Contenidos contratados por la marca que se menciona

+info

Ciberseguridad, de mal necesario a piedra angular de la transformación digital

Ciberseguridad, de mal necesario a piedra angular de la transformación digital
Sin comentarios Facebook Twitter Flipboard E-mail

La seguridad en las Tecnologías de la Información ha cambiado enormemente en los últimos años. En un principio se reducía a poco más que al mantenimiento de una solución antivirus y la gestión de las firmas correspondientes. Después llegaron los firewall, con la adopción generalizada de Internet como herramienta fundamental para el funcionamiento de las empresas.

Progresivamente, ha ido evolucionando hasta llegar al momento presente en el que la seguridad está implicada en la práctica totalidad de los departamentos tras los procesos de transformación digital en los que se han embarcado las empresas en los últimos años.

El concepto de seguridad crece y se transforma

La adopción de soluciones cloud, la integración de la conectividad en los dispositivos electrónicos (el llamado Internet de las Cosas), el Big Data y ahora también la IA han hecho que la seguridad haya adquirido nuevas dimensiones y esté en un proceso de transformación constante. Especialmente si pensamos que los problemas de seguridad atañen también a los datos, que son el building block fundamental en muchos procesos de negocio actuales.

Abre Seguriad2

Jorge Sanz Malagón, ingeniero en Informática y especialista en ciberseguridad del Grupo Antolín, donde lidera proyectos de seguridad críticos, es además profesor en el Máster en Ciberseguridad del centro universitario U-tad. Para él, uno de los problemas de la ciberseguridad, asociado también al Big Data, "es el tratamiento que se dé a la información que resulta de la ingesta y posterior procesamiento de los datos, más aún teniendo en cuenta el nuevo RGDP".

Los profesionales se enfrentan al reto de la formación constante y multidisciplinar con el fin de estar al día e incluso anticiparse a las amenazas que acechan a los sistemas de producción de las empresas. En un momento en el que los procesos productivos de las compañías o la integridad de las infraestructuras dependen de tecnologías digitales y dispositivos conectados, el papel del CSO (Chief Security Officer) y de los expertos TI al cargo de la seguridad de los sistemas, equipos o procesos se ha convertido en uno de los más críticos.

Una profesión con gran proyección

Según el último 'Informe sobre el Estado del Mercado Laboral en España' (2017) elaborado por InfoJobs, el sector de la Informática y las Telecomunicaciones es uno de los que más vacantes laborales ofrece, con un 13% sobre el total, siendo el colectivo de programadores el que más peso tiene dentro de esta categoría. Además, respecto a los llamados trabajos emergentes, la figura del 'especialista en Ciberseguridad' se ha ido perfilando como una de las que más ofertas genera, pasando de apenas 160 en 2009 a 1.270 en 2016 y 1.795 en 2017.

Infojobs Informa 2017

"La mayoría de organizaciones está dándose cuenta de la necesidad de contar con este tipo de perfiles, que eviten la existencia, detecten y mitiguen las posibles vulnerabilidades (...) Hay perfiles especialistas en hacking ético, análisis forense, análisis de malware, respuesta a incidentes, etcétera", apunta Eduardo Arriols Nuñez, Red Team Manager en Innotec System y profesor del Grado en Ingeniería del Software del centro universitario U-tad.

"Para aprender estos conocimientos, normalmente el usuario debe optar por formación reglada, como son los Grados en Ingeniería Informática; especializaciones tales como los máster en ciberseguridad o certificaciones que avalen el conocimiento en la materia en cuestión", prosigue Arriols.

El estudio de Infojobs corrobora que para este tipo de puesto se demandan estudios de ingeniería técnica y superior y, junto a la carrera universitaria, en la mayoría de casos se pide poseer alguna certificación como CCNP, CCSA, CCNA, F5 LTM, Palo Alto CNSE, SANS, SEC-401, CISSP, CEH. También es preciso conocer algún lenguaje de programación: Java, C++ o similar.

Igualmente, se valora de forma muy positiva haber cursado un máster en Seguridad. En este sentido, U-tad cuenta con el Máster Indra en Ciberseguridad, con una orientación práctica y completamente alineada con las necesidades formativas de aquellos profesionales que las empresas están demandando. Es una gran oportunidad para todos aquellos que quieran desarrollar su carrera en este campo y deseen subirse al carro de un sector en auge y con expectativas salariales muy interesantes.

Masterok Seguridad2

Jorge Sanz Malagón detalla con más precisión y desde su experiencia personal las habilidades que las empresas demandan de los profesionales de la seguridad: "depende a lo que se dediquen; si dan servicios de test de intrusión o análisis forense, requieren un fuerte conocimiento técnico de cómo funcionan los sistemas/aplicaciones y es muy recomendable poder programar scripts para la automatización de tareas".

Asimismo, el conocimiento del negocio también importa. "Si es un servicio de consultoría para analizar una situación particular de la empresa, no solo será necesario el conocimiento de seguridad en sí, sino también del negocio", añade Sanz Malagón.

Las empresas encumbran a los nuevos expertos

El salario de los profesionales de la seguridad ha ido subiendo. Y no es de extrañar. El experto ha pasado de ser un personaje “invisible” dentro de las empresas, que solo se materializaba en aquellos momentos en los que había que hacer frente a alguna alerta, a ocupar un puesto de gran relevancia dentro de la jerarquía de las compañías. Incluso puede adoptar el papel de consultor en el momento de desplegar servicios o infraestructuras.

IoT

En el apartado de las obras públicas, las redes de transporte, la energía o la agricultura, el uso de dispositivos IoT se está generalizando como parte de los sistemas de mantenimiento. Si los dispositivos IoT que controlan una cadena de producción industrial se ven comprometidos por un ciberataque, se puede tener que parar la instalación incluso. O acabar con productos mal fabricados.

En palabras de Eduardo Arriols, el sector de IoT industrial "cuenta con un nivel de madurez en seguridad mucho menor en comparación al ámbito IT tradicional. Es verdad que muchos fabricantes empiezan a hacer bien las cosas, pero actualmente no es la línea general. Sin duda sigue siendo posible un ataque que haga uso de vulnerabilidades existentes en múltiples sistemas o vulnerabilidades de día 0, o no conocidas".

En cualquier caso, las cifras globales hablan por si solas: según Gartner, las inversiones dedicadas a gestionar el cibercrimen en 2016 alcanzaron los 800.000 millones de euros. Si miramos hacia el futuro, Forbes cifra en 2 billones de dólares las pérdidas que ocasionará el cibercrimen en 2019.

Crimenok Seguridad2

Así pues, el trabajo de los profesionales de la ciberseguridad está empezando a ser más reconocido, mejor remunerado y estar más relacionado con la prevención que con la resolución de situaciones de crisis.

Juan Manuel Martínez Alcalá, Digital Forensic Specialist e Incident Responder en el Tiger Team de Minsait (Indra) y profesor del Máster Indra en Ciberseguridad de U-tad, lo explica bajo su perspectiva en primera persona: "el papel que juega un experto en seguridad es muy importante, ya que debe concienciar a todo un equipo involucrado en el desarrollo de un proyecto o prestación de un servicio de adoptar las medidas y protocolos necesarios para mantener la confidencialidad de la información".

Las vulnerabilidades más recientes

Como adelantamos, la seguridad ha dejado de ser un problema de virus informáticos únicamente. Las amenazas de ahora involucran tanto al software como al hardware tras el advenimiento del Internet de las Cosas. Y las industrias, una vez que las cadenas de producción han sido digitalizadas y robotizadas, tampoco se libran de las amenazas.

Sectores como la energía, las infraestructuras, el transporte o las comunicaciones no se entienden sin la participación de Internet y ya ha habido casos en los que se ha comprometido la seguridad incluso de centrales nucleares. Concretamente en Ucrania, en 2015 y 2016, la red de distribución eléctrica se vio comprometida a causa de ataques provenientes de grupos organizados de hackers.

