El documento describe las funciones y objetivos de INCIBE, el Instituto Nacional de Ciberseguridad de España. INCIBE es la entidad de referencia para el desarrollo de la ciberseguridad en España y trabaja para proteger a ciudadanos y empresas, especialmente los sectores estratégicos. INCIBE también actúa como el CSIRT nacional para la resolución de incidentes de ciberseguridad. El documento luego presenta una propuesta para un enfoque algorítmico del talento en ciberseguridad que considera fact

1. www.incibe.es
INSTITUTO NACIONAL DE
CIBERSEGURIDAD
SPANISH NATIONAL
CYBERSECURITY INSTITUTE
Aproximación algorítmica al talento en
ciberseguridad
Raúl Riesco

2. ¿Qué es INCIBE?
Entidad de referencia para el
desarrollo de la ciberseguridad
y de la confianza digital de: Ciudadanos
Empresas, en especial
sectores estratégicos
Sociedad Mercantil Estatal y Medio Propio dependiente de la Secretaría de Estado
para el Avance Digital que lidera diferentes actuaciones para la ciberseguridad a nivel
nacional e internacional.
Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de
información

3. Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes
y sistemas de información

4. CSIRT de Referencia para la resolución técnica de
incidentes de ciberseguridad que afectan a ciudadanos y
empresas
Ciudadanos
Empresas
Operadores
Críticos
Servicios de ciberseguridad: INCIBE-CERT
Prevención
Detección
Análisis
Respuesta
Notificación
Ciberejercicios
Intercambio de
información

5. ¿Qué hacemos?

6. Introducción
Agenda
1
3
Propuesta2
Experimento
4 Conclusiones

7. Introducción
Agenda
1
3
Propuesta2
Experimento
4 Conclusiones

8. ¿Podemos abordar la seguridad del futuro inmediato con el mismo
nivel de recursos?
• RRHH a distintos niveles:
• Investigación
• Operacional
• Táctico
• Estratégico
• RRHH de distinto perfil:
• Técnicos (N)
• No técnicos (M>=N)
• Legales
• Financieros
• Políticas
• Procesos
• Estándares
• Soluciones / Servicios:
• Gratuitas
• De pago
• Inteligencia económica
• Educación:
• Concienciación
• Formación
• Capacitación
• Entrenamiento
• Etc.

9. ¿Qué dicen los estudios sobre el empleo en CS? (”N”)
Análisis de múltiples fuentes, estudios, metodologías, etc…

10. Algunos datos de interés
Fuentes: múltiples (ver slide anterior)
9%18%
Crecimiento
Empleo
Compensación+
vs. IT
8º
Analista Seguridad
Ranking mejores
trabajos
>1,5 Mill.
empleos
en 5 años
210k
Puestos hoy
vacantes
76%
solicitan
mayor inversión
del gobierno

11. Coste reposición de profesionales
• 16% sobrecoste en trabajadores no cualificados
• 213% sobrecoste en trabajadores cualificados
• 400% sobrecoste en trabajadores clave para la organización
Fuente: RSAC – Five secrets to attract and retain top talent

12. Happiness
http://worldhappiness.report/
negativo

13. Salarios medios (general)
Fuente: Expansión

14. Salarios medios
Fuente: Expansión

15. Salario medio vs. impuestos
Fuente: Caprelo, McAfee

16. Rating de países
Fuente: Expansión

17. 94 b $
25 b $
Estimated 2023 in
specific areas
Sources: Gartner / Victoria Cyber security export Markets / Tech crunch / Market Watch
23 b $
23 b $
Global
• Cybersecurity expending 2014 - 72.237M$ (72 b $) – CAGR (10-12%)
• De nuevo, en Feb 2019 indican 12%
• CAGR 72,1% en CS para sector automoción
La pregunta clave ¿hay negocio en CS?

18. Ejemplo sobre Top 6 CSP (con empleados top en CS + salarios altos)
Veamos qué datos de exposición conocemos hoy…
¿por qué no ayudan a los usuarios/clientes de los CSP?
21,718160,013
Events related to
exposed
MS-SQL Servers
Events related to
exposed
MongoDB
7,010
Events related to
exposed
ElasticSearch
3,071
Events related to
exposed
Redis Data Store
(1,130 unique servers)
504
Events related to
exposed
Hadoop
88
Events related to
exposed
DB2

19. 396
DDoS Incidents
due to usage of
exposed
LDAP cloud servers
286
ToR relays
In CSP domains
45,519
SPAM
emails originated
from CSP domains
794
Phising URLs
matching with top
CSP domains
10,137
Malicious
URLs matching with
top CSP domains
334
Direct Login
attacks
from cloud servers
*: exact matching with CSP domains which is not representative of real
malicious data from cloud (as different domains & DNS are usually used)
Ejemplo sobre Top 6 CSP (con empleados top en CS + salarios altos)
Veamos qué datos de exposición conocemos hoy…
¿por qué no ayudan a los usuarios/clientes de los CSP?

20. 8
C&C
servers in CSP
domains
189
companies
hacked in cloud to
be re-used as attack
sources *
*: phishing, malware or defacements
Ejemplo sobre Top 6 CSP (con empleados top en CS + salarios altos)
Veamos qué datos de exposición conocemos hoy…
¿por qué no ayudan a los usuarios/clientes de los CSP?

21. Ética, mejora de la sociedad vs. ambición o intereses particulares

22. ¿Por qué se dejan trabajos en CS?

23. Rest of Public
Sector
Large
Enterprises
SME and
Individuals
Sophisticated
demand:
Defence,
CERTs,
Intelligence,
Finance, etc.
Government
Knowledge
providers:
Universities
+
Tech Centres
Startup
Accelerators
& incubators
Venture
Capital &
other
investors
Certification GDPR, standards and complianceTraining
CHANNEL
Majorist &
Distributors
MANUFACTURERS
SW
HW & Mix
Fabricante SW especialista internacional
SERVICES
Integrators
Specialized VAR
Big Consultancy
services
Specialized
local
providers
Managed Security Service
Providers
Fabricante SW generalista embedded
Retail
Associations and ForaClusters Others (ICT)
Cadena de valor en CS necesidad de aproximación coherente e integral

24. Comentarios de inversores (Top) en CS a nivel internacional
• Formación (conocimientos) muy buenos en España comparados con sus
países.
• Rotación muy baja comparado con sus entornos (ej. EEUU: hasta 6 meses)
• Coste menor (salarios) que en sus países aunque lo dicen no pensando en
pagar menos sino en que es más competitivo.
• Variables de inversión / prima de riesgo les condicionan parcialmente.
Comentarios de Directivos de RRHH (reclutadores de CS)
• No vale todo:
• Debido a necesidades de negocio en el transitorio se ha contratado
gente muy buena técnicamente pero con grandes dificultades o
carencias en factores que consideran importantes y claves a
futuro.
• A futuro buscan profesionales (como en otras ramas) con actitud
positiva, respeto, habilidades personales y sociales,
comunicativas, con conocimientos multidisciplinares, resolución
de problemas y no crear problemas, con capacidad de enseñar a
los demás, integridad, ética, valores, etc.

25. 7 feb
Un Ciberespacio
Abierto, Protegido y
Seguro
European CS
Strategy
5 dic
National CS
Strategy
31 may
Un proyecto
compartido
National
Security
Strategy
27 nov
National CS
Strategy Framework
2010
European Digital
Agenda
15 feb
Spanish
Digital Agenda
19 may
2013 2014
2006
• Accesibilidad
• Seguridad tecnológica
• INTECO-CERT
• Centro de innovación TI
para PYME
• Ciudadanía e Internet
• e-Salud
Instituto de
Tecnologías de la
Comunicación de
León
28 Oct
2012
jun
Digital
Confidence Plan
NIS Directive
Transposition
RDL 12/2018,
7 Sept
Sept
2018
4 oct
2019
RDL 12/2018
Regulation
(WIP)
Regulación en CS
Fuente: McAfee

26. http://www.mineco.gob.es/stfls/MICINN/Prensa/FICHEROS/2014/140801_final_report_public_version.pdf
Había/hay talento en España en CS?
Scientific Specialization Impact (2000-2010)
https://www.europeancybersecuritychallenge.eu/#archive

27. Introducción
Agenda
1
3
Propuesta2
Challenges and
Opportunities
4 Conclusions

28. Transformación necesaria
metáfora con transformador AC/DC
Fuente imágenes: TWiT Netcast Network

29. Rest of Public
Sector
Large
Enterprises
SME and
Individuals
Sophisticated
demand:
Defence,
CERTs,
Intelligence,
Finance, etc.
Government
Knowledge
providers:
Universities
+
Tech
Centres
Startup
Accelerator
s &
incubators
Venture
Capital &
other
investors
Certificatio
n
GDPR, standards and complianceTraining
CHANNEL
Majorist &
Distributor
s
MANUFACTURER
S
SW
HW & Mix
Fabricante SW especialista internacional
SERVICES
Integrators
Specialized
VAR
Big
Consultancy
servicesSpecialized
local
providers
Managed Security
Service Providers
Fabricante SW generalista embedded
Retail
Associations and ForaClusters Others (ICT)
Transformando el ecosistema

30. Fase 1: primeras medidas:
primeras medidas incompletas + Ripple
Fuente imágenes: TWiT Netcast Network

31. Fase 2: nuevas medidas de rectificación:
+medidas + continuamos con Ripple
Fuente imágenes: TWiT Netcast Network

32. Fase 3: más medidas de rectificación (caras y dando primeros resultados)
+ filtro (caro) y ripple (algo menor, pero sigue habiendo rizado)
Fuente imágenes: TWiT Netcast Network

33. Fase 4: nueva aproximación más optimizada
resultados más económicos (viables++) y con reducción de Ripple
Y aun así “si fallan los componentes, que pueden fallar (y
fallan), volvemos a tener desestabilizado el sistema. Se
pueden cambiar componentes sin tener que comprar otra
“fuente de alimentación”. Tb se puede medir el
funcionamiento de cada componente en su entrega de valor
al circuito. También podemos amplificar señal pero a veces
saturamos componentes…” BALANCE Y EQUILIBRIOFuente imágenes: TWiT Netcast Network

34. Transformando el ecosistema (el ejemplo de INCIBE)
Misma dirección, muchos más actores necesarios (públicos y
privados), más medidas, gestión del cambio, actitud, etc.
??
??

35. Propuesta de aproximación algorítmica
Talento en CS
(visión transformacional para abordar retos presentes y futuros)
Fuente: Victor Kuppers (que utilizaremos como base, se recomienda ver el vídeo)
• Valor de una persona = (C+ H) *A, donde
• C = conocimientos
• H = habilidades (en lo que destacamos)
• A= actitud (multiplica signo + ó -)
Nota: la clave son los factores multiplicativos (más importantes y con signo) vs. sumatorios
Valor
• Hay personas que dan 30KW y hay personas fundidas.
• El ser humano transmite sensaciones.
• Tener claro qué es importante y qué no.
• Ser agradecidos.
• Alegría.
• Ilusión.
• Reinvidicar la pausa (acción-> reacción).
• Diferencia entre serio, correcto y profesional vs.
personas crack con talento “olé, olé!” = “A”
• Etc.
https://youtu.be/nWecIwtN2ho

36. Propuesta de aproximación algorítmica
Talento en CS
(visión transformacional para abordar retos presentes y futuros)
Siendo X = (conocimientos técnicos / no técnicos + habilidades + experiencia + histórico):
• Valor del profesional de CS = X * Y1, donde
• Y1= actitud * respeto * ética * integridad * valores * salud * mentalidad ganar-ganar *
mentalidad de la abundancia * adaptación al cambio * implicación con la entidad *
resolución de problemas * trabajo en equipo * enseñar a los demás * priorización *
escucha activa * outOfTheBox…
• Valor del profesional directivo / líder de CS = X * Y2, donde
• Y2= Y1 * criterio full stack * negociación * liderazgo * visión * estrategia * acción *
empowerment * inspirar/capacitar a otros líderes…
Nota 1: la clave son los factores multiplicativos (más importantes y con signo) vs. sumatorios
X
Y2Y1
Nota 2: Toda la cadena de valor, formado también por personas, deben igualmente cumplirlo!

