Revisin de las habilidades de ciberseguridad en

las empresas
El ciberespacio es un entorno virtual. Hoy en da, no importa qu dispositivo se utiliza para
conectarse a Internet. Millones de usuarios estn ah, en ese lugar virtual, realizando
actividades del da a da, tales como la comunicacin, compras, pago de facturas, la
bsqueda de informacin, lectura de noticias, hacer negocios, y el control o la gestin de
algo.
La ciberseguridad es la capacidad de proteger o defender el uso del ciberespacio de los
ataques cibernticos y se define como la proteccin de los activos de informacin,
abordando las amenazas a la informacin procesada, almacenada y transportada por los
sistemas de informacin interconectados.

Principales desafos para la ciberseguridad

Los principales desafos que enfrentan los gobiernos que tratan de mejorar su capacidad de
ciberseguridad y, al hacerlo, aseguran los recursos de informacin fiables y debidamente
protegidos son:
El aumento de la importancia de la coordinacin nacional de tecnologas de la informacin y
las comunicaciones (TIC)
La cooperacin entre los sectores pblico y privado
Cooperacin internacional
Respuesta a incidentes blindada
El control efectivo del crimen
Proteccin de infraestructuras crticas
El desarrollo de la democracia y las redes sociales ha ampliado el entorno virtual y lo ha
convertido en una plataforma de colaboracin eficaz para los municipios, los gobiernos y los
polticos, as como los criminales que no respetan las fronteras nacionales. Estos criminales
son llamados por diferentes nombres, en funcin de sus motivaciones y competencias,
incluidos los terroristas, piratas informticos y otros atacantes.
El impacto positivo de este mundo virtual en los procesos democrticos, impulsado por la
participacin activa de la poblacin, es indiscutible. Incluye posibilidades de educacin y el
intercambio de informacin a travs del ciberespacio. Sin embargo, el lado oscuro de la
misma no puede ser ignorado. Ladrones de datos son criminales profesionales que
deliberadamente tratan de robar los recursos y la informacin, y que utilizan la falta de
competencia de los usuarios y, a veces incluso, de los que deben proteger a los usuarios.
El informe del Reino Unido Habilidades en Seguridad Ciberntica: Perspectivas
empresariales y prximos pasos del Gobierno deja claro que el tener las habilidades y
capacidades para gestionar los riesgos cibernticos efectivamente puede reducir el costo
financiero de un negocio en la ciberdelincuencia, y tambin puede aumentar la confianza de
los consumidores, dotando a los negocios con una ventaja competitiva.
Dado que las empresas cada vez toman ms medidas para protegerse de los ataques
cibernticos, la demanda de productos y servicios de ciberseguridad seguir aumentando,
proporcionando oportunidades de crecimiento para las organizaciones que los suministran.

Una mano de obra altamente calificada permitir a los proveedores cibernticos obtener el
mximo beneficio de estas oportunidades.
Las amenazas cibernticas tienen el poder de elevar los costos y afectar los ingresos de las
empresas, hacindolas similar a cualquier otro riesgo financiero. Lo que las organizaciones
necesitan son herramientas prcticas para mitigar este riesgo. Larry Clinton, presidente de
la Internet Security Alliance (ISA), dijo: " Tenemos que conectar los puntos entre las
cuestiones operativas y las cuestiones estratgicas, que son en lo que las empresas se
concentran.

