OPINIÓN

Ricardo Cañizares, Director de Consultoría de Eulen Seguridad

Los profesionales de la ciberseguridad

La necesidad de disponer de profesionales expertos en ciberseguridad nadie la discute. Continuamente podemos leer noticias en diferentes medios y escuchar voces autorizadas en las que se indica que “existe un gran déficit de profesionales en ciberseguridad” y que “en los próximos años será necesario cubrir varios millones de puestos de expertos en ciberseguridad”.

No discuto la escasez actual de profesionales en este campo, y que su necesidad va en aumento. Lo que sí me pregunto es si tenemos perfectamente claro qué tipo de profesionales necesitamos, cuáles deben ser sus perfiles y cuántos necesitamos de cada uno.

No pretendo en este artículo definir detalladamente todos los diferentes perfiles de los profesionales en ciberseguridad que demanda el mercado y que necesitan las organizaciones para garantizar la seguridad de sus procesos y activos; materialmente es imposible. El objetivo del artículo es mostrar nuestra aproximación al problema de la definición de perfiles en los profesionales de ciberseguridad.

El primer punto a tener en cuenta es que la ciberseguridad debe estar alineada con los objetivos de negocio de la organización e integrarse en todos sus procesos. La mayoría de estos procesos, por no decir todos,  dependen de servicios de tecnologías de la información y las comunicaciones. Para el objeto de este artículo no vamos a distinguir entre IT (Information Technology), IoT (Internet of Things) y OT (Operational Technology), sino que vamos a englobarlos a todos ellos bajo las siglas TI. 

Cobit 5

Un modelo de gobierno y gestión de TI reconocido internacionalmente es Cobit 5 de ISACA, que agrupa los procesos de gobierno y de gestión de TI empresarial en dos dominios principales, gobierno y gestión, siendo este último el principal en cuatro dominios:

  • Alinear, planificar y organizar.
  • Construir, adquirir e implementar.
  • Entregar y dar servicio y soporte.
  • Supervisar, evaluar y valorar.

Como la ciberseguridad debe formar parte de todos los procesos de una organización, y por lo tanto de los procesos de TI, nuestra aproximación ha sido definir los perfiles del personal de ciberseguridad de forma que sus cualificaciones, capacidades y experiencia sean las apropiadas para cada uno de los procesos de TI. Los hemos agrupado en cinco bloques de profesionales, alineados con los dominios de Cobit 5:

  • Profesionales del gobierno de la ciberseguridad.
  • Profesionales de la planificación de la ciberseguridad.
  • Profesionales de la implantación de la ciberseguridad.
  • Profesionales de la operación de la ciberseguridad.
  • Profesionales de la supervisión de la ciberseguridad.

Una vez establecidos los cinco grandes bloques en los que podemos catalogar a estos profesionales, vamos a exponer someramente las funciones que deben realizar. Lógicamente, dentro de cada uno de estos bloques, debemos definir diferentes perfiles en función de cada una de las tareas específicas que deben realizar o de los procesos en los que deben participar, así como de su nivel de responsabilidad.

-Profesionales del gobierno de la ciberseguridad: deben garantizar el cumplimiento  de los objetivos de ciberseguridad de la organización, evaluando las necesidades, así como la situación y las opciones, marcando el rumbo, estableciendo las prioridades y tomando decisiones. Además, tienen que supervisar el desempeño, el cumplimiento y la evolución, comparándolos con las directrices y objetivos acordados.

-Profesionales de la planificación de la ciberseguridad: son los responsables de alinear, planificar y organizar las actividades de ciberseguridad en una organización, lo que implica establecer políticas y estrategias, diseñar la arquitectura organizacional y gestionar los recursos.

-Profesionales de la implantación de la ciberseguridad: entre los profesionales de la implantación de la ciberseguridad podemos encontrarnos con diferentes perfiles. Uno de los principales es el involucrado en la construcción de los sistemas de TI y sus componentes, tanto hardware como software. Es necesario contemplar la ciberseguridad desde las primeras fases de cualquier desarrollo o proyecto. Disponer de estos profesionales es fundamental para poder hablar de “ciberseguridad por diseño”.

-Profesionales de la operación de la ciberseguridad: los profesionales de la operación de la ciberseguridad son los encargados de operar y mantener los sistemas y elementos que nos permiten garantizar la ciberseguridad de nuestras organizaciones. Estamos hablando de perfiles muy diferentes, desde operadores de centros de operaciones de ciberseguridad, a administradores y mantenedores de todo tipo sistemas de seguridad: firewall, IDS, control de accesos, cifrado, antivirus, etc.

-Profesionales de la supervisión de la ciberseguridad: como en el resto de bloques en los que hemos agrupado a los profesionales, en este grupo nos vamos a encontrar con diferentes perfiles, ya que entre las funciones de los profesionales de la supervisión de la ciberseguridad se contemplan, entre otras, la revisión del cumplimiento, la supervisión del rendimiento y desempeño y la auditoría de controles de medidas de ciberseguridad.

Como hemos podido comprobar, el abanico de áreas de conocimiento y de capacidades es muy amplio, lo que unido al nivel de experiencia necesario para cada puesto hace más amplio el número de perfiles diferentes necesarios para garantizar la seguridad de los procesos y activos de nuestras organizaciones. Para definir adecuadamente todos estos perfiles, además del Cobit 5, es conveniente utilizar un modelo de referencia que contemple habilidades, competencias y niveles de responsabilidad, como el Marco de Competencias para la Era de la Información de SFIA Foundation.

Escasez de profesionales

Es evidente que hay una gran demanda de profesionales de la ciberseguridad y una escasez de los mismos, lo que implica la dificultad de  las organizaciones para cubrir los puestos que necesitan.

Pero hay una serie de cuestiones sobre las que debemos reflexionar, siendo las más importantes las siguientes:

  • ¿Faltan profesionales de la ciberseguridad de todo tipo?
  • ¿Cuál es el perfil del que hay más escasez?
  • ¿Estamos haciendo lo necesario para cubrir el déficit de profesionales de la ciberseguridad?
  • ¿Estamos priorizando algún perfil en detrimento de otro?
  • ¿Los perfiles más visibles, los que más aparecen en los medios, son los más necesarios y los más importantes?
  • ¿Estamos diseñando un modelo de desarrollo profesional en ciberseguridad, apropiado y sostenible en el tiempo?

Para finalizar, no debemos olvidar que las personas son el activo más importante de las organizaciones. Sin ellas no se puede realizar ninguna actividad, y en ciberseguridad, como en el resto de funciones de negocio, necesitamos disponer de profesionales con la capacidad, la formación, la motivación y la experiencia necesaria para hacer frente a los grandes retos a los que se enfrentan las organizaciones, en este caso a los riesgos con origen en las ciberamenazas.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual