Pages Navigation Menu

Los perfiles de ciberseguridad bajo demanda

Los perfiles de ciberseguridad bajo demanda

JOSÉ RAMÓN COZ.

El crecimiento del mercado de la Ciberseguridad en los países más avanzados tecnológicamente está suponiendo un cambio en los procesos de incorporación del personal con experiencia y conocimientos en este campo. La gran demanda en muchos casos es muy superior a la oferta y el gran dinamismo del propio sector está llevando a realizar planes educativos y de formación que incorporen estos aspectos, como ya está sucediendo en multitud de países con una enorme inversión como los Estados Unidos, Francia, Rusia, Israel, Arabia Saudí o el Reino Unido. El artículo expone algunos conceptos sobre la ciberseguridad y analiza la importancia de la formación profesional en este campo.

Para los profesionales de las Tecnologías de la Información y las Comunicaciones, el concepto de ciberespacio hace referencia al “conjunto de medios físicos y lógicos que conforman las infraestructuras de los sistemas de información y las comunicaciones”, y según la Unión Internacional de Telecomunicaciones, la ciberseguridad puede definirse como el conjunto de políticas, conceptos herramientas, salvaguardas, directrices, métodos de gestión de riesgos, acciones, formación, prácticas, seguros y tecnologías que pueden dar soporte a la protección de los activos de la organización y los usuarios en el ciberespacio.

Los activos de la organización y los usuarios son los dispositivos informáticos conectados, los usuarios, los servicios y aplicaciones, los sistemas de comunicaciones, las comunicaciones multimedia, y la totalidad de la información transmitida y/o almacenada en el ciberespacio.

Ésta ciberseguridad garantiza que se alcancen y mantengan las propiedades de seguridad de los activos de la organización y los usuarios contra los riesgos. Las propiedades de seguridad incluyen disponibilidad, integridad, que puede incluir la autenticidad y el no repudio; y la confidencialidad. Todos estos conceptos forman ya parte de la información diaria en todos los medios de comunicación.

Desde junio de 2013, cuando Mr. Snowden hizo públicos, a través de la prensa, documentos clasificados como de alto secreto sobre varios programas de la Agencia de Seguridad Nacional de los Estados Unidos, NSA, donde se describían algunos de los programas de ciberseguridad más relevantes y con impacto mundial como PRISM o XKeyscore, la ciberseguridad es noticia de portada casi semanalmente y casi todos los países avanzados han desarrollado Estrategias de Ciberseguridad que permitan a los Gobiernos tener una visión a largo plazo sobre el estado de protección del ciberespacio.

Nuevos conceptos de ciberseguridad, ciberespacio, ciberdefensa o ciberataques forman ya parte de la información diaria en todos los medios de comunicación.

El grado de inversión en Ciberseguridad ha crecido exponencialmente en la última década. Francia , que ya publicó su estrategia nacional de ciberseguridad en el año 2011, este presente año 2014, ha hecho público un programa de Ciberseguridad de mil millones de euros, y el grado de inversión en otros países como el Reino Unido, Irán, Arabia Saudí, Israel o Rusia también alcanza varios miles de millones de dólares. En el caso de Estados Unidos el grado de inversión es, incluso, muy superior. Estas inversiones supondrán un reto a corto plazo tanto para las administraciones como para las empresas.

Como parte de este proceso de cambio, nuevos perfiles serán demandados.  El mercado ya está dando algunas señales, incluso en el caso de España, que publicó su estrategia de ciberseguridad en el año 2013, y lleva cierto retraso con respecto a sus aliados. Si realizamos un análisis sobre la demanda de perfiles expertos en ciberseguridad en los portales de internet con mayor alcance a nivel nacional e internacional encontraremos miles de puestos para perfiles de ciberseguridad.

Tanto a nivel nacional como internacional, para todas las organizaciones demandantes de este tipo de perfiles, las certificaciones en ciberseguridad muestran el compromiso con la profesión, reconocen el conocimiento básico, la formación y las habilidades, y reflejan logros profesionales en el área. Además, sirven de vínculo para establecer relaciones con otras organizaciones, utilizar un vocabulario común y basar sus procesos de negocio en las buenas prácticas de la industria de ciberseguridad.

