Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
NOTICIA SOBRE LA MESA

La carrera hacia una cualificación adecuada en ciberseguridad

17/02/2015 - Yolanda Duro
Hoy en día la palabra "ciberseguridad" está en boca de todos: gobiernos, organizaciones, sector tecnológico, medios de comunicación y sociedad en general. Sin embargo, ¿contamos con profesionales cualificados en este campo? ¿Se debería establecer una carrera formativa acorde con la importancia de este trabajo? Sobre estas y otras cuestiones debatieron los expertos invitados a esta mesa redonda impulsada por ISACA Madrid.
De izquierda a derecha, Francisco Lorente (RED SEGURIDAD), Pablo Municio (Deloitte), Ricardo Barrasa (ISACA Madrid); Antonio Ramos (ISACA Madrid); Enrique Turrillo (BDO Auditores) –arriba–; Joaquín Castillón (EY); Manuel Sicilia (CNPIC); Javier García (Iberdrola); Ana Borredá (RED SEGURIDAD) y Enrique González (RED SEGURIDAD)

Los recientes ataques informáticos que se han producido tanto a empresas como a gobiernos de todo el mundo ponen de manifiesto la importancia que actualmente tiene la ciberseguridad como forma de protegerse frente a todos ellos. Sin embargo, ¿este concepto es nuevo para el sector? Esa pregunta, precisamente, fue el punto de partida con el que se inició esta mesa redonda; y, a tenor de las respuestas de los asistentes, la mayoría considera que es algo que ya se venía desarrollando desde hace muchos años. De hecho, para Pablo Municio, gerente del ERSIT de Deloitte, se trata más bien de "un término de marketing" y una forma de llegar "a la agenda de la dirección" de las empresas y otros organismos. Javier García, director de Seguridad de la Información y Comunicaciones de Iberdrola, también opina que "no hay nada nuevo bajo el sol", porque aunque "hay cosas que pueden variar, los principios básicos de la protección siguen siendo los mismos".

Ricardo Barrasa
Ricardo Barrasa
Presidente de ISACA Madrid

Para Joaquín Castillón, senior manager de EY, el quid del uso de este concepto está en "el aumento de las incidencias con un mayor impacto", lo que ha hecho que "todo el sector y los organismos públicos se encuentren más concienciados de las consecuencias que esto puede llegar a producir". Ahora bien, según Antonio Ramos, vicepresidente de ISACA Madrid, este término aporta algo positivo, pues está haciendo replantearse a los profesionales de la seguridad informática si lo que se usaba antes sigue valiendo ahora. "Por ejemplo, el análisis de riesgos sirve de poco para prevenir ataques futuros", puntualizó.

En este contexto, es necesaria, en palabras de Ricardo Barrasa, presidente de ISACA Madrid, "una nueva visión de la seguridad". "Necesitamos otro perfil de personas que tienen que cubrir esos riesgos. Tenemos que preparar profesionales que nos den tranquilidad", añadió el directivo. Y es que actualmente el problema reside en que muchas empresas no saben qué contratar para este tipo de posiciones relacionadas con la ciberseguridad. "Lo habitual", según Ramos, de ISACA Madrid, "es coger un determinado perfil y formarlo en función de las necesidades de cada organización". Para este directivo, faltan "herramientas" y, sobre todo, "una cantera". El problema para García, de Iberdrola, es que no hay perfiles adecuados. "En el ámbito europeo no hay nada, no existe formación reglada, ni titulaciones reconocidas". Es más, el directivo opina que pueden pasar entre ocho y diez años para que exista alguna reglamentación europea al respecto, mientras tanto los ámbitos de cualificación de los profesionales de la ciberseguridad "estará en el limbo y no serán exigibles", añadió.

Certificaciones

Para intentar solucionar estas carencias se encuentran las certificaciones que ofrecen determinados colectivos y asociaciones como ISACA. Para Manuel Sicilia, jefe de la Sección de Análisis del Servicio de Ciberseguridad del CNPIC, "las certificaciones tienen la capacidad de adaptarse más rápidamente que la enseñanza tradicional reglada. Dan prerrequisitos base que con la formación universitaria no se llega". De la misma forma opina Castillón, de EY, para quien las certificaciones son "una manera de homogeneizar los conocimientos del mercado". En otras palabras, agregó, "así las empresas tienen una herramienta mínima para saber qué tipo de profesionales les pueden solventar esas necesidades".

javier garcía
Javier García
Director de Seguridad de la Información y Comunicaciones de Iberdrola

En el caso de ISACA, explicó Ramos, cuentan con los programas CSX y CSX Fundamentos, "que desarrollan la capacidad de los profesionales en el entorno de la ciberseguridad".

