Si bien es un tema en constante crecimiento en las empresas se considera unida la gestión de riesgos de tecnologías de la información y continuidad del negocio como una acción unilateral que mantendrá al negocio siempre en operación, en realidad al tomar al especialista de TI, sin un perfil bien definido, las empresas pretenden que sean todólogos, una especia ya extinta de Gurús, que hoy la especialización ha sobrepasado dichas tendencias; sin embargo, en el mercado hay más amenazas y menos expertos en seguridad, esto se debe en gran parte a que se solicita un gerente de TI y termina programando, no hace su tarea, porque es vista de otra, manera, un MBA, le agregan tareas de soporte técnico o infraestructura y a los de soporte técnico tienen que hacer de todo.
Pues bien, el nuevo panorama cibernético es: más amenazas, pero menos profesionales de la seguridad.
ISACA predice que para 2019 habrá una escasez de 2 millones de profesionales de ciberseguridad en todo el mundo, y en una encuesta publicada por ESG e ISSA en noviembre de 2017, el 70% de los encuestados afirmó que la escasez de habilidades de seguridad estaba afectando a su organización, preocupa que el estudio también destacó que- el personal experimentado estaba sobrecargado de eventos de Seguridad urgentes que les dejaban poco tiempo para concentrarse en la estrategia de Seguridad o la capacitación.
Es preocupante como una empresa mediana, que por supuesto tiene la escasez de habilidades de Seguridad de la información, supone un gran desafío para nosotros, para TI, que afrontamos con las herramientas y presupuestos asignados, en estos dos temas también hay escasez de recursos, hay otros que tienen mucha ventaja, ya que las marcas tecnológicas globales y los institutos financieros sacan gran parte del grupo de talentos del mercado y una consecuencia de esto es un mercado con candidatos que quizás aún no tengan las habilidades o experiencia requeridas.
Afortunadamente, la escasez de habilidades de Seguridad no ha pasado desapercibida para las agencias gubernamentales de todo el mundo.
Por ejemplo, el gobierno del Reino Unido declaró que planeaba invertir 2.5 mil millones en la mejora de las defensas de ciberseguridad del país, y parte de este financiamiento se destinó a la capacitación de nuevos profesionales de la Seguridad.
Además, en un intento por alentar a los jóvenes a seguir una carrera en seguridad, el gobierno lanzó el Programa de Escuelas Cibernéticas para enseñar a los jóvenes de 14-18 años los principios básicos de seguridad, programación, análisis forense, criptografía y más, a mi parecer debiera haber una iniciativa así en México, aún no es tarde.
Por su parte, el gobierno de EUA firmó la Orden Ejecutiva de Ciberseguridad, la cual, entre otras iniciativas, pide que el Director de Inteligencia Nacional presente un informe que identifique cómo el país mejorará las habilidades de la fuerza laboral de Seguridad, en tanto en México se meten disfrazados de dinosaurios a la cámara de senadores en México, así ni pensar en un plan de seguridad, da pena ajena.
El gobierno australiano también ha creado una estrategia de Ciberseguridad que gira en torno a la colaboración entre gobierno, empresas privadas, proveedores de educación y la comunidad de investigación para crear centros de excelencia en universidades con el fin de aumentar el número de profesionales de Seguridad calificados, exacto así debe de ser todos podemos crear las defensas antes los ciberdelicuentes, bueno en Australia.
La supuesta complejidad de la carrera ha provocado la disminución en el número de estudiantes de ciencias, tecnología, ingeniería y matemáticas y por supuesto, ha contribuido a la escasez de habilidades de Seguridad, esto no es el único factor que ha contribuido a la escasez de habilidades, también hay otros tres conductores.
Lo que no se puede controlar es que la tecnología ha evolucionado a una velocidad sin precedentes en los últimos 10 años, transformando casi todos los aspectos de los negocios, recuerdan, en el pasado, se tenía un centro de datos que ejecutaba sus aplicaciones comerciales, y la gran mayoría de los usuarios se sentaba en una oficina local y usaba una computadora de escritorio en el sitio para acceder a las aplicaciones (Dato Histórico que algunos nos tocó vivir).
En ese tiempo una estructura homogénea hacía toda la tarea o se veía relativamente fácil para una empresa protegerse construyendo un perímetro robusto y fijo, sin embargo, ahora, las aplicaciones y los datos viven en la Nube; los usuarios acceden a cargas de trabajo desde teléfonos inteligentes, tablets y computadoras portátiles desde cualquier lugar y en cualquier momento; y muchos de estos dispositivos no son administrados o controlados, ni siquiera son propiedad de la empresa, este cambio disruptivo ha creado nuevas vulnerabilidades de Seguridad y expone muchas nuevas superficies de ataque.
El panorama de amenazas se ha transformado significativamente, los cibercriminales también se preparan, se actualizan. Por ello, ahora las empresas enfrentan un tsunami de amenazas en constante evolución que se crean y ejecutan a escala industrial, cada vez más estas amenazas son más sofisticadas y específicas, y los ciberdelicuentes detrás de estos ataques son persistentes, pacientes y altamente incentivados.
Agreguemos a esto el hecho de que se ha desarrollado un ecosistema completo que permite a los actores malintencionados construir, implementar y monetizar el malware y el ransomware aún más, por ejemplo: el malware como Servicio (MaaS) y Ransomware como Servicio (RaaS) están disponibles, son baratos de comprar y descargar, y se anuncian abiertamente en sitios populares.
Se ha observado que los cambios en la tecnología y las prácticas comerciales, junto con la industrialización de las amenazas, han creado una infinidad de nuevos productos y servicios de Seguridad para que las empresas los implementen a fin de mejorar su postura de Seguridad.
“Si bien es positivo en general, esta afluencia también trae mucha complejidad”
En el viejo mundo de un fuerte, pero estático perímetro, una compañía probablemente tenía un Firewall y Seguridad EndPoint, hoy en día, una empresa puede emplear gateways Web seguro, agentes de Seguridad accesibles en la Nube, protección contra fugas de datos, detección y protección de intrusos, administración de dispositivos móviles, administración de identidades y más.
Esa es una cantidad intrincada de tecnologías para implementar, administrar y conectar, considerando que los productos por sí mismos se han vuelto más complejos; una pasarela Web segura y líder en el mercado ahora normalmente requiere una semana de capacitación intensiva para llegar a ser medio utilizada en las empresas.
Cuando se observa la agrupación de todos estos aspectos, está claro que las empresas modernas necesitan equipos de Seguridad más grandes con un conjunto de habilidades más amplio.
Las organizaciones están implementando Inteligencia Artificial para mejorar considerablemente las capacidades de la ciberseguridad, además del edge computing, que protege las aplicaciones perimetrales para una respuesta más rápida ante ataques.
Dentro de las empresas podemos formar talento que mantenga la plataforma de defensa de la empresa, verifiquen y analicen los datos y el tráfico de la red, así como que estén actualizados con herramientas y previniéndose lo más posible a las nuevas amenazas en el mundo.
Aparte de las aplicaciones, herramientas y experiencia del personal de TI, tenemos las metodologías que nos ayudan como soporte a tener un área de TI sana, como ITIL v4, Cobit 5, ISO27001, entre otras.
Pronto hablaremos de cómo se integra todo este engranaje, ya en algunos lugares está en operación, otros piensan que son inmunes allá ellos, por qué todo esto ya está aquí y hay que ser más asertivos en estos temas.
Saludos
Visitas: 3
