueno.  Pero seguro que podemos mejorar y por eso mismo no debemos bajar la guardia.

“La sociedad española está más concienciada en cuanto a la ciberseguridad e, incluso, que su comportamiento respecto a otros países de nuestro entorno, es bastante bueno”

-Otro gran problema en la lucha contra la ciberdelincuencia lo encontramos en la falta de talento, algo que, desgraciadamente, es común en prácticamente todas las nuevas tecnologías y ámbitos digitales. No hay suficientes profesionales expertos en ciberseguridad y, si me permite, menos aún dentro de lo que son los empleados públicos. ¿Cuál es la fórmula para  revertir esta situación?

Según el informe mercado laboral de la ciberseguridad, ObservaCiber, de nuevo realizado con el ONTSI, de mantenerse la situación actual, en 2024 tendremos 40.000 puestos de trabajo imposibles de cubrir en el área de la ciberseguridad.

La única solución es hacer una apuesta balanceada entre el sector público y el sector académico. Solo puede solucionarse con una estrategia de país que es lo que está haciendo España; en la Agenda Digital hay un objetivo estratégico que es, al menos, generar 20.000 plazas de cursos de especialización en ciberseguridad desde el Sector Público. Vamos a intentar cumplir ese objetivo mínimo porque es, como decía, tiene que ser un objetivo conjunto con los agentes privados.

Pero además son muy importante las acciones destinadas a facilitar que haya más gente estudiando estas disciplinas; no porque haya más plazas vamos a conseguir que haya más demanda, de hecho lo estamos viendo en el conjunto de disciplinas de ingeniería y de tecnología, no hay suficientes vocaciones para toda la oferta formativa. Pero sobre todo lo que queremos es que todos los profesionales que están saliendo al mercado laboral reúnan unas cualidades, habilidades que les permitan acometer el reto de la ciberseguridad.

Para esto, aparte de lo que establecido en la Agenda Digital, vamos a invertir 40 millones de euros en reforzar esa cadena del mercado laboral de la mano de las universidades.

En esa línea, vamos a lanzar una convocatoria específica de creación de cátedras universitarias de ciberseguridad, un programa con el que estamos muy ilusionados y que creemos nos va a permitir movilizar hasta 100 proyectos en la red académica española. Y paralelamente es necesario trabajar en primaria y secundaria, captando vocaciones en los escolares, sobre todo en el colectivo femenino; no puede ser que tengamos solo un 9 por ciento de mujeres en el sector profesional porque esa es una de las explicaciones al gap que existe entre la oferta y la demanda; tenemos que incrementar este porcentaje.

-¿Qué otros planes tiene para el INCIBE? ¿Qué cree que es lo más urgente que hay que abordar?

Ahora mismo lo que tenemos que hacer es multiplicar nuestra capacidad de llegada de los fondos, sobre todo del mecanismo de Recuperación y Resiliencia. Tenemos que conseguir una mayor concurrencia y participación de las empresas, de los beneficiarios en los programas.. Es necesario también incrementar la oferta de servicios; estamos incorporando más efectivos y creando nuevas posiciones de atención al usuario y respuesta de incidentes y, de hecho, el mes que viene se incorporan 35 personas al INCIBE.

Es esencial no perder ni un solo euro de inversión y poder poner rápidamente a ciudadanos y empresas todos nuestros servicios. Vivimos un momento de grandes retos pero también de grandes oportunidades de conseguir una economía digital competitiva.

-Señala que se van a incorporar 35 profesionales a INCIBE. ¿Ha sido difícil captar es talento para su organismo?

Es difícil como comentábamos para cualquier agente hoy en día. Por eso creo que la única solución, a mi modo de ver, es trabajar en escenarios a largo plazo, a 4 o 5 años, que nos permitan ir preparando el mercado laboral, trabajar desde antes de que terminen los estudios los jóvenes haciendo programas de capacitación. Esta es una reflexión para INCIBE y para cualquier agente.

También creo que tenemos una ventaja y es que nuestra sede está en León y eso hace que tengamos un mercado laboral con una rotación menor a la que puede haber en ciudades más grandes como Madrid, Barcelona, etc. Eso nos da una mayor capacidad para fidelizar y mantener el nivel de atractivo necesario.

Pero, de nuevo, el ejemplo de León es una muestra de esa estrategia a largo plazo. Cuando en 2007, INCIBE se trasladó a León, apostó por crear una oferta formativa y así nacía, con la Universidad de León el primer master de tecnologías de seguridad puro. Una formación que hoy ya funciona, 16 años después, de forma totalmente autónoma, y que es nuestra auténtica cantera de profesionales. Pero no solo de INCIBE, también de empresas como HP o Indra.

Por eso repito: Hay que tener una estrategia a medio y largo plazo, no es cuestión de medidas puntuales en plan “ahora necesitamos x profesionales y hacemos x”. Hay que pensar en plazos de 4 o 5 años, en lograr un mercado laboral atractivo, Involucrando a todos los agentes.

Ya puedes descargar totalmente gratis el Nº8 de nuestra revista

portada

ByTIC Media