"Ciberseguridad corporativa; perfil profesional de futuro"

https://cybercamp.es

"Ciberseguridad corporativa;

perfil profesional de futuro"

Fernando Davara

[email protected]

www.fernandodavara.com

09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez 2

09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez

Ciberespacio

Es un espacio híbrido, virtual y real.

No es solo un concepto tecnológico ni comprende únicamente a Internet .

Es un territorio sin Estados, fronteras ni elementos geográficos

Virtual

Real

Representa al conjunto de la información disponible en él, así como a los usuarios

que la utilizan y las diferentes formas de intercambiarla entre ellos

Lo constituyen los diferentes equipos, redes y sistemas que permiten almacenar,

buscar, procesar, tratar y compartir la información.

Lo integran componentes y activos, tangibles e intangibles, en especial la información

Caracterizado por la interacción y la capacidad de generar y compartir información.

Espacio artificial; no puede existir sin el factor humano


Ciberseguridad

Conjunto de políticas, procedimientos, herramientas y

mecanismos a aplicar para mantener el resguardo y la

integridad de los activos de la organización y a los

usuarios en el ciberespacio*.

No es un concepto simplemente técnico; demanda implicar a la

organización y a los usuarios e incluye normativas, políticas, etc.

* UIT–T X.1205


Anonymous amenaza al Daesh (promete una

reacción masiva)


Amenazas; agentes

De perfil bajo

Cibercriminales

Ciberactivistas

Individuos aislados o poco organizados, normalmente con fines

exclusivamente personales .

Organizaciones mafiosas o crimen organizado; pretenden obtener un

beneficio económico o provocar daños de acuerdo con sus intereses.

Grupos antisitema, extremismo político e ideológico, etc; desacreditar a

las instituciones y organizaciones a las que atacan

Estados Continuidad de los conflictos físicos al mundo virtual (ciberguerra y

guerra de la información)

Ciberterroristas Organizaciones terroristas; acciones de propaganda, reclutamiento y

atentados contra sistemas de información. Pueden provocar mayor

daño que un atentado más convencional.


Ciberseguridad corporativa

Nuevos desafíos:

Big Data (manipulación de grandes volúmenes = inseguridad)

Cloud Computing

BYOD (Bring Your Own Device)

Robo de datos personales.

Redes Sociales.

Internet de las cosas

Redes energéticas inteligentes (Smart Grids)

Externalización de procesos de negocio críticos

Recuperación de incidentes y continuidad del negocio

…....


CS ……ya no solamente una cuestión técnica

9


Principios

Los riesgos de ciberseguridad son algo mas que un asunto de las tecnologías…..

…son un componente fundamental de la gestión de riesgos de la organización.

La Alta dirección y la Suite - C debe comprender las implicaciones legales de los riesgos cibernéticos

Los miembros del Consejo y directivos deben tener los conocimientos necesarios para comprometerse

en cuestiones relacionadas con ellos.

Enfoque holísitico:

….. se deben evaluar los riesgos de ciberseguridad al mismo nivel en la organización que el

resto de ellos.

Los Directores deben asegurar un marco de gestión de riesgos en toda la organización….

….. con una adecuada dotación de personal y presupuesto.



• Control del cumplimiento

• Evaluación del cumplimiento

• Auditorías

• Análisis de riesgos

• Gestión de riesgos

• Gestión de incidentes

Riesgos

Cumplimiento

• Estrategia

• Políticas y procedimientos

• Continuidad del negocio

Gobierno

Fuente: elaboración propia



Gobierno

Estrategia

Gestión de riesgos

Cumplimiento

Tecnología

Procesos Personas



Factores que afectan a la CS corporativa

APT Normativa

Exigencia de profesionales y expertos…...

PIC ……

……. con conocimientos especializados en CS :

Dirección,

Gestión,

Técnicos y

Ejecución u operación.


Compromiso y conocimiento

14

G e s t o r e s R e s t o

p e r s o n a l

S u i t e C

C E O

D i r e c t o r e s

Consejo de

Administración

Asesorías y Staff



Aumento de incidentes …….

Incidentes gestionados por el CCN – CERT (número)

15

Fuente: CCN CERT


…. y de peligrosidad

Incidentes gestionados por el CCN – CERT (criticidad)

16

Fuente: CCN CERT


Problema actual

17

La ciberseguridad se ha desarrollado principalmente como reacción a las amenazas

Existe una enorme brecha de profesionales cualificados en diferentes ámbitos y materias

La ciberseguridad se ha considerado como responsabilidad de un determinado departamento de

profesionales especializados técnicamente

Las amenazas aumentan

Los profesionales no

Muchas amenazas; pocos profesionales


Problema actual

Demanda de

profesionales en

diferentes ámbitos

de la ciberseguridad

Número de expertos

aumenta linealmente

Diferencia

entre la

necesidad y la

disponibilidad

Tiempo

Nº

de profesionales



Cyberseguridad como profesión

19

Demanda creciente en todos los sectores; público, privado y

gobiernos (S&D)

5 últimos años; crecimiento 3,5 veces mas rápido que el de

profesionales de las TIC (tasa de desempleo negativa)

Estimación de crecimiento de demanda en 10% y de oferta en

5%

Nuevos perfiles profesionales de ciberseguridad


Cyberseguridad como profesión

20

Los nuevos perfiles implican obtener competencias directivas, de gestión y

operación….

….no solamente técnicas

Requieren una importante formación y experiencia

Mas del 80% de los nuevos puestos demandan poseer un grado o post

grado…….

Nuevos perfiles profesionales de ciberseguridad

Integración de estas nuevas disciplinas en

programas formativos de Universidades y

Centros académicos de formación.

Mas de 50 perfiles diferentes

… lo cual dificulta el poder cerrar la brecha entre demanda y oferta.

Es necesario buscar soluciones a medio plazo Fuente:

Burning Glass

Technologies


Profesionales

C o n t i n u i da d d e l n e g o c i o

• Analista de continuidad del negocio

• Gestor de continuidad del negocio

• Planificador de continuidad del negocio

• Consultor de continuidad del negocio



Profesionales

G e s t i ó n d e r i e s g o s

• CRO

• Analista de Riesgos

• Gestor de riesgos corporativos

• Gestor de riesgos de información

• Administrador de riesgos

• Consultor



Profesionales

S e g u r i d a d d e l a i n f o r m a c i ó n

• CISO

• Director de seguridad de la información

• Consultor de seguridad de TI

• Analista de aseguramiento de la información

• Arquitecto de seguridad de la información

• Gestor de seguridad de Datos

• Administrador de sistemas de seguridad

• Ingeniero de seguridad de TI



Profesionales

A u d i t o r í a

• Auditor de cumplimiento normativo

• Auditor de TI

• Auditor de seguridad



Profesionales

D i r e c c i ó n y G e s t i ó n

• CEO

• COO

• CIO

• CISO

• Director de TI

• Gestor de gobierno y cumplimiento



Profesionales

S e g u r i d a d t é c n i c a

• Arquitecto de seguridad de aplicaciones

• Analista de seguridad de red

• Ingeniero de seguridad de TI

• Ingeniero de ciberseguridad

• Especialista en Seguridad de Redes

• Ingeniero de ciberseguridad

• Gestor de protección de datos



Profesionales

Á r e a s d i v e r s a s

• Consultor de ciberseguridad

• Gestor de respuesta a incidentes

• Analista de informática forense

• Analista en test de penetración

• Consultor de seguridad Cibernética

• Asesor de privacidad y protección de información



Profesionales

A p l i c a c i o ne s y s e r v i c i o s

• Consultor Cloud

• Arquitecto Cloud

• Gestor de seguridad Cloud

• Gestor de infraestructura Cloud

• Consultor de Seguridad Cloud.

• …..

• ……



Reflexiones finales

Actualmente la cuestión no es saber SI alguna vez sufriremos un

incidente de ciberseguridad , sino CUANDO se producirá.

Pero la ciberseguridad no sólo es cuestión de tecnologías de última

generación …….

….. hay que utilizar las tecnologías no como un fin sino como un

medio para la seguridad y continuidad del negocio…

….. no sólo hay que disponer de ellas, hay que saber utilizarlas, por

el personal adecuado, lo cual implica…..

… integrar la ciberseguridad en la estrategia corporativa…..

…. asegurándose de que la organización cuenta con personal

totalmente comprometido con la ciberseguridad

29


Reflexiones finales

Problema real de las organizaciones:

□ Aumento de amenazas

□ Aumento de demanda de profesionales

□ Escasa disponibilidad de profesionales

La falta de talento en CS es una de las mayores vulnerabilidades de

que expone a las organizaciones a riesgos muy graves

Es fundamental un equipo humano preparado y convencido……


Reflexiones finales

Es preciso formar en el conocimiento, análisis y aplicación de

conceptos, métodos y procedimientos…..

…. para el gobierno, dirección y gestión de la seguridad

cibernética en entornos corporativos, ….

……mediante una perspectiva de gestión, en contraste con el

enfoque técnico habitual, para ayudar a cubrir la carencia de

profesionales competentes en ciberseguridad corporativa.

Profesionales

Formación Concienciación Experiencia

https://cybercamp.es @CyberCampEs #CyberCamp15

!! Muchas gracias ¡¡

Fernando Davara

[email protected]

www.fernandodavara.com

Documents

"Ciberseguridad corporativa; perfil profesional de futuro"