Precisamente, este tema para Enrique Turrillo, vocal de Programas de la junta directiva de ISACA Madrid, es crítico. Por eso, para él, "son buenas este tipo de certificaciones para que acrediten que los empleados de las empresas pueden hacer esa clase de trabajos". Además, en palabras de Barrasa, de ISACA Madrid, "dan  tranquilidad" y aportan "un valor objetivo".Ahora bien, estas certificaciones no sólo han de verse desde un punto de vista técnico, sino también han de abordar el ámbito de la gestión. Así lo puso de manifiesto García, de Iberdrola, para quien esto se debe ver en "clave de estrategia". Y aparte de eso, tampoco pueden ser "sine die". Se requiere de "un reciclaje permanente, de una evolución progresiva en el campo tanto de la tecnología como de la gestión", añadió el directivo.Ese autoaprendizaje también resulta muy necesario en el ámbito de la ciberseguridad.

Lo bueno, según los asistentes a la mesa redonda, es que esta clase de personas ya están acostumbradas a seguir en constante evolución. "Somos muy proactivos, con profesionales que se han ido formado ellos mismos a partir de numerosos foros", comentó Municio, de Deloitte. Eso sí, el directivo también alertó de la necesidad de contar con nuevos perfiles en el ámbito de la ciberseguridad, como físicos o matemáticos, para análisis de la información, por ejemplo. Y en todo este proceso de reconocimiento de certificaciones la Administración debería desempeñar "una labor tractora que ratifique esos títulos" para que los profesionales sean "más proclives a obtenerlos", en palabras de Ramos, de ISACA Madrid. Sin embargo, esto todavía resulta un tema bastante complicado. "Es difícil que el legislador se moje tanto hasta el punto de definir en un pliego de condiciones qué tipo de certificaciones se deben tener", explicó Sicilia, del CNPIC.

manuel sicilia
Manuel Sicilia
Jefe de sección de Análisis del Servicio de Ciberseguridad de CNPIC

Y es que no hay que olvidar que la naturaleza de las normas es que perduren en el tiempo. De tal forma que "si salen nuevas certificaciones, se deberían solicitar también en las normativas y eso implicaría modificarlas al poco tiempo", agregó.Ahora bien, sí es cierto que ya se están produciendo ciertos cambios en la Administración para que los profesionales que van a ejercer trabajos relacionados con la seguridad de TI se encuentren acreditados. En palabras de Turrillo, de ISACA Madrid, "la certificación que se solicita es global, y no específica; pero al menos algo se requiere ya, aunque no sea mucho". 

Regulaciones

A partir de aquí el debate derivó hacia la necesidad de regular esta profesión por parte de los organismos competentes, partiendo de la base de que eso obligaría a cumplir unos compromisos básicos. Y es que tal y como apuntó García, de Iberdrola, "la regulación genera un hábito"; aunque instó a la Administración a tener un mayor diálogo con el sector a la hora de dar ese paso. Sin embargo, Ramos, de ISACA, apuntó que con las dos últimas normativas que afectan a esta profesión, la Ley de Protección de Infraestructuras críticas y la Ley de Seguridad Privada, sí ha habido diálogo con las partes interesadas.

"En estos dos casos, el legislador ha sido consciente de que no sabía y que debía escuchar a los expertos. Y es que no se puede legislar al margen del sector". De hecho, en el propio Reglamento de la Ley de Seguridad Privada, que actualmente se encuentra en tramitación, se están haciendo aportaciones en este sentido para poder incluirlas en él, como el papel que deben desempeñar los proveedores de seguridad informática que den servicio a determinados colectivos. "La organización como usuaria tiene que tener un esquema de control interno con temas de seguridad, pero el proveedor también, que tendría que diseñar y mantener", opinó Castillón, de EY.

antonio ramos
Antonio Ramos
Vicepresidente de ISACA Madrid

Por eso, continuó, "se le tiene que obligar a cumplir con esos requerimientos. Se han de marcar las pautas de cómo ese proveedor debe tener homologación". Claro que esta regulación no debe ser igual para todos ellos. "No vale café para todos. Es necesario especificar los perfiles de los proveedores", apuntó García, de Iberdrola. Y es que no es lo mismo un operador crítico que una pequeña empresa de otro sector.

La reglamentación, por tanto, debe, a juicio de Ramos, de ISACA Madrid, solventar el gap existente entre seguridad física y lógica. "Para prestar servicios de seguridad privada se tienen que seguir una serie de pasos y homologacioines. Hay estructuras que buscan dar seguridad al usuario de los servicios; existe un cierto orden. En cambio, en la ciberseguridad el orden es cero", confirmó. De hecho, para el representante de ISACA Madrid, "todos estamos a la misma distancia de una IP, no es como el mundo físico". Por tanto, opinó, hay que ir dando pasos para que la provisión de servicios dedicados a la seguridad informática tenga que cumplir unos requisitos mínimos y contenga ciertas garantías. En esto también estuvo de acuerdo Municio, de Deloitte: "Las consultoras también consideramos que hay que regularlo".Y en esa normalización es donde precisamente entran en juego las necesarias sanciones.

En general, todos los asistentes a la mesa redonda estuvieron de acuerdo en la necesidad de implantar medidas sancionadoras. Y es que, como apuntó Barrasa, de ISACA Madrid, "cuando afecta al bolsillo, espabilamos. Es la forma de educarnos". De hecho, "hasta que no hay inspecciones y sanciones no se llevan a cabo las cosas", añadió Turrillo, de ISACA Madrid. Por tanto, en palabras de Castillón, de EY, "hay que hacer la regulación y hacerla cumplir", manifestó. Ahora bien, desde el punto de vista de Sicilia, del CNPIC, es preciso que no haya un exceso de régimen sancionador. Por ejemplo, las actividades para la seguridad nacional, como las infraestructuras críticas, dependen de un regulador que ya vela por ese servicio. "Es verdad que desde el CNPIC no tenemos sanciones propias, pero no era ese el espíritu", afirmó. La realidad para el directivo es que los doce sectores estratégicos que ya se han identificado cubren un abanico grande de todos los sectores del país. "Por tanto, es preciso acudir al organismo regulador de cada uno de ellos, y eso es lo que hacemos en el desarrollo de los planes. En la regulación del sistema y en su funcionamiento se cuenta con lo que ya existe. Es un camino que se está haciendo ahora, y hay que ver cómo va a evolucionar", argumentó el directivo.

Pablo municio
Pablo Municio
Gerente del ERSIT de Deloitte

Infraestructuras críticas

A partir de aquí el debate se centró en la importancia de la ciberseguridad en este tipo de entornos fundamentales para la buena marcha de un país. La idea más extendida entre todos los asistentes es que "los operadores críticos españoles cuentan con un grado de madurez que va más allá de lo que se les puede exigir", tal y como lo explicó Sicilia, del CNPIC. Esta opinión la ratificó también García, de Iberdrola, para quien la seguridad de estas organizaciones es "bastante aceptable", y se complementa con procesos y personas. "En niveles de seguridad vamos mas allá de lo obligatorio; e incluso me atrevería a decir que, por conocimientos y capacidades, estamos por encima de nuestros colegas europeos.

Somos un marco de referencia. Por tanto, no estamos mal, aunque podríamos estar mejor", manifestó. Ahora bien, sí es cierto que, dentro de este ámbito, los sistemas de control industrial son los que peor parados salen "por su propia idiosincrasia", según apuntó Sicilia, del CNPIC. "En su día se diseñaron principalmente para que estuvieran disponibles, con periodos de amortización de 20 o 25 años. Y actualmente tienen que seguir funcionando", afirmó. El problema es que no hay soluciones de seguridad desarrolladas para ellos, con el hándicap de que "ahora los equipos organizativos quieren monitorizar todo, incluido su proceso industrial desde un iPad", añadió el directivo. Y para eso es preciso una conexión a Internet y que esta se encuentre securizada, porque, al fin y al cabo, en esos procesos reside el corazón de su negocio.De esa misma forma opinó Barrasa, de ISACA.

Joaquin
Joaquín Castillón
Senior manager de EY

"En otros entornos hay fuga de información, y todo se reduce a un problema cultural o reputacional. Sin embargo, esto es el core del negocio, y puede producir daños a las personas y una catástrofe económica".Por eso, en estos casos, es importante la labor que desempeña la capa organizativa de las compañías. "Muchos operadores críticos tienen tecnologías obsoletas, pero afortunadamente las personas que operan en esos entornos tienen un celo máximo por su protección", apuntó García, de Iberdrola. De esta forma, se encuentra limitado el acceso a zonas restringidas, hay una fuerte protección de las comunicaciones, se utilizan redes propias y no públicas...

En definitiva, según manifestó el directivo, "en estos momentos, si no hay un fallo técnico, es difícil que se produzca un incidente de seguridad en España en esos entornos".Y es que la capa organizativa resulta fundamental, tal y como confirmaron el resto de integrantes de la mesa redonda. "Por mucho que tú puedas tener muy securizada la infraestructura tecnológica, si se conecta un proveedor desde otro lugar o los propios administradores abren una nueva sesión desde cualquier otro PC, los sistemas se pueden ver afectados", matizó Municio, de Deloitte.Por eso, en estos casos la concienciación del personal que trabaja en estos ámbitos es muy importante, algo con lo que todos los asistentes estuvieron de acuerdo. 

Concienciación

Es más, este tema sacó a relucir la necesidad de inculcar la importancia de la seguridad a los propios niños. "La concienciación se tiene que mamar desde pequeño. Se trata de un proceso de reflexión que debe dirigirse a los niños y a los entornos educativos mediante prácticas", afirmó García, de Iberdrola. Y es que el directivo no entiende que, por ejemplo, se les enseñe cómo evacuar un colegio o cuándo tienen que cruzar un paso de peatones, y no se les explique los peligros de ese otro mundo que, aunque no lo ven, está ahí. Y es que, como apuntó Castillón, de EY, "hay que concienciarles primero como usuarios para que sean capaces de entender". Por tanto, los esfuerzos han de ir dirigidos en ese sentido para que la siguiente generación a la actual pueda venir más preparada en el uso de las nuevas tecnologías.

Claro que esta afirmación no resulta muy clara para todos los asistentes a la mesa redonda. Por ejemplo, a Ramos, de ISACA Madrid, le da "cierto miedo" este tema. "No sé si vamos a ser capaces de educar a las nuevas generaciones para que conozcan los riesgos del mundo ciber", matizó. Y es que, para el directivo, hay una barrera clara. Cuando la seguridad afecta al mundo físico, vemos y entendemos los riesgos; mientras que cuando lo hace al ámbito lógico, es más difícil detectar dónde está el peligro. "Debemos ser capaces de estructurar un sistema en el que pongamos en su sitio las necesidades de seguridad", agregó. Ahora bien, a lo mejor eso puede obligar a ir más despacio en el avance de las nuevas tecnologías. "Constantemente aparecen nuevos productos. Pero realmente, ¿queremos vivir en un entorno tan inseguro? La gente puede rechazar las tecnologías. Por eso la formación es fundamental", afirmó el directivo.

Enrique
Enrique Turrillo
Vocal de Programas de la junta directiva de ISACA Madrid

El problema para Sicilia, del CNPIC, radica en que "somos víctimas de la rapidez del desarrollo", primando en muchos casos el diseño y la funcionalidad a la seguridad. Claro que eso también tiene un hándicap, y es que cuando alguien se plantea desarrollar seguridad sobre una tecnología, esta "ya se ha quedado desfasada".Sin embargo, los propios asistentes a la reunión confirmaron la dificultad de ralentizar el avance de las tecnologías. Municio, de Deloitte, opinó directamente que "no se puede poner freno". La única forma es "que baje la demanda", algo que también considera complicado. "En los últimos cinco años ha habido un tsunami de interconexión de datos que nos ha pasado por encima y no somos conscientes de los riesgos que eso nos va a traer". Así opina también García, de Iberdrola: "Las Tecnologías de la Información han llegado tan fuerte que nos ha arrasado por completo. No ha habido tiempo de entenderlo, y después de sesenta años seguimos sin comprenderlo", explicó el directivo. Y lo mismo sucede con el concepto de ciberseguridad, según los presentes.

Es bueno que llegue a la sociedad en general, porque el mundo tecnológico es inseguro y este término se debe ver como parte de lo que hay que hacer para mitigar los riesgos. "A veces se dan situaciones kafkianas. A un arquitecto les enseñamos todo lo necesario para que no se caiga un puente que construya. En cambio, a los desarrolladores no se les enseña a programar seguro, cuando eso debería ser lo primero que se hiciera. Para mí ambas situaciones son lo mismo", comentó Ramos, de ISACA Madrid.Lo que sucede, en palabras de Barrasa, de ISACA Madrid, es que "la sociedad se ha acostumbrado a convivir con los riesgos y no es consciente de los peligros que esto supone". Por tanto, para los presentes en la mesa redonda hace falta avanzar mucho más en la educación y la concienciación sobre los riesgos de la tecnología, tanto por parte de los estados como en el ámbito empresarial y el ciudadano.

Es preciso "ir al origen del problema, que se encuentra en el binomio persona-tecnología. Hay que concienciar a las personas y pedir más seguridad a las tecnologías", matizó García, de Iberdrola. De esta forma, "demandaremos servicios de calidad y el mercado no tendrá más remedio que ofrecerlos", puntualizó Ramos, de ISACA Madrid. 

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual