5 habilidades clave para hacer de la ciberseguridad tu carrera profesional

Ya es una realidad que el despegue del sector de la ciberseguridad ha abierto un mundo de oportunidades profesionales y, tal y como revelan los datos del "2020 (ISC)² Cybersecurity Workforce Study*", la contratación en este mercado se ha incrementado un 25% desde 2019, abriendo oportunidades laborales a un total de 3.5 millones de profesionales en todo el mundo.

2020 (ISC)² Cybersecurity Workforce Study*

En cambio, todavía queda camino por recorrer en cuanto a la formación especializada o la identificación de habilidades en materia de ciberseguridad desde los distintos actores sociales, como es el caso de las empresas (a través de sus programas internos de desarrollo profesional) o de la educación (el propio planteamiento de los planes de carreras profesionales). Para ello, el año pasado, ENISA creó un grupo