"Ciberseguridad corporativa; perfil profesional de futuro"
Transcript of "Ciberseguridad corporativa; perfil profesional de futuro"
https://cybercamp.es
"Ciberseguridad corporativa;
perfil profesional de futuro"
Fernando Davara
www.fernandodavara.com
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez 2
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
Ciberespacio
Es un espacio híbrido, virtual y real.
No es solo un concepto tecnológico ni comprende únicamente a Internet .
Es un territorio sin Estados, fronteras ni elementos geográficos
Virtual
Real
Representa al conjunto de la información disponible en él, así como a los usuarios
que la utilizan y las diferentes formas de intercambiarla entre ellos
Lo constituyen los diferentes equipos, redes y sistemas que permiten almacenar,
buscar, procesar, tratar y compartir la información.
Lo integran componentes y activos, tangibles e intangibles, en especial la información
Caracterizado por la interacción y la capacidad de generar y compartir información.
Espacio artificial; no puede existir sin el factor humano
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
Ciberseguridad
Conjunto de políticas, procedimientos, herramientas y
mecanismos a aplicar para mantener el resguardo y la
integridad de los activos de la organización y a los
usuarios en el ciberespacio*.
No es un concepto simplemente técnico; demanda implicar a la
organización y a los usuarios e incluye normativas, políticas, etc.
* UIT–T X.1205
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
Anonymous amenaza al Daesh (promete una
reacción masiva)
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
Amenazas; agentes
De perfil bajo
Cibercriminales
Ciberactivistas
Individuos aislados o poco organizados, normalmente con fines
exclusivamente personales .
Organizaciones mafiosas o crimen organizado; pretenden obtener un
beneficio económico o provocar daños de acuerdo con sus intereses.
Grupos antisitema, extremismo político e ideológico, etc; desacreditar a
las instituciones y organizaciones a las que atacan
Estados Continuidad de los conflictos físicos al mundo virtual (ciberguerra y
guerra de la información)
Ciberterroristas Organizaciones terroristas; acciones de propaganda, reclutamiento y
atentados contra sistemas de información. Pueden provocar mayor
daño que un atentado más convencional.
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
Ciberseguridad corporativa
Nuevos desafíos:
Big Data (manipulación de grandes volúmenes = inseguridad)
Cloud Computing
BYOD (Bring Your Own Device)
Robo de datos personales.
Redes Sociales.
Internet de las cosas
Redes energéticas inteligentes (Smart Grids)
Externalización de procesos de negocio críticos
Recuperación de incidentes y continuidad del negocio
…....
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
CS ……ya no solamente una cuestión técnica
9
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
Principios
Los riesgos de ciberseguridad son algo mas que un asunto de las tecnologías…..
…son un componente fundamental de la gestión de riesgos de la organización.
La Alta dirección y la Suite - C debe comprender las implicaciones legales de los riesgos cibernéticos
Los miembros del Consejo y directivos deben tener los conocimientos necesarios para comprometerse
en cuestiones relacionadas con ellos.
Enfoque holísitico:
….. se deben evaluar los riesgos de ciberseguridad al mismo nivel en la organización que el
resto de ellos.
Los Directores deben asegurar un marco de gestión de riesgos en toda la organización….
….. con una adecuada dotación de personal y presupuesto.
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
Ciberseguridad corporativa
• Control del cumplimiento
• Evaluación del cumplimiento
• Auditorías
• Análisis de riesgos
• Gestión de riesgos
• Gestión de incidentes
Riesgos
Cumplimiento
• Estrategia
• Políticas y procedimientos
• Continuidad del negocio
Gobierno
Fuente: elaboración propia
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
Ciberseguridad corporativa
Gobierno
Estrategia
Gestión de riesgos
Cumplimiento
Tecnología
Procesos Personas
Fuente: elaboración propia
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
Factores que afectan a la CS corporativa
APT Normativa
Exigencia de profesionales y expertos…...
PIC ……
……. con conocimientos especializados en CS :
Dirección,
Gestión,
Técnicos y
Ejecución u operación.
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
Compromiso y conocimiento
14
G e s t o r e s R e s t o
p e r s o n a l
S u i t e C
C E O
D i r e c t o r e s
Consejo de
Administración
Asesorías y Staff
Fuente: elaboración propia
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
Aumento de incidentes …….
Incidentes gestionados por el CCN – CERT (número)
15
Fuente: CCN CERT
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
…. y de peligrosidad
Incidentes gestionados por el CCN – CERT (criticidad)
16
Fuente: CCN CERT
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
Problema actual
17
La ciberseguridad se ha desarrollado principalmente como reacción a las amenazas
Existe una enorme brecha de profesionales cualificados en diferentes ámbitos y materias
La ciberseguridad se ha considerado como responsabilidad de un determinado departamento de
profesionales especializados técnicamente
Las amenazas aumentan
Los profesionales no
Muchas amenazas; pocos profesionales
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
Problema actual
Demanda de
profesionales en
diferentes ámbitos
de la ciberseguridad
Número de expertos
aumenta linealmente
Diferencia
entre la
necesidad y la
disponibilidad
Tiempo
Nº
de profesionales
Fuente: elaboración propia
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
Cyberseguridad como profesión
19
Demanda creciente en todos los sectores; público, privado y
gobiernos (S&D)
5 últimos años; crecimiento 3,5 veces mas rápido que el de
profesionales de las TIC (tasa de desempleo negativa)
Estimación de crecimiento de demanda en 10% y de oferta en
5%
Nuevos perfiles profesionales de ciberseguridad
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
Cyberseguridad como profesión
20
Los nuevos perfiles implican obtener competencias directivas, de gestión y
operación….
….no solamente técnicas
Requieren una importante formación y experiencia
Mas del 80% de los nuevos puestos demandan poseer un grado o post
grado…….
Nuevos perfiles profesionales de ciberseguridad
Integración de estas nuevas disciplinas en
programas formativos de Universidades y
Centros académicos de formación.
Mas de 50 perfiles diferentes
… lo cual dificulta el poder cerrar la brecha entre demanda y oferta.
Es necesario buscar soluciones a medio plazo Fuente:
Burning Glass
Technologies
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez 21
Profesionales
C o n t i n u i da d d e l n e g o c i o
• Analista de continuidad del negocio
• Gestor de continuidad del negocio
• Planificador de continuidad del negocio
• Consultor de continuidad del negocio
Fuente: elaboración propia
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez 22
Profesionales
G e s t i ó n d e r i e s g o s
• CRO
• Analista de Riesgos
• Gestor de riesgos corporativos
• Gestor de riesgos de información
• Administrador de riesgos
• Consultor
Fuente: elaboración propia
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez 23
Profesionales
S e g u r i d a d d e l a i n f o r m a c i ó n
• CISO
• Director de seguridad de la información
• Consultor de seguridad de TI
• Analista de aseguramiento de la información
• Arquitecto de seguridad de la información
• Gestor de seguridad de Datos
• Administrador de sistemas de seguridad
• Ingeniero de seguridad de TI
Fuente: elaboración propia
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez 24
Profesionales
A u d i t o r í a
• Auditor de cumplimiento normativo
• Auditor de TI
• Auditor de seguridad
Fuente: elaboración propia
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez 25
Profesionales
D i r e c c i ó n y G e s t i ó n
• CEO
• COO
• CIO
• CISO
• Director de TI
• Gestor de gobierno y cumplimiento
Fuente: elaboración propia
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez 26
Profesionales
S e g u r i d a d t é c n i c a
• Arquitecto de seguridad de aplicaciones
• Analista de seguridad de red
• Ingeniero de seguridad de TI
• Ingeniero de ciberseguridad
• Especialista en Seguridad de Redes
• Ingeniero de ciberseguridad
• Gestor de protección de datos
Fuente: elaboración propia
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez 27
Profesionales
Á r e a s d i v e r s a s
• Consultor de ciberseguridad
• Gestor de respuesta a incidentes
• Analista de informática forense
• Analista en test de penetración
• Consultor de seguridad Cibernética
• Asesor de privacidad y protección de información
Fuente: elaboración propia
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez 28
Profesionales
A p l i c a c i o ne s y s e r v i c i o s
• Consultor Cloud
• Arquitecto Cloud
• Gestor de seguridad Cloud
• Gestor de infraestructura Cloud
• Consultor de Seguridad Cloud.
• …..
• ……
Fuente: elaboración propia
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
Reflexiones finales
Actualmente la cuestión no es saber SI alguna vez sufriremos un
incidente de ciberseguridad , sino CUANDO se producirá.
Pero la ciberseguridad no sólo es cuestión de tecnologías de última
generación …….
….. hay que utilizar las tecnologías no como un fin sino como un
medio para la seguridad y continuidad del negocio…
….. no sólo hay que disponer de ellas, hay que saber utilizarlas, por
el personal adecuado, lo cual implica…..
… integrar la ciberseguridad en la estrategia corporativa…..
…. asegurándose de que la organización cuenta con personal
totalmente comprometido con la ciberseguridad
29
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
Reflexiones finales
Problema real de las organizaciones:
□ Aumento de amenazas
□ Aumento de demanda de profesionales
□ Escasa disponibilidad de profesionales
La falta de talento en CS es una de las mayores vulnerabilidades de
que expone a las organizaciones a riesgos muy graves
Es fundamental un equipo humano preparado y convencido……
09 de Octubre de 2015 © 2015 Fernando Davara Rodríguez
Reflexiones finales
Es preciso formar en el conocimiento, análisis y aplicación de
conceptos, métodos y procedimientos…..
…. para el gobierno, dirección y gestión de la seguridad
cibernética en entornos corporativos, ….
……mediante una perspectiva de gestión, en contraste con el
enfoque técnico habitual, para ayudar a cubrir la carencia de
profesionales competentes en ciberseguridad corporativa.
Profesionales
Formación Concienciación Experiencia
https://cybercamp.es @CyberCampEs #CyberCamp15
!! Muchas gracias ¡¡
Fernando Davara
www.fernandodavara.com