El sector de la ciberseguridad está en constante crecimiento y ya forma parte de la estrategia de muchas organizaciones. Este artículo os dará las claves sobre este sector: estado actual, mercado laboral, formación, inversiones y retos.
¿Cuál es el estado actual de la ciberseguridad?
La tecnología ha ido evolucionando e innovando haciendo nuestras vidas más fáciles y nuestros puestos de trabajo más productivos. A día de hoy, la tecnología está controlando aspectos críticos de nuestra sociedad como los mercados financieros, las redes eléctricas, rutas aéreas, hospitales, etc. Además, cada vez dependemos más de dispositivos inteligentes (teléfonos, coches, televisores, neveras e incluso marcapasos). Este abrumador ritmo de innovación y adopción de la tecnología, en tiempos de transformación digital, y por tanto aumento de la complejidad de los sistemas, exige tomar consciencia global de los riesgos de seguridad, fraude y privacidad que aumentan aún a mayor ritmo. Estos riesgos, de los que la alta dirección debe ser consciente, deben ser medidos y supervisados continuamente, formando parte de la estrategia de la organización y estableciendo una cultura de ciberseguridad.
La realidad es que la tendencia es la de crear nuevos servicios y productos a la mayor velocidad posible, dejando de lado la seguridad al principio, para preocuparse de ella más adelante, pero para reforzar la seguridad de la información los comportamientos reactivos ya no son suficientes para la salvaguarda de los recursos críticos en la organización. El enfoque ha de cambiar, empezando por un cambio de mentalidad entre los propios profesionales de seguridad, quienes debemos encontrar la manera de ofrecer soluciones seguras por naturaleza desde su misma concepción, a la vez que flexibles para adaptarse a necesidades de negocio tremendamente cambiantes. El reto consiste en estar en continuo aprendizaje, para analizar los riesgos de seguridad que se desprenden de cada nueva tecnología que aparece. Hay que entender la ciberseguridad como una tendencia a largo plazo en la que la protección de la información, la aproximación al riesgo por defecto y la privacidad desde el diseño indican la evolución de la seguridad de la información. Esta integración de la seguridad de la información en los procesos de negocio, debe ser liderado desde la alta dirección, siguiendo una estrategia top-down para garantizar el éxito.
En paralelo a las necesidades legítimas de cada organización y/o individuo de preservar su privacidad y seguridad; recordemos que incluso la integridad física de las personas y la sociedad está en peligro (mal uso de sistemas de control en semáforos, manipulación de sustancias químicas en el agua, secuestros por geolocalización, etc.); vivimos un momento en la que la legislación está endureciéndose con el objetivo de actuar sobre delitos informáticos, así como requerir a las organizaciones la responsabilidad de proteger debidamente la información que poseen, aplicando las medidas de seguridad informáticas que mejor apliquen en cada ámbito. Por ello, el reto aún es mayor, no sólo en la adopción de las nuevas tecnologías de forma segura sino como estas nuevas tecnologías pueden alinearse para cumplir con la legislación vigente así como cualquier otro tipo de norma sectorial.
¿Qué demanda de trabajo hay en el sector de la ciberseguridad?
El aumento del riesgo de ataques cibernéticos y la necesidad de las organizaciones para responder a ellos y contrarrestarlos está impulsando una gran demanda de profesionales de seguridad cibernética, como puede verse en las ofertas de trabajo que se publican a diario. El personal de seguridad de la información cada vez se considera más crítico y conforme las organizaciones entienden la necesidad e importancia de estos profesionales, van ampliando las capacidades de financiación para la contratación de dicho personal y mejoras de sus habilidades.
Según Gartner, la industria de la ciberseguridad cerró 2015 con un crecimiento del 4,7% respecto a 2014, alcanzando un volumen de negocio de 70.000 millones de euros nivel mundial. Según las previsiones de los analistas de MarketandMarkets, el sector seguirá creciendo como mínimo hasta 2020, con una media interanual del 9,8%.
Por otro lado, las necesidades actuales de los profesionales de seguridad cibernética superan la oferta existente, siendo ésta una tendencia creciente durante los últimos años y que sigue en auge, afectando a todo tipo de sectores. Evidentemente no se trata solo de volumen, las organizaciones buscan profesionales expertos en esta industria, de confianza, con vocación, apasionados y comprometidos con esta profesión que requiere de continuo reciclaje, investigación y extrema dedicación. La forma de pensar y actuar del profesional de ciberseguridad es un factor clave en la prevención, detección y mitigación de los compromisos de seguridad.
¿Es importante formarse en ciberseguridad?
Las habilidades y competencias en ciberseguridad son elementos clave para gestionar los riesgos de cualquier organización. Por lo tanto, la capacidad, conocimientos y habilidades en ciberseguridad son esenciales para la supervivencia de los negocios en el mundo virtual así como para la economía. La escasez de profesionales de la seguridad de la información que hemos comentado anteriormente provoca una vulnerabilidad en las tres líneas de defensa. El concepto de las tres líneas de defensa está enfocado a mejorar la gestión de los riesgos para alcanzar un nivel aceptable desde un enfoque colaborativo. La primera línea de defensa es responsable de las actividades del día a día, monitorizando y protegiendo los activos de información. La segunda línea de defensa es responsable del buen gobierno de esas tareas así como asegurar que los activos de información tienen una adecuada monitorización, reporte y seguimiento; y la tercera línea de defensa es responsable de garantizar el cumplimiento.
