• Contar con talento cualificado es imprescindible para potenciar el sector de la ciberseguridad
• El especialista en ciberseguridad puede venir de diferentes disciplinas académicas; no hace falta que sean ingenieros o expertos en sistemas
• Cuidar de la ciberseguridad se ha convertido en un factor clave que da confianza y buena reputación a las empresas

Solo en 2017, el CNN-CERT (Centro de Respuesta a Incidentes del Centro Criptológico Nacional del CNI) gestionó 26.500 ciber incidentes, lo que supuso un 26,55% más que en 2016. Este aumento refleja la delicada situación en la que se encuentran las empresas y sobre todo, la presión de proteger a las entidades tanto públicas como privadas de este tipo de amenazas online.

Los costes de la ciberseguridad aumentan de forma exponencial para las empresas. El auge del “cibercrimen como servicio” (cybercrime-as-a-service) y el aumento de herramientas y servicios de hacking que antes solo eran accesibles a unos pocos, han difuminado el perfil del cibercriminal clásico, haciendo que prácticamente cualquier persona tener acceso a ellos, atraídos por el alto beneficio económico y facilidad de los ciberataques. Además, a esta situación se añade la falta de candidatos cualificados en seguridad TI, que hace que las empresas vivan expuestas a más riesgos, ya que su capacidad de control y respuesta es limitada.

El pasado 20 de febrero celebramos un exclusivo desayuno centrado en Ciberseguridad, y tuvimos el placer de contar con Adolfo Hernández, subdirector y cofounder de THIBER, the cibersecurity think tank, centro de investigación especializado en la protección del ciberespacio y Head of Advanced Cyber Defense en Banco Sabadell. 

Nos centramos en el tema de “Cómo gestionar riesgos digitales corporativos para aprovechar las ventajas de la economía digital”. Las conclusiones de este han definido las principales tendencias y los retos que del sector de la ciberseguridad en la actualidad:

• Identifica, atrae y retén talento

Uno de los principales retos de las empresas para enfrentarse a las amenazas de ciberseguridad está en ser capaz de identificar, atraer y retener al talento. Según Adolfo Hernández, España es una potencia de talento especializado en esta área y se ha convertido en un offshoring de ciberseguridad. Esto se demuestra con la creación de diferentes hubs en ciberseguridad de grandes multinacionales y la existencia de un tejido empresarial creciente regional que ofrece servicios de calidad a precios competitivos.

Según un estudio de ISC2 (Consorcio internacional de Certificación de Seguridad de Sistemas de Información), en 2022 en Europa necesitaremos 350.000 puestos de trabajo para profesionales ciber. Hay que tener en cuenta que la gran experiencia técnica previa no es necesaria para entrar en el sector. De hecho, no todos los perfiles de ciberseguridad tienen que ser ingenieros, también se demandan otras figuras como politólogos y criminólogos que ayuden a entender la motivación, el modelo económico y los perfiles tras los ciberataques.

• La confianza en el cibercrimen

El cibercrimen es la vertiente criminal en que más crece y además, un problema de confianza en el mercado digital, como nos explicó Adolfo Hernández. La ciberseguridad ha pasado a ser un factor imprescindible para medir la confianza de una empresa. Por esto Moody’s ya está estudiando cómo incluir, en el futuro, el nivel de peligro que tiene una empresa en ciberseguridad en las calificaciones de crédito empresarial. En este sentido, es importante tener en cuenta que un ciberataque va más allá de ser un problema económico, ya que se puede convertir en un problema reputacional grave.

• La hiperconectividad y la ciberseguridad

La hiperconectividad destaca en las características del ciberespacio como uno de los mayores obstáculos para la ciberseguridad. El Internet de las cosas hace que un ciberataque pueda afectar a varios dispositivos (móviles, Smart TV, vehículos conectados, cámaras de seguridad…)

La población digital ha aumentado en 2019 más de 7.000 millones de usuarios. De estos, más de 3.200 millones son usuarios activos de Internet y además, existen millones de objetos conectados a través del Internet de las cosas (IoT). Por lo tanto, a mayor conexión, mayor exposición a riesgos. 

• La simetría entre los que protegen y los que atacan

La relación entre el profesional de ciberseguridad y el ciber atacante es totalmente asimétrica. El encargado de proteger a una empresa se encuentra a diario con diferentes tareas que no tienen nada que ver con el objetivo de defenderse ante todos los ataques posibles, como por ejemplo, lidiar con departamentos de auditoría, presupuestos limitados, falta de sensibilización corporativa, falta de talento especializado y cumplimiento normativo. En cambio, la única tarea del perfil atacante es encontrar una vulnerabilidad para atacar: esto es la asimetría. Desde The Valley Talent consideramos básico que las empresas tengan la capacidad de identificar al talento cualificado e integrarlo de manera correcta en sus estructuras corporativas. De esta manera, podrán tener más margen de respuesta ante ciberataques.