Personas y habilidades - Preparacin para la seguridad ciberntica

La ciberseguridad es una tendencia a largo plazo en la que el aseguramiento de
informacin, enfoque de riesgo por defecto, y la privacidad por diseo indican la evolucin
de la seguridad de la informacin y dar comprensin ms amplia del ciberespacio.
Habilidades de Seguridad Ciberntica son elementos clave de la preparacin de una
organizacin para hacer frente a los riesgos cibernticos.
As, en el campo de la ciberseguridad, la capacidad, el conocimiento y las habilidades son
esenciales para la supervivencia de las empresas en el mundo virtual y en la economa del
maana.
El estudio recientemente publicado, Estado de Seguridad Ciberntica: Implicaciones para
2015 por ISACA y RSA, revela que el 82 por ciento de las organizaciones esperan
experimentar un ataque ciberntico en 2015, sin embargo, ms de uno de cada tres (35 por
ciento) son incapaces de cubrir agujeros de ciberseguridad abiertos.
La falta de profesionales de la ciberseguridad es una vulnerabilidad en las tres lneas de
defensa.
El concepto de las tres lneas de defensa significa la colaboracin y la mejor comprensin
de la forma de gestionar el riesgo a un nivel aceptable. La primera lnea de defensa es
responsable de las actividades del da a da, vigilancia y proteccin de los activos de
informacin. La segunda lnea de defensa es responsable de gobernar esas tareas y
asegurar que los activos de informacin tienen vigilancia, informacin y seguimiento; y la
tercera lnea de defensa es responsable de garantizar el cumplimiento.
En este caso, las habilidades blandas para los gestores de riesgos, los auditores, dueos de
sistemas y procesos de informacin, incluidos los administradores de seguridad de la
informacin, son necesarias para resolver los problemas de manera ms creativa y
asegurar la confidencialidad, integridad, disponibilidad y responsabilidad de los activos de
informacin de una organizacin.
Ciberseguridad seguir planteando un grave riesgo, del cual la alta direccin tiene que ser
consciente, medir y supervisar de forma continua. Este proceso debe ser parte de la
estrategia de la compaa, y la alta direccin juega un papel estratgico en la
implementacin de la cultura de seguridad ciberntica.
La motivacin de los piratas va desde los individuos que prueban sus habilidades para
entrar en los sistemas de la Administracin Aeronutica y del Espacio Nacional de los EEUU
(NASA), a empresas criminales bien organizadas de hackers con fines de lucro
patrocinados por servicios inteligencia extranjera.
El comparativamente pequeo tamao de algunos gobiernos, por ejemplo, Letonia, a otros
Estados Miembros a los de la Unin Europea (UE), en combinacin con el pequeo tamao

de las empresas que operan en estos pequeos pases son dos de los principales retos
para el desarrollo y mantenimiento de los recursos de ciberseguridad cualificados para
combatir la ciberdelincuencia, que, de hecho, puede ser una bien organizada empresa
multinacional con estrategia, procesos y gestin de calidad, una infraestructura dinmica,
flujo de caja robusto y profesionales altamente cualificados.

Esta situacin se ve agravada por el mercado de trabajo en el que empresas de servicios de

seguridad lderes reclutan a los mejores especialistas en ciberseguridad, ofreciendo
paquetes de compensacin lucrativos, junto con un entrenamiento intensivo para el
desarrollo de habilidades. Los empleados de con aos de fiel empleo en pequeas
empresas, bancos regionales, universidades y gobiernos estatales reciben estas ofertas de
empleo que simplemente no pueden rechazar. El pnico se produce en muchas
organizaciones cuando pierden profesionales de seguridad que, ms o menos, dirigan los
procesos de deteccin y respuesta a incidentes informales de la organizacin.
Una mejor comprensin de los elementos del ecosistema ciberntico, sus relaciones y los
principales indicadores de rendimiento hace que sea posible planificar y desarrollar una
preparacin ciberseguridad efectiva, incluso dentro de los limitados recursos y capacidades
de las pequeas empresas.
Defensa ciberntica requiere soluciones a corto y largo plazo, para que los profesionales de
seguridad ciberntica obtengan suficientes conocimientos en diferentes dimensiones,
incluyendo:
Ciberseguridad para profesionales de la computacin (por ejemplo, ciencias de la
computacin, ingeniera de software)
Ciberseguridad para la sociedad (creadores de polticas y tomadores de decisiones)
Defensa ciberntica para las operaciones
Para reforzar la seguridad de los recursos de informacin, el comportamiento proactivo ya
no es suficiente para salvaguardar los recursos crticos en la organizacin. Las
organizaciones necesitan ir ms all; necesitan redisear los comportamientos, actitudes y
conocimientos de todas las partes interesadas, incluidos los que estn fuera de la
organizacin (por ejemplo, clientes, proveedores). Es obvio que todo tipo de usuarios de
Internet, independientemente de su edad, zona de negocios y la confianza, debe ampliar
sus conocimientos.
Esto lleva a la conclusin de que los principales impulsores hacia una ciberseguridad
razonable son los recursos humanos; cuyas capacidades pueden ser desarrolladas de la
siguiente manera:
Establecer nuevas profesiones
Desarrollar currculo de educacin
Redisear los programas de sensibilizacin de seguridad
Reingeniera de mentalidades
La mentalidad de los profesionales de seguridad ciberntica es un factor muy importante en
la prevencin, deteccin y mitigacin de las brechas de seguridad. El desarrollo de esta
forma de pensar debe ser parte de la contratacin y la formacin de profesionales de
seguridad ciberntica, recordando la similitud con las fuerzas opuestas en la que la
mentalidad del hacker es la principal ventaja para distinguir el buen y el no tan buen hacker.
Las principales competencias que gestores de ciberseguridad deben poseer son:
Planificar, organizar, dirigir, controlar y evaluar el funcionamiento de los sistemas de gestin
de la seguridad ciberntica, la formulacin de estrategias, polticas y planes, y la