37. Propuesta de aproximación algorítmica
Talento en CS
(visión transformacional para abordar retos presentes y futuros)
La importancia de ser “multidisciplinar (M)”:
• Valor del profesional de CS = XM * Y1
• Valor del directivo / líder de CS = XM * Y2
Nota: añadimos un factor exponencial “M” (multidisciplinar) como potencia.
A
B2B1
- Ejemplos + programación segura
- Sanitario y programador seg.
- Industrial y programador seg.
- Abogado y programador seg.
- FCSE y programador seg.
- “Ethical hacker” y programador seg.
- Ejemplos + electrónica + programación seg.
- “Ethical hacker” + electrónica + progr…
(ej. sector automóvil CAGR 79%).
- Y muchos más + data science, + calidad y pruebas
+ IA.

38. Mentalidad de la abundancia vs. mentalidad de escasez
“Mentalidad de abundancia, significa que, en lugar de ver la vida como una
competición con un solo ganador, se ve con abundancia repleto de
oportunidades, recursos y riqueza cada vez mayores. Uno no se compara
con los demás y siente verdadera alegría por sus éxitos y los de los demás.
Las personas con mentalidad de escasez son resultado de una identidad
basada en la comparación y se sienten amenazadas por el éxito de los
demás. Aunque finjan y digan otra cosa, saben que les consume.
Los poseedores de una mentalidad de abundancia ven a sus competidores
como unos de los profesores más valorados e importantes. Esos mismos
atributos —integridad, madurez y mentalidad de abundancia— describen a
la perfección a un equipo complementario.”
Stephen R. Covey

39. Empowerment

40. Introducción
Agenda
1
3
Propuesta2
Experimento
4 Conclusiones

41. Experimento ¿hay algo cambiando positivamente en talento CS?
• Muestra:
• Estudiantes y profesionales en dos grupos (hasta 25 y hasta 30 años).
• Personas con talento demostrado (componentes/ex-componentes selección ECSC)
• Fecha: 22-23 Marzo 2019
• Medio/canal: canales diferentes en Telegram
• Nivel de interacción: medio (aportando estadísticas y estudios a posteriori para no condicionar)
• Conclusiones principales:
• Gran cantidad de respuestas positivas superando expectativas.
• Aun pidiendo positivas, siempre se cuelan “negativas” 
• Cambio de tendencia en ofertas (ligeramente al alza).
• El salario no lo es todo para garantizar seguridad ni para estar content@s (ej. Facebook, apple)
• Hablan de actitudes, de la necesidad de directivos con cualificación experiencia técnica previa.
• Hablan de relación con el ecosistema nacional.
• Etc.

42. Feedback recibido (talento ECSC)
Con respecto a las oportunidades laborales, me he encontrado
en España un sector vivo y con sed por profesionales. En
seguridad, en concreto, se valora mucho el talento de la
persona, las habilidades por encima de los títulos a través de
entrevistas de valoración técnica.
A partir de mi participación en CyberCamp2017, donde comencé
a conocer gente relacionada, empecé a recibir de forma, más o
menos frecuente, ofertas de trabajo que, con el tiempo, van
siendo más atractivas.
El trabajo a distancia parece estar cada vez más aceptado. Otra
muestra más de que en España, se demanda talento.
Que hay ofertas buenas, si pero no es el caso
mayoritario
En mi caso, las ofertas en España que me llegan
últimamente tienen un salario bastante decente,
cuando antes al menos a mi, me llegaba bastante
basura.
También hay que tener en cuenta que esto no solo
se extrapola a ciberseguridad, en general en España
los salarios oscilan en ese umbral es un problema
del propio país mas que del sector.
Para muchas empresas increíblemente la Ciberseguridad
sigue sin tener la relevancia que debe de tener, y los
presupuestos que se invierten ahí son irrisorios respecto a
lo que deberían de invertir. Y hasta que no sufren un
ciberataque y ven las orejas al lobo, lo tratan como algo
secundario para la empresa.
Sin duda, al final el puesto de director bajo mi punto de vista
tiene que ser alguien con experiencia en el propio sector y que
previamente haya tenido un perfil técnico.
En cuanto ven que alguien empieza a volar, le cortan las alas
entre todos pero es un tema difícil y a priori no veo cambio a
corto plazo mucho tiene que evolucionar la sociedad.
Si vales, se van a matar por ti.

43. Introducción
Agenda
1
3
Propuesta2
Experimento
4 Conclusiones

44. Conclusiones
• Son buenas noticias, la ciberseguridad debe estar en todas partes pero profesionalizada.
• Todo está conectado (ecosistema), cada país tiene su factores añadidos (ventajas/inconvenientes).
• Hay que tener en cuenta ciertas variables, relaciones, componentes, donde estamos, hacia donde
nos lleva y hacia donde queremos ir (visión).
• Todos podemos contribuir (positivamente) de manera relevante a construir el sector como queremos
(está mejorando y no difiere mucho de otros sectores).
• No es tan sencillo como parece (cuidado con los mensajes simples: Si A-> B, entonces B-> C)
• No es excesivamente complejo pero el factor tiempo es clave tanto para evitar problemas como para
aprovechar las oportunidades.
• Ingredientes básicos: (variables: unas suman, otras multiplican y otras son potencia)
• X (+): Conocimientos técnicos, conocimientos no técnicos, habilidades, experiencia, histórico.
• Y (*): Actitud, respeto, ética, integridad, valores, salud, mentalidad, ganar-ganar, mentalidad de la
abundancia, adaptación al cambio, implicación con la entidad, resolución de problemas, enseñar a
los demás, trabajo en equipo, priorización, escucha activa, outOfTheBox, criterio full stack,
negociación, liderazgo, visión, estrategia, acción, empowerment, inspirar/capacitar otros líderes…
• M (potencia): Multidisciplinar

45. Habilidades que más escasean…
Fuente: McAfee

46. Stephen R. Covey
“Quote 1”

47. “Quote 2”

48. “Quote 3” Responsabilidad vs. Victimismo
Asumir nuestra responsabilidad en las cosas que
nos pasan es una elección, significa tener capacidad
de actuar para encontrar una respuesta satisfactoria,
frente a la actitud incapacitante de considerarse
víctima de las circunstancias y esperar que otros se
hagan cargo de lo que está pasando.

49. “Quote 4” Razones que damos ante fallos vs. emoción / ingenio…
Tony Robbins

50. Talento = XM * Y
Raúl Riesco
raul.riesco@incibe.es

51. info@incibe.es, comunicación@incibe.es y relaciones@incibe.es.
Instituto Nacional de Ciberseguridad (INCIBE)
https://www.incibe.es
Oficina de Seguridad del Internauta (OSI) https://www .osi.es
Internet Segura for Kids https://www.is4k.es
Protege tu empresa https://www.incibe.es/protege-tu-empresa
INCIBE-CERT https://www.incibe-cert.es
CyberCamp https://www.cybercamp.es
Ciberemprende https://www.incibe.es/ciberemprende
Redes Sociales Corporativas: @Incibe, @Osiseguridad, @is4k,
@ProtegeEmpresa, @incibe-cert, @CyberCampEs y @CiberEmprende_.
Incidentes, vulnerabilidades, fraude online, phishing, malware, etc.
Línea de ayuda en ciberseguridad de INCIBE 900 116 117, consultas@osi.es,
empresas@incibe.es y incidencias@incibe-cert.es.
CONTACTO
VISÍTANOS
INFÓRMATE
SÍGUENOS
REPÓRTANOS
Síguenos en