Las empresas que logren atraer y retener el mejor talento especializado en este sector, desarrollarán cibercapacidades para afrontar con garantías el reto digital. El reto sigue siendo conseguir que el cibercrimen no sea rentable y que la ciberseguridad sea un trabajo menos asimétrico.

El último Informe de Riesgos del Foro Económico Mundial situó los ciberataques y el robo de datos como dos de los cinco principales riesgos. Según este informe, el coste del cibercrimen en los próximos cinco años para las empresas podría alcanzar los 8 billones de dólares.

Ahora mismo, cualquier entidad que tenga presencia online, genere información en su actividad de negocio o cuyos sistemas estén alojados en la nube está expuesta. Por suerte, las organizaciones empiezan a ser conscientes de la necesidad de elaborar un plan que minimice los riesgos y el impacto de cualquier incidente de seguridad. La enorme transcendencia de sucesos como el ocurrido el año pasado con el macro ataque del ransomware “Wannacry” ha hecho saltar las alarmas.  

Los perfiles de ciberseguridad están tomando un papel fundamental en las organizaciones y desde la dirección de las compañías están apoyando la creación de estos equipos:

Perfiles de ciberseguridad más demandados a contratar: Hacker ético, CISO, CSO y DPO, entre otros. Hay diferentes tipos de profesionales encargados de gestionar este tema:

• CISO (Chief Information Security Officer). Es el encargado de alinear estrategia de ciberseguridad con los objetivos de la empresa. Se encargará de establecer las políticas de seguridad en función de la actividad de la empresa y de establecer las medidas y controles necesarios.

• CSO (Chief Security Officer). Es el responsable ejecutivo de la seguridad interna de la organización. Establece los planes de continuidad, tiene una visión completa del negocio, está al día de los cambios de normativas, conoce los posibles riesgos en ciberseguridad, etc.

• DPO (Data Protection Officer). Tiene un perfil jurídico y de cumplimiento normativo (compliance) y, según la nueva normativa europea de Protección de Datos, su perfil será obligatorio en Organismos Públicos y en determinadas empresas privadas.  
• Analistas de seguridad. Es el encargado de detectar cualquier posible vulnerabilidad técnica en los sistemas informáticos y redes de la compañía.
• Arquitectos de seguridad. Es el responsable de diseñar la arquitectura de ciberseguridad previa para asegurar todos los desarrollos que se realicen en el entorno.
• Hackers éticos. Al día en las técnicas que utilizan los ciberdelincuentes. Ponen a prueba los sistemas de seguridad de las empresas para analizar sus peligros y así ponerles solución.

• Especialistas forenses. Es el especialista en realizar análisis detallados postmortem de sistemas y redes tras un incidente de seguridad o ciberataque.
• Especialista en incidencias. Es el responsable de coordinar las actividades en caso de incidencias de seguridad y el encargado de activar el plan de control para que los equipos trabajen alineados y las incidencias tengan el menor impacto posible.
• Responsables de inteligencia. Serán los expertos en conocer cualquier amenaza en el exterior, velarán por la reputación de la compañía de cara a identificar cualquier posible ataque y analizarán el nivel de amenazas del exterior.  

¿Qué capacidades deben tener?Aunque las aptitudes variarán, en general se requiere que tengan gran capacidad analítica, ser transversales y que sepan trabajar bajo presión. A nivel técnico, deberán formular planes para salvaguardar archivos informáticos, tener soltura en el manejo de diferentes sistemas operativos, redes y lenguajes de programación, implementar protocolos criptográficos y herramientas de seguridad, analizar y detectar amenazas y desarrollar técnicas para prevenirlos, conocer la normativa vigente, controlar el análisis de malware, entre otros.

¿Cómo integrar estos perfiles en la organización? Dependiendo del tamaño de la empresa, estos profesionales se integrarán de forma diferente. Si se contratan de manera interna, estos suelen ubicarse en los departamentos de IT, de Sistemas y Ciberseguridad, de I+D, etc. No obstante, siempre deberán estar adjuntos al área de dirección y contar con un enfoque generalizado que tenga en cuenta al resto de departamentos de la organización.  

La formación interna también es importante. Según los últimos datos, más del 90% de las brechas de seguridad se producen por el incumplimiento de los protocolos por parte de la plantilla. Para ello, será preciso poner su disposición ciertas nociones que protejan la seguridad de la empresa: confirmar la identidad de todo aquel que solicite información, contraseñas a buen recaudo, evitar guardar información sensible de la empresa en el disco duro, no instalar programas de fuentes desconocidas, actualizar el antivirus en los ordenadores…

Contratar una póliza de ciberseguros. Muchas aseguradoras incluyen en su oferta seguros ciberriesgo como solución frente a posibles amenazas. Suelen cubrir tanto los daños de la empresa como los perjuicios económicos que puedan causar a terceros o a los propios empleados. Eso sí, para su contratación, se exige que ya exista cierto nivel de seguridad.