¿Formación en Ciberseguridad?

Inicio este artículo respondiendo a la pregunta con la que lo titulo: sí, rotundamente sí. Tal vez muchos pensarán que esto de la ciberseguridad es algo que debe ocupar y preocupar a profesionales y expertos informáticos. Nada más lejos de la realidad, aunque lo cierto es que todos aquellos conceptos que en su denominación vienen antecedidos con el prefijo “ciber” (ciberespacio, ciberdefensa, ciberataque, ciberriesgo, ciberdelito…) siguen siendo grandes desconocidos para la mayoría de la población, a pesar de que esa mayoría utiliza y maneja equipos y dispositivos con información que puede ser objeto de amenazas. Esa es la gran paradoja, estamos expuestos a numerosas amenazas sin ser conscientes de ello, al menos no lo suficientemente, y sin dotarnos de las herramientas y competencias necesarias para poder prevenirlas y hacerles frente. Un desconocimiento que no sólo no nos protege, sino que nos hace más vulnerables.

La sociedad nos exige digitalización en todos los ámbitos y ésta a su vez trae aparejados riesgos. Realidades contradictorias pero que se dan. La protección de nuestros activos, seamos sector público o privado, exige de la aplicación de protocolos e instrumentos tendentes a ello.

La ISACA (Information Systems Audit and Control Association) define la Ciberseguridad como:

“Protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados”

En cada una de las actividades cotidianas que realizamos día a día, somos conscientes de los riesgos y sus posibles consecuencias: cruzar la calle, conducir, subir y bajar escaleras, llegar tarde a nuestro puesto de trabajo o a una cita… Esta evaluación que hacemos de forma intuitiva, sin embargo, no la aplicamos en nuestra relación e interacción con los dispositivos y sistemas de información. No tenemos conciencia del riesgo y, por tanto, no tomamos precauciones: Accedemos a redes wifi desconocidas, aceptamos sin leer mensajes que nos saltan frecuentemente en nuestras pantallas al navegar por la red y que pueden estar comprometiendo nuestra seguridad, descargamos aplicaciones sin garantías, abrimos correos si comprobar previamente si pueden ser la puerta a virus o hackeos, facilitamos información personal y compartimos material sensible con desconocidos a través de las redes sociales sin saber el uso que de ello puede hacerse…

Las TIC´s han supuesto un avance importante en todos los ámbitos de nuestra sociedad, pero también han propiciado la apertura de puertas a nuevos riesgos y amenazas. La Ciberseguridad aporta los procedimientos y herramientas necesarias que permitan elevar al máximo los niveles de protección para prevenirlos y combatirlos y, de esta forma, proteger nuestra información.

Administraciones, empresas y particulares debemos adquirir las competencias necesarias para saber qué hacer y cómo actuar ante posibles ciberataques, a quién acudir, qué normativa me ampara y protege ante este tipo de situaciones…Todos somos susceptibles de ser víctimas y, por tanto, todos debemos ser proactivos en nuestra protección. La mejor defensa, la información y formación necesaria para minimizar las situaciones de vulnerabilidad.

Hay un nuevo espacio, el “Ciberespacio”, por el que todos transitamos, en el que nos relacionamos y que, al igual que sucede con los espacios físicos, es necesario regular, asegurar y proteger. Esto explica la existencia en nuestro país de una Estrategia de Ciberseguridad

Nacional que tiene como objetivo global “lograr que España haga un uso seguro de los sistemas de información y las telecomunicaciones, fortaleciendo las capacidades de prevención, defensa, detección y respuesta a los ciberataques”. La Estrategia incluye seis objetivos:

Fuente: Departamento Seguridad Nacional del Gobierno de España

Para alcanzar esos objetivos se establecen las siguientes Líneas de Acción:

Fuente: Departamento de Seguridad Nacional del Gobierno de España

Recientemente se ha presentado el 017, un nuevo número corto de teléfono de ayuda en ciberseguridad que el Gobierno pone en marcha a través del Instituto Nacional de Ciberseguridad (INCIBE). Se trata de un número gratuito y confidencial en el que los ciudadanos podrán hacer todas sus consultas en el ámbito de la ciberseguridad.

El 017 centraliza los servicios de atención telefónica que ofrece INCIBE relativos a dudas o consultas sobre ciberseguridad, privacidad, confianza digital, uso seguro y responsable de Internet y de la tecnología.

El servicio está disponible todos los días del año, en horario de 9 a 21 horas, tiene alcance nacional y está dirigido a los menores y su entorno (padres, educadores y profesionales que trabajen en el ámbito del menor o la protección online ligada a este público), a los ciudadanos usuarios de Internet en general y al colectivo de empresas y a los profesionales que utilizan Internet y las tecnologías en el desempeño de su actividad y deben proteger sus activos y su negocio. Un paso más en ese reto compartido de hacer de internet una herramienta cada vez más segura.

Al igual que tenemos claro la importancia y necesidad de proteger los espacios físicos en los que nos desenvolvemos, lo mismo debe suceder con el espacio virtual. No podemos ni debemos bajar la guardia, ni caer en la tentación de pensar que, por ser virtual, estamos exentos de amenazas y peligros. De ahí la idoneidad/necesidad de informarnos y formarnos para estar “armados” frente a ellos. La seguridad 100% no existe, pero contamos con medios, medidas y protocolos capaces de minimizar las situaciones y episodios de riesgo.

Es mucha la información que circula en la red y los ciberdelincuentes lo saben. Los ciberataques son cada vez más frecuentes, convirtiéndose en uno de los principales temores de empresas, instituciones y ciudadanos en general.

El mercado de trabajo no es ajeno a este panorama que ha abierto un camino a perfiles especializados en ciberseguridad, profesionales cada vez más buscados y cotizados dentro y fuera de nuestro país.

Según el último informe del Consorcio Internacional de Seguridad de Sistemas de Información (ISC), en Europa faltarían 350.000 especialistas en 2022 y, a nivel mundial, este dato se dispararía a 1,5 millones.

Hablar de ciberseguridad es hacer referencia a un campo de acción cada vez más presente en la agenda y el organigrama de los sectores público y privado, un sector en expansión y una de las profesiones de futuro.

El INCIBE (Instituto Nacional de Ciberseguridad) en una de sus publicaciones detalla algunos de esos perfiles en campo de la seguridad de la información:

CISO

El CISO (Chief Information Security Officer) es el director de seguridad de la información. Básicamente es un rol desempeñado a nivel ejecutivo y su función principal es la de alinear la seguridad de la información con los objetivos de negocio. De esta forma se garantiza en todo momento que la información de la empresa está protegida adecuadamente. Sus responsabilidades incluyen:

*Generar e implantar políticas de seguridad de la información.

*Garantizar la seguridad y privacidad de los datos.

*Supervisar la administración del control de acceso a la información.

*Supervisar el cumplimiento normativo de la seguridad de la información.

*Responsable del equipo de respuesta ante incidentes de seguridad de la información de la organización.

*Supervisar la arquitectura de seguridad de la información de la empresa.

CSO

El CSO (Chief Security Officer) es el responsable de la seguridad de la organización. Al CSO a veces se le denomina responsable de seguridad corporativa. Podemos pensar que el CISO y el CSO son el mismo rol y que desempeñan las mismas funciones. En organizaciones pequeñas es frecuente que coincidan ambas responsabilidades en una misma persona. Pero realmente no es así. El rol del CISO suele estar más centrado en aspectos de seguridad de la información.

CEO

El CEO (Chief Executive Officer). Es sin lugar a dudas la sigla más conocida. Es el director ejecutivo, el gerente, el cargo más alto dentro del organigrama de la organización. Es el responsable final de las acciones que se lleven a cabo dentro de la empresa, de su desempeño y su eficiencia.

Su función principal es la de supervisar y velar porque la estrategia definida en la empresa cumpla con la consecución de los objetivos de la organización, además de sembrar los principios y pilares básicos a seguir dentro de la empresa.

El CEO tiene una importante relación con el CIO, debido a que las estrategias de las empresas están estrechamente ligadas al ámbito de las tecnologías de la información.

CIO

El CIO (Chief Information Officer), es el gerente de sistemas o director de tecnologías de la información. Reporta directamente al CEO, y se encarga básicamente de que las estrategias de la organización estén alineadas con la tecnología de la información para lograr los objetivos planificados.

Además, se encarga de mejorar los procesos de tecnologías de la información de la organización, gestionar el riesgo y la continuidad de negocio, controlar el coste en infraestructura de tecnologías de la información, alinear el gobierno de tecnologías de la información a los requerimientos tecnológicos, y establecer mejoras e innovaciones de soluciones y productos.

CTO

El rol del CTO (Chief Technology Officer) en un rol similar al CIO, pero más «técnico». En este sentido, se han identificado nada menos que seis roles distintos que pueden desempeñar los CTO. Se entremezclan con las funciones de los CIO. Sin embargo, podemos decir que es un director técnico, siendo su responsabilidad la gestión del día a día de las tecnologías de la información.

De forma resumida, el organigrama completo de los principales roles en ciberseguridad es:

 

 Fuente: INCIBE

Son los roles más conocidos y más utilizados en una organización que se mezclan ya con otros como los de Chief Data Officer, Chief Digital Officer o el DPD (Delegado Protección de Datos). En los últimos años muchos de estos cargos han sido transformados y readaptados generándose nuevas figuras y con ellas nuevas siglas. Así ha sido y seguirá siendo. Estamos ante un ámbito en constante movimiento, cambio e innovación.

 

“La conciencia del peligro es ya la mitad de la seguridad y de la salvación”.

Ramón J. Sénder

 

Higinio Almagro

Síguenos en...