El tema de la ciberseguridad hoy por hoy es un elemento indispensable que se debe considerar para cualquier tipo de organización, ya sea del mundo público como privado, puesto que se escapa sólo desde una consideración de seguridad personal.
Es así como las brechas de ciberseguridad, los ataques informáticos, los «secuestros virtuales», los robos de credenciales, la filtración de datos y un largo etcétera, son parte cada vez más, del vocabulario necesario de aprender, sobre todo por quienes responsabilidades tanto administrativas, gubernamentales, gerenciales o tomadores de decisiones.
Es importante considerar que los actos cometidos por ciberdelincuentes, en cualquiera de sus «sabores» o variables, afectan no tan solo a intereses privados sino que pueden incluso poner en riesgo a la seguridad nacional.
Es por ello que un gobierno, una administración estatal, debe considerar a la ciberseguridad en forma clara y precisa, dentro de la mirada de seguridad pública en primer lugar (porque la seguridad no es tan sólo física, sino también virtual), pero también debe ser considerada desde el punto de vista de defensa nacional (en la lógica de ciberdefensa).
En los últimos meses, a nivel de entidades públicas, ha sido particularmente intenso por diversos ataques que han puesto entredicho la gestión de los responsables de ciberseguridad en estas organizaciones. Así, podemos mencionar el ataque recibido a sistemas del Servicio Nacional al Consumidor SERNAC, hackeo de cuentas de whatsapp de parlamentarios y altas autoridades, ataques a sitio de Comisión Nacional de Acreditación CNA Chile y más recientemente la filtración de más de 400 mil correos electrónicos del Estado Mayor Conjunto de las FFAA de Chile.
La duda que surge es cómo ocurrieron los hechos, qué medidas se tendrá para mitigar y evitar próximas consecuencias por ataques que seguro volverán a sufrir.
Sin embargo, de lo que poco se habla, es de los perfiles tanto de técnicos como profesionales especializados en ciberseguridad que son necesarios de contar en cualquier organización. Muchas veces existe el errado pensamiento en que, con la sola contratación de una persona el problema está resuelto o que es mejor externalizar los servicios a alguna empresa de ciberseguridad siendo esta la solución, muestra la inexistencia de una mirada integral, ecosistémica y multidisciplinaria que son fundamentales para afrontar la ciberseguridad.
Un reciente documento generado por La Agencia de la Unión Europea para la Ciberseguridad, ENISA, que es la agencia de la Unión dedicada a lograr un alto nivel común de ciberseguridad en toda Europa, nos muestra cuales, a su entender, son los 12 perfiles específicos necesarios dentro de una organización, con el detalle de sus funciones, misiones, tareas principales, habilidades y conocimientos claves. Son parte del marco europeo de habilidades en ciberseguridad.
El listado identificado está compuesto por:
- DIRECTOR DE SEGURIDAD DE LA INFORMACIÓN (CISO)
- RESPUESTA A INCIDENTES CIBERNÉTICOS
- OFICIAL DE CUMPLIMIENTO, POLÍTICAS Y LEGAL CIBERNÉTICO
- ESPECIALISTA EN INTELIGENCIA DE AMENAZAS CIBERNÉTICAS
- ARQUITECTO DE CIBERSEGURIDAD
- AUDITOR DE CIBERSEGURIDAD
- EDUCADOR EN CIBERSEGURIDAD
- IMPLEMENTADOR DE CIBERSEGURIDAD
- INVESTIGADOR EN CIBERSEGURIDAD
- GERENTE DE RIESGOS DE CIBERSEGURIDAD
- INVESTIGADOR FORENSE DIGITAL
- PROBADOR DE PENETRACIÓN
Como antecedente a considerar, la ENISA fue establecida en 2004 y reforzada por la Ley de Ciberseguridad de la UE y contribuye a la política cibernética de la UE, mejora la confiabilidad de los productos, servicios y procesos de TIC con esquemas de certificación de ciberseguridad, coopera con los Estados miembros y los organismos de la UE, y ayuda a Europa a prepararse para los desafíos cibernéticos del mañana. A través del intercambio de conocimientos, el desarrollo de capacidades y la sensibilización, la Agencia trabaja junto con sus principales partes interesadas para fortalecer la confianza en la economía conectada, aumentar la resiliencia de la infraestructura de la Unión y, en última instancia, mantener la seguridad digital de la sociedad y los ciudadanos de Europa.
El documento oficial (en inglés) es posible descargar desde acá > European Cybersecurity Skills Framework Role Profiles.
Es primordial que los tomadores de decisiones de una empresa, organización pública o el mismo gobierno tenga en cuenta estas recomendaciones al momento de contratar personal calificado para el área de ciberseguridad.