Accesosok Seguridad2

También se han dado casos en los que se ha paralizado la producción industrial de fármacos, como sucedió con Merck en junio de 2017. En 2009 Stuxnet, un gusano informático introducido en una planta de enriquecimiento de Uranio en Irán, destruyó cientos de centrifugadoras tan solo modificando levemente los parámetros de funcionamiento de las mismas, por ejemplo, cambiando las velocidades de giro.

Jorge Sanz Malagón tiene claro por qué estos sectores son vulnerables: "funcionalidad, seguridad y experiencia de uso son tres pilares que hay que balancear bien y tratar de que estén equilibrados. Este suele ser el mayor reto en todos los proyectos, pero especialmente en las áreas en que suelen convivir sistemas antiguos (...) con sistemas nuevos".

Los ejemplos se suceden con una frecuencia cada vez mayor: en mayo de este año, cientos de miles de routers estuvieron en el punto de mira de hackers rusos, potencialmente en disposición de capturar datos del usuario o incluso de interceptar los canales de comunicaciones. Otro tanto de lo mismo sucede con las webcams domésticas.

Vulnerabilidades que no lo son, pero sí

En los tiempos del IoT y de la IA también se tiene que tener en cuenta elementos que no necesariamente son un problema de seguridad como tal. "En el caso de la revelación de la organización interna de bases militares secretas porque una aplicación que recoge los sitios por donde más actividad realizan los usuarios los publicó en Internet, ¿dónde está el fallo? ¿En el dispositivo IoT? ¿En la empresa que recoge los datos? ¿En el usuario?", se pregunta Sanz Malagón.

Pulseraok Seguridad2

Es decir, la seguridad no se ciñe únicamente a los episodios en los que hay involucrados hackers o ciberdelincuentes. El mero uso de las tecnologías disponibles puede suponer un problema de seguridad si involucra una mala gestión de los datos. Y los profesionales de la seguridad tienen que tener en cuenta estas variables también.

Cómo prepararse para ser un experto en ciberseguridad

Los conocimientos necesarios para hacer acceder al puesto de experto en ciberseguridad pasan por una formación técnica robusta, aunque las carreras y estudios tradicionales no siempre ofrecen la formación holística que se requiere. De ahí que se valore positivamente haber cursado estudios de postgrado o atendido eventos formativos adicionales.

En concreto, el Máster de Ciberseguridad de U-tad cuenta con contenidos formativos especialmente pensados para enseñar a los alumnos lo que no siempre se enseña en esta materia. A ello se suman otros eventos, como masterclasses especializadas en temas específicos. Así, Juan Manuel Martínez Alcalá impartirá el próximo 6 de septiembre en el Salón de Actos de U-tad una interesantísima masterclass abierta al público en general acerca del análisis forense en dispositivos móviles.

Ciberok Seguridad2

Jorge Sanz Malagón explica con más detalle las carencias en las formaciones genéricas: "¿Qué coste tiene implantar una solución X? Al económico, hay que sumar el de adaptar tus sistemas a la nueva pieza, a su gestión, su operación, su mantenimiento, las personas necesarias... En el Máster Indra en Ciberseguridad de U-tad tratamos de que los alumnos no solo sepan técnicas de ataque, defensa, forense, análisis de riesgos, sino también este tipo de implicaciones que son muy importantes para la empresa cuando requiere los servicios de un profesional".

Además, el programa de un máster como el de U-tad está diseñado con la vista puesta en ofrecer enseñanzas conectadas con la realidad de la ciberseguridad. Como nos cuenta Juan Manual Martínez Alcalá, el programa se diseña de modo que contenga "ejemplos reales de lo que hoy en día demandan las empresas y permita la búsqueda de futuro talento".

Imágenes | Pixabay, Infojobs

Comentarios cerrados
Inicio