"Ciberseguridad corporativa; perfil profesional de futuro"

Transcripción

1 "Ciberseguridad corporativa; perfil profesional de futuro" Fernando Davara

2 2

3 Ciberespacio Es un espacio híbrido, virtual y real. Virtual Representa al conjunto de la información disponible en él, así como a los usuarios que la utilizan y las diferentes formas de intercambiarla entre ellos Real Lo constituyen los diferentes equipos, redes y sistemas que permiten almacenar, buscar, procesar, tratar y compartir la información. No es solo un concepto tecnológico ni comprende únicamente a Internet. Lo integran componentes y activos, tangibles e intangibles, en especial la información Es un territorio sin Estados, fronteras ni elementos geográficos Espacio artificial; no puede existir sin el factor humano Caracterizado por la interacción y la capacidad de generar y compartir información.

4 Ciberseguridad Conjunto de políticas, procedimientos, herramientas y mecanismos a aplicar para mantener el resguardo y la integridad de los activos de la organización y a los usuarios en el ciberespacio*. No es un concepto simplemente técnico; demanda implicar a la organización y a los usuarios e incluye normativas, políticas, etc. * UIT T X.1205

5

6 Anonymous amenaza al Daesh (promete una reacción masiva)

7 Amenazas; agentes De perfil bajo Individuos aislados o poco organizados, normalmente con fines exclusivamente personales. Cibercriminales Organizaciones mafiosas o crimen organizado; pretenden obtener un beneficio económico o provocar daños de acuerdo con sus intereses. Ciberactivistas Grupos antisitema, extremismo político e ideológico, etc; desacreditar a las instituciones y organizaciones a las que atacan Ciberterroristas Organizaciones terroristas; acciones de propaganda, reclutamiento y atentados contra sistemas de información. Pueden provocar mayor daño que un atentado más convencional. Estados Continuidad de los conflictos físicos al mundo virtual (ciberguerra y guerra de la información)

8 Ciberseguridad corporativa Nuevos desafíos: Big Data (manipulación de grandes volúmenes = inseguridad) Cloud Computing BYOD (Bring Your Own Device) Robo de datos personales. Redes Sociales. Internet de las cosas Redes energéticas inteligentes (Smart Grids) Externalización de procesos de negocio críticos Recuperación de incidentes y continuidad del negocio...

9 CS ya no solamente una cuestión técnica 9

10 Principios Los riesgos de ciberseguridad son algo mas que un asunto de las tecnologías.. son un componente fundamental de la gestión de riesgos de la organización. La Alta dirección y la Suite - C debe comprender las implicaciones legales de los riesgos cibernéticos Los miembros del Consejo y directivos deben tener los conocimientos necesarios para comprometerse en cuestiones relacionadas con ellos. Los Directores deben asegurar un marco de gestión de riesgos en toda la organización... con una adecuada dotación de personal y presupuesto. Enfoque holísitico:.. se deben evaluar los riesgos de ciberseguridad al mismo nivel en la organización que el resto de ellos.

11 Ciberseguridad corporativa Gobierno Estrategia Políticas y procedimientos Continuidad del negocio Riesgos Análisis de riesgos Gestión de riesgos Gestión de incidentes Cumplimiento Control del cumplimiento Evaluación del cumplimiento Auditorías Fuente: elaboración propia

12 Ciberseguridad corporativa Gobierno Estrategia Procesos Personas Gestión de riesgos Tecnología Cumplimiento Fuente: elaboración propia

13 Factores que afectan a la CS corporativa APT Normativa PIC Exigencia de profesionales y expertos.... con conocimientos especializados en CS : Dirección, Gestión, Técnicos y Ejecución u operación.

14 Compromiso y conocimiento Consejo de Administración C E O Asesorías y Staff S u i t e C D i r e c t o r e s G e s t o r e s R e s t o p e r s o n a l Fuente: elaboración propia 14

15 Aumento de incidentes. Incidentes gestionados por el CCN CERT (número) Fuente: CCN CERT 15

16 . y de peligrosidad Incidentes gestionados por el CCN CERT (criticidad) Fuente: CCN CERT 16

17 Problema actual La ciberseguridad se ha desarrollado principalmente como reacción a las amenazas La ciberseguridad se ha considerado como responsabilidad de un determinado departamento de profesionales especializados técnicamente Las amenazas aumentan Los profesionales no Muchas amenazas; pocos profesionales Existe una enorme brecha de profesionales cualificados en diferentes ámbitos y materias 17

18 Problema actual Demanda de profesionales en diferentes ámbitos de la ciberseguridad N º de profesionales Diferencia entre la necesidad y la disponibilidad Número de expertos aumenta linealmente Tiempo Fuente: elaboración propia

19 Cyberseguridad como profesión Nuevos perfiles profesionales de ciberseguridad Demanda creciente en todos los sectores; público, privado y gobiernos (S&D) 5 últimos años; crecimiento 3,5 veces mas rápido que el de profesionales de las TIC (tasa de desempleo negativa) Estimación de crecimiento de demanda en 10% y de oferta en 5% 19

20 Cyberseguridad como profesión Nuevos perfiles profesionales de ciberseguridad Los nuevos perfiles implican obtener competencias directivas, de gestión y operación..no solamente técnicas Requieren una importante formación y experiencia Mas del 80% de los nuevos puestos demandan poseer un grado o post grado. lo cual dificulta el poder cerrar la brecha entre demanda y oferta. Es necesario buscar soluciones a medio plazo Fuente: Burning Glass Technologies Integración de estas nuevas disciplinas en programas formativos de Universidades y Centros académicos de formación. Mas de 50 perfiles diferentes 20

21 Prof esionales C o n t i n ui da d d e l n e g o c i o Analista de continuidad del negocio Gestor de continuidad del negocio Planificador de continuidad del negocio Consultor de continuidad del negocio Fuente: elaboración propia 21

22 Prof esionales G e s t i ó n d e r i e s g o s CRO Analista de Riesgos Gestor de riesgos corporativos Gestor de riesgos de información Administrador de riesgos Consultor Fuente: elaboración propia 22

23 Prof esionales S e g u r i d a d d e l a i n f o r m a c i ó n CISO Director de seguridad de la información Consultor de seguridad de TI Analista de aseguramiento de la información Arquitecto de seguridad de la información Gestor de seguridad de Datos Administrador de sistemas de seguridad Ingeniero de seguridad de TI Fuente: elaboración propia 23

24 Prof esionales A u d i t o r í a Auditor de cumplimiento normativo Auditor de TI Auditor de seguridad Fuente: elaboración propia 24

25 Prof esionales D i r e c c i ó n y G e s t i ó n CEO COO CIO CISO Director de TI Gestor de gobierno y cumplimiento Fuente: elaboración propia 25

26 Prof esionales S e g u r i d a d t é c n i c a Arquitecto de seguridad de aplicaciones Analista de seguridad de red Ingeniero de seguridad de TI Ingeniero de ciberseguridad Especialista en Seguridad de Redes Ingeniero de ciberseguridad Gestor de protección de datos Fuente: elaboración propia 26

27 Prof esionales Á r e a s d i v e r s a s Consultor de ciberseguridad Gestor de respuesta a incidentes Analista de informática forense Analista en test de penetración Consultor de seguridad Cibernética Asesor de privacidad y protección de información Fuente: elaboración propia 27

28 Prof esionales A p l i c a c i o ne s y s e r v i c i o s Consultor Cloud Arquitecto Cloud Gestor de seguridad Cloud Gestor de infraestructura Cloud Consultor de Seguridad Cloud... Fuente: elaboración propia 28

29 Reflexiones finales Actualmente la cuestión no es saber SI alguna vez sufriremos un incidente de ciberseguridad, sino CUANDO se producirá. Pero la ciberseguridad no sólo es cuestión de tecnologías de última generación... hay que utilizar las tecnologías no como un fin sino como un medio para la seguridad y continuidad del negocio.. no sólo hay que disponer de ellas, hay que saber utilizarlas, por el personal adecuado, lo cual implica.. integrar la ciberseguridad en la estrategia corporativa... asegurándose de que la organización cuenta con personal totalmente comprometido con la ciberseguridad 29

30 Reflexiones finales Problema real de las organizaciones: Aumento de amenazas Aumento de demanda de profesionales Escasa disponibilidad de profesionales La falta de talento en CS es una de las mayores vulnerabilidades de que expone a las organizaciones a riesgos muy graves Es fundamental un equipo humano preparado y convencido

31 Reflexiones finales Es preciso formar en el conocimiento, análisis y aplicación de conceptos, métodos y procedimientos... para el gobierno, dirección y gestión de la seguridad cibernética en entornos corporativos,. mediante una perspectiva de gestión, en contraste con el enfoque técnico habitual, para ayudar a cubrir la carencia de profesionales competentes en ciberseguridad corporativa. Profesionales Formación Experiencia Concienciación

32 Fernando Davara Muchas gracias