El grado de inversión en ciberseguridad ha crecido de forma exponencial en la ÚLTIMA decada. esto supone un reto tanto para las administraciones como para las empresas.

Esta es la razón principal por la cual las organizaciones demandan certificaciones profesionales específicas dentro del alcance de la ciberseguridad. Para muestra un botón. En octubre de 2014, una de las bases de datos de mayor volumen del mercado a nivel nacional ofrece más de doscientas ofertas (sí, ¡más de 200!) para profesionales con conocimientos y certificaciones sobre ciberseguridad y perfiles específicos. Y a nivel internacional, si analizamos el número de perfiles demandados en países como Estados Unidos, Francia o el Reino Unido las cifras alcanzan los millares

IDE-CESEM, Instituto de directivos de empresa - Ciberseguridad 2Algunas de las certificaciones más solicitadas son las proporcionadas por la Asociación Internacional de Auditoría y Control de Sistemas de Información(ISACA- Information SystemsAudit and Control Association), como la certificación CISM (Certified Information Security Manager), una de las certificaciones TIC de mayor prestigio a nivel mundial y aún con pocos certificados en España, y unos 16.000 certificados internacionales, o la certificación CISA (Certified Information Security Auditor), con mayor número de certificados a nivel nacional e internacional, alcanzando unos 100.000 certificados internacionales, con una gran trayectoria de más de tres décadas, y de gran prestigio. Ambas titulaciones, además, están acreditadas por ANSI (ISO/IEC 17024).

Las certificaciones profesionales de prestigio relacionadas con la ciberseguridad son altamente demandadas.

También la ISACA otorga otras certificaciones, menos solicitadas, pero también con un impacto relevante en el campo de la Ciberseguridad como la Certificación CGEIT (Certified in the Governance of Enterprise IT), certificación de gestores de la gobernanza empresarial TI o CRISC (Certified in Risk and Information Systems Control), la certificación de gestores de control de riesgos en sistemas de información y comunicaciones.

Los planes estratégicos de educación y formación en los países MÁS avanzados están considerando la ciberseguridad como un aspecto clave.

Otras certificaciones a nivel internacional muy solicitadas son CISSP y las Certificaciones relacionadas con la ISO 27000. CISSP (Certified Information Systems Security Professional) es una certificación profesional otorgada por la (ISC)2 (International Information Systems Security CertificationConsortium, Inc), con el objetivo de ayudar a las organizaciones a reconocer a los profesionales con formación en el área de seguridad de la información. Esta certificación, también acreditada por la ANSI (ISO/IEC 17024), tiene un impacto similar a las certificaciones de la ISACA con unos 100.000 certificados internacionales.

En el caso de la ISO 27001, las certificaciones de Auditor Líder o de Auditor Interno proporcionan una garantía sobre las habilidades y conocimientos relevantes para realizar auditorías de sistemas de gestión de la seguridad de la información (SGSI), según la norma internacional y también tienen una importante demanda, ya que esta norma constituye el estándar con mayor impacto a nivel internacional en el campo de la seguridad TIC.

También en numerosas ocasiones se les solicita a los candidatos conocimientos o certificaciones en materia de gobierno TI (como puedan ser las de ITIL, ISO20000 o COBIT) o certificaciones especificas otorgadas por productos de mercado como CISCO o Microsoft, aunque se suele tratar, en este caso, de perfiles más técnicos.

Estos perfiles más técnicos  pueden encontrar también en certificaciones como CEH (Certified Ethical Hacker) del International Council of E-Commerce Consultants (EC-Council) o las cinco certificaciones más demandadas del GIAC  (Certified Incident Handler, Certified Firewall Analyst, Certified Forensics Examiner, Certified Intrusion Analyst y Certified Forensics Analyst) una certificación probablemente más adaptada a sus necesidades específicas. El GIAC (Global InformationAssuranceCertification) forma parte del SANS Institute, una organización que goza de gran prestigio en la comunidad internacional de seguridad de la información.

A nivel nacional, la Agencia Española de Certificaciones de Ciberseguridad (ACC) otorga también certificaciones oficiales como la Certificación en Concienciación y Sensibilización en Seguridad (CCS-S) o la Certificación de Tecnologías de Seguridad (CCS-T), entre otras.

La formación sobre el campo de la ciberseguridad está muy avanzada en los países pioneros como Estados Unidos o el Reino Unido, sin embargo, en una gran parte del resto de los países aún no existen planes nacionales que incluyan la ciberseguridad como un campo a considerar en la formación Secundaria, Profesional o Universitaria, no solo en el ámbito de los sistemas de la información y las comunicaciones sino también en otros aspectos claves como el ámbito jurídico, donde la ciberseguridad está impactando de forma muy notable.

Por esta razón, en los países más avanzados se están desarrollando planes estratégicos específicos que integran la formación profesional con la formación básica y que permiten una mayor integración entre lo que demanda el mercado y la oferta educativa en el ámbito de la ciberseguridad. Para ello, además, las universidades y los centros educativos están realizando convenios específicos con las organizaciones profesionales que permitan cumplir con los objetivos marcados por las estrategias nacionales y la demanda del mercado.

Las certificaciones profesionales en ciberseguridad forman parte de las carreras profesionales en las organizaciones.

En muchas organizaciones, como puedan ser el caso de la OTAN u otras organizaciones militares con grandes inversiones en el campo de la ciberseguridad, algunas de las certificaciones profesionales forman ya parte de las carreras profesionales del staff y/o son requeridas en los pliegos de contratación en los proyectos de ingeniería relacionados no solo con la ciberseguridad sino en algunos casos también con las tecnologías de la información y las comunicaciones.

A modo de resumen finalizaremos el artículo mencionando varios aspectos de gran relevancia sobre la demanda de perfiles de ciberseguridad:

  • El grado de inversión en ciberseguridad está aumentando de forma exponencial en los países más avanzados.
  • La demanda de perfiles con en el campo de la ciberseguridad está en aumento y las organizaciones solicitan profesionales con experiencia y conocimientos acreditados por organismos nacionales e internacionales.
  • Las certificaciones profesionales del ámbito de la ciberseguridad constituyen una garantía para las organizaciones que demandan perfiles con experiencia y conocimientos en este campo.
  • Las certificaciones profesionales dentro del campo de la ciberseguridad tienen cada día más presencia en los procesos de selección de candidatos.
  • Muchas organizaciones han incorporado las certificaciones profesionales relacionadas con la ciberseguridad como parte de las carreras profesionales de sus empleados.
  • Los proyectos de ingeniería relacionados con la ciberseguridad o con requerimientos de ciberseguridad a nivel internacional están requiriendo perfiles con certificaciones de ciberseguridad.
  • Los países más avanzados, conscientes del gran impacto de la ciberseguridad, han desarrollado estrategias nacionales.
  • Los planes estratégicos educativos y de formación de los países más avanzados están alineándose con las estrategias de ciberseguridad.
  • Las universidades y los centros educativos están integrándose con las organizaciones profesionales dentro del campo de la ciberseguridad.

 

IDE-CESEM, Instituto de directivos de empresa - CiberseguridadJosé Ramón Coz

Es Doctor en Ingeniería Informática por la UNED, Doctorando en Economía, Licenciado en Ciencias Físicas por la Universidad de Cantabria, Grado Máster en Economía por la Universidad Complutense de Madrid, Graduado Especialista en Gestión Pública por la Universidad Politécnica de Madrid y Master en Dirección de Tecnologías de la Información por IDE-CESEM. Posee más de una docena de certificaciones internacionales en Tecnologías de la Información y Ciberseguridad, y varios postgrados en Telecomunicaciones. Tiene veinte años de experiencia en el campo de las TIC que abarcan puestos de auditor, gestor de proyectos, consultor, arquitecto y analista.

En la actualidad, trabaja en Isdefe como responsable del Servicio de Ciberseguridad en la Oficina de Programas del Bi-SC-AIS de la OTAN y como auditor de  proyectos de Ciberseguridad, y es investigador en el Departamento de Economía Aplicada de la Universidad Complutense de Madrid. Es, además, profesor en varias instituciones, universidades y escuelas de negocio. Tiene decenas de publicaciones científicas y de tecnología, es revisor de revistas internacionales y miembro de varias comisiones y asociaciones de auditoría y tecnologías de la información.

 

 

 

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*