arquitectura de seguridad, teniendo en cuenta los aspectos legales y ticos de la

ciberseguridad.
Planificar, organizar, controlar y evaluar continuamente los procedimientos de gestin de
riesgos.
Dirigir e involucrar al personal proporcionando una integracin holstica de gestin de
seguridad de la informacin y estableciendo la formacin de la conciencia de seguridad
Dirigir y controlar la gobernanza corporativa y los procedimientos de cumplimiento
normativo, manejo de incidentes, y la gestin.
Planificar, administrar y controlar los requisitos de seguridad para los proyectos, contratos,
equipos, servicios, capacidades de inventario y competencias para los profesionales
relacionados.
Aceptar la responsabilidad de los procesos asociados a la contingencia de negocios y
planificacin de recuperacin de desastres.
Preparar informes y resmenes de los comits de gestin que evalan el ecosistema de
ciberseguridad.
El Marco de Competencias para la Era de la Informacin (SFIA) es un marco de habilidades
lgico, bidimensional definido por reas de trabajo en uno de los ejes y niveles de
responsabilidad en el otro. Se ha demostrado que es un recurso eficaz que beneficia a las
empresas, facilitando todos los aspectos de la gestin de la capacidad en entornos
corporativos y educativos. Adems, la Iniciativa Nacional para la Seguridad Ciberntica
Educacin (NICE) proporciona una comprensin comn del lxico y del trabajo de
ciberseguridad, definida como las capacidades crticas para el desempeo en el trabajo con
xito a travs de roles cibernticos y los comportamientos que ejemplifican los niveles
progresivos de dominio asociados a estas competencias.

Las personas, no la tecnologa, son los elementos vitales para la

ciberseguridad
El estudio de Fuerza Laboral Mundial de Seguridad de la Informacin se llev a cabo en el
ao 2012 a travs de una encuesta en la web. El objetivo del estudio fue evaluar las
opiniones de los profesionales de la seguridad de la informacin con respecto a las
tendencias y las cuestiones que afectan a su profesin y carrera. Diseado para capturar
puntos de vista amplios y producir resultados estadsticamente significativos, se recogieron
un total de 12396 encuestas de profesionales de seguridad de la informacin calificados.
Con el personal de seguridad considerado como crtico en importancia, es igualmente
importante entender la gravedad de la necesidad, la capacidad de las organizaciones para
financiar la expansin del personal y su mejora, y los codiciados atributos de los
profesionales de seguridad de la informacin. Al examinar los codiciados atributos de los
profesionales de seguridad de la informacin, no slo las habilidades son importantes. La
confirmacin de las habilidades y la participacin de los profesionales en grupos de pares
son tambin esenciales.
Los encuestados del estudio clasifican los factores de xito de los profesionales en orden de
importancia, como se muestra en la figura 1.
A travs de toda la encuesta, la amplia comprensin del campo de la seguridad estaba en la
cima en trminos de importancia, seguido de las habilidades de comunicacin;
conocimientos tcnicos, la conciencia y la comprensin de las ltimas amenazas de
seguridad completan los cuatro primeros. Mientras que la habilidad y la construccin del

conocimiento nunca deben detener a los profesionales de la seguridad de la informacin

(ciertamente, tampoco a los atacantes, hackers y otros actores de amenazas cibernticas),
tambin deben traducir su experiencia en la gestin de riesgos en el liderazgo en toda la
organizacin.
Factores de xito de los profesionales de la
seguridad de la informacin

Importancia

Amplia comprensin del campo de la 92%

seguridad
Habilidades de comunicacin

91%

Conocimientos tcnicos

88%

Conciencia y comprensin de las ltimas 86%

amenazas de seguridad
Formulacin y aplicacin de polticas de
seguridad

75%

Habilidades de liderazgo

68%

Habilidades de gestin de negocios

57%

Habilidades de gestin de proyectos

55%

Conocimiento legal

42%

Conclusin
Al tomar en cuenta los marcos mencionados anteriormente y la demanda en el mercado de
los nuevos profesionales de la ciberseguridad, se puede concluir que el buen conocimiento
tcnico de la seguridad ciberntica por s sola no es suficiente para establecer una
seguridad ciberntica y una comprensin ms amplia de los principios de negocio y de
gestin humana eficaces. Las habilidades estratgicas son igualmente importantes, sobre
todo en las organizaciones ms pequeas que no pueden permitirse la restringida
especializacin de sus recursos.