Los conocimientos técnicos son el pilar fundamental del sector, y son aplicables a las tres líneas de defensa, pero es necesario no contar solo con habilidades técnicas sino también de capacidades blandas de forma que responsables de seguridad, gestores de riesgo, auditores, propietarios de la información y administradores de seguridad de la información puedan resolver los problemas y retos que se presentan de una forma más creativa para garantizar la confidencialidad, integridad, disponibilidad de los activos de información de una organización. En ocasiones, es más útil saber trasladar necesidades, urgencias y riesgos a la alta dirección de una forma correcta y sensible a las necesidades del negocio que no la demostración del dominio técnico en la materia. Para ello, hay que ser conscientes que los interlocutores no han de porque entender términos técnicos del ámbito de seguridad de la información, pero que éstos si tienen el poder para autorizar presupuesto o permitir cambios a favor de la seguridad, así que se vuelve imprescindible buscar la forma de trasmitir estas necesidades en forma de riesgos e incluso en oportunidades para los objetivos del negocio.
¿Cómo deben afrontarse las inversiones en ciberseguridad?
Las inversiones en ciberseguridad deben basarse en decisiones para alcanzar, proteger y acompañar los objetivos del negocio; no como decisiones tecnológicas. Para hacerlo es necesario evaluar el impacto que las iniciativas de seguridad pueden tener sobre los objetivos de negocio de la organización, para ello son factores claves los siguientes:
- Articular el coste potencial que la organización está dispuesta a asumir ante un incidente de seguridad y el apetito al riesgo que la organización.
- Obtener el reconocimiento por parte de la organización conforme las inversiones en ciberseguridad deben estar relacionadas con los objetivos y los factores de éxito críticos para el negocio.
¿Cuáles son los mayores retos en ciberseguridad?
Sea grande o pequeña, cualquier amenaza de ciberseguridad debe ser tratada con precaución, y ninguna precaución que se pueda ser tomada sobra. Retos hay muchos, como hemos comentado antes, fruto de los procesos de transformación digital, pero quizás valga la pena poner especial atención en los siguientes:
Cloud Computing
Cada vez se usan más servicios en la nube, provocando una pérdida de supervisión y control. Esta pérdida puede suponer pasar por alto las medidas de seguridad que se requieren para el proceso de negocio que técnicamente se apoya en la nube. Con el objeto de que esto no ocurra, es imprescindible establecer una estrategia que contemple los requisitos necesarios de seguridad desde el mismo momento en que se solicita la apertura un nuevo servicio en la nube, incluyendo la auditoría de las medidas de seguridad que aplican cada uno de los proveedores de Cloud y la integración con medidas de seguridad ya existentes en la organización.
DevSecOps
O como añadir seguridad a un programa de DevOps. Devops se basa en un modelo que motiva la colaboración entre desarrolladores de software y el departamento de IT, de forma que se automaticen los procesos para la entrega de software y los cambios de infraestructura, requiriendo continuas entregas y procesos de tomas de decisiones rápidas donde la seguridad tradicional no encaja o es capaz de moverse a la misma velocidad.
Un modelo de DevSecOps debe ser capaz de validar, desde el punto de vista de seguridad de la información, cada bloque funcional sin frenar el ciclo de vida del desarrollo de software, implementando controles y procesos de seguridad de forma continua y automática.
El Internet de las cosas
A medida que la conectividad aumenta por todos los rincones de nuestras vidas y negocios, se hace más y más difícil de mantener una visión clara de los puntos de entrada que estamos permitiendo y el flujo de información existente. Estos dispositivos, que normalmente son consumidos por los usuarios antes que por las empresas, aumentan los procesos de Shadow IT además de hacer crecer los vectores de ataque de forma exponencial, concluyendo en un riesgo muy grande para cualquier organización. Es importante ser capaz de gestionar y bloquear el acceso a dispositivos y redes empresariales cuando sea necesario.
Según los analistas de Gartner, el IoT generará un lucrativo mercado negro (estimado en unos 5.000 millones de euros) por la venta de los datos e información generada por los sensores, imágenes y vídeos que incorporan estos productos, evidentemente al no ofrecer unas adecuadas medidas de protección para la privacidad de los datos.
Microsegmentación y SDN
La estrategia de seguridad centrada en el perímetro de red de los datacenters ha resultado deficiente. Los ataques actuales consiguen explotar las defensas del perímetro, obteniendo acceso a usuarios autorizados para realizar movimientos laterales dentro del propio datacenter, donde típicamente hay menos controles. Se estima que el tráfico norte-sur representa un 17% del tráfico, mientras que el este-oeste representa un 76% del tráfico, por lo que resulta necesario desarrollar estrategias que permitan dividir el datacenter en zonas más pequeñas y más seguras, provisionando servicios de seguridad no solo en el perímetro, sino también en capas de aplicación y entre dispositivos. La microsegmentación permite aplicar un política muy granular, tanto en el CPD con en la nube.
