La ciberseguridad: una demanda creciente
Nuestra sociedad es digital, las tecnologías y las redes forman parte de la vida cotidiana de las personas y de las organizaciones. Evolucionan las tecnologías y con ellas los riesgos y las amenazas. Necesitamos reforzar la ciberseguridad. ¿Tenemos medios suficientes?
Los últimos ataques sufridos de forma masiva en el mundo en importantes empresas han sido una llamada de atención que no podemos eludir; estamos expuestos y somos más vulnerables de lo que lo creemos.
Un estudio llevado a cabo por el Centro para la Ciberseguridad y Educación (ISC)² sobre la Fuerza de Trabajo Global en Seguridad de la Información (GISWS) de 2017, revela que faltarán más de 1,8 millones de trabajadores en ciberseguridad en 2022.
La encuesta realizada sobre 19.641 profesiones de ciberseguridad de 170 países diferentes concluye que no hay suficientes trabajadores de ciberseguridad en las organizaciones para hacer frente a los desafíos que enfrentan actualmente.
Las capacidades de ataque son cada vez mayores, el 'malware' está en constante evolución, igual que las herramientas utilizadas por la ciberdelincuencia para vulnerar sistemas y medidas de seguridad.
La ciberseguridad requiere especialización, formación y actualización constante para poder responder adecuadamente a la evolución de los ataques y para prevenirlos convenientemente.
¿Qué les quita el sueño a los profesionales de la ciberseguridad?
Entre las amenazas que más preocupan a los profesionales en ciberseguridad están:
- Configuraciones erróneas de seguridad en equipos, falta de medidas de tipo técnico u organizativo que ayuden a mitigar el riesgo.
- Ciberterrorismo y cibercrimen organizado.
- Ataques a los sistemas de acceso y autenticación, lo que supone un problema grave de seguridad, en especial, a nivel corporativo.
- Fuga de datos, entendida como “la liberación deliberada o involuntaria de información confidencial o sensible, a un medio o a personas que no deberían conocerla”. (Incibe)
- Ingeniería social, una práctica en plena expansión que consiste en obtener información mediante el engaño o la manipulación de usuarios. (Ejem. 'Phishing')
- Proliferación de IoT (Internet de las cosas) que hace que muchos más objetos puedan conectarse a la red de forma no segura.
- Botnet, red de dispositivos infectados y controlados por ciberdelincuencia organizada, usada para realizar ataques masivos.
- Ataques que comprometan la disponibilidad de los servicios de las empresas (DDoS)
- 'Malware' en general, y 'ransomware' en particular (Tipo WannaCry), son 'softwares' maliciosos cuya finalidad principal consiste en dañar los equipos o robar información. Estos podrían haber superado ya al de las aplicaciones legítimas según un reporte de F-Secure.
El estudio demuestra que queda mucho trabajo por hacer para asegurar las empresas y repeler nuevas versiones de ataques como el WannaCry, por el que importantes empresas se vieron afectadas.
Las empresas necesitan contar con una fuerza laboral adecuada, ágil, preventiva y especialmente reactiva.
El desafío del reclutamiento en la especialidad de ciberseguridad
Se incrementan las amenazas y la necesidad de contar con perfiles especializados ligados a la defensa y a la prevención, y no solo técnicos, sino también aquellos capacitados para desarrollar acciones de concienciación que son las que refuerzan el eslabón más débil de la cadena, el factor humano. Dos perfiles imprescindibles y complementarios para reforzar la seguridad.
Otro elemento que exigirá un mayor despliegue de profesionales de la ciberseguridad en las empresas será el cambio de paradigma de seguridad que impone el nuevo reglamento Europeo de Protección de datos (RGPD), que será de obligado cumplimiento a partir de mayo del 2018. Esta regulación impondrá medidas de seguridad más proactivas a todas las empresas pertenecientes a la Unión Europea, entre esas medidas, destaca el análisis de riesgo que tendrán que realizar todas las empresas para determinar las medidas de seguridad adecuadas en función al riesgo detectado y la gestión de brechas de seguridad. Éstas deberán ser notificadas convenientemente a la autoridad de control en cuanto se produzcan.
Las empresas tendrán que abordar estos nuevos retos en el reclutamiento de profesionales de la ciberseguridad con perfiles tanto técnicos como educativos para continuar reforzando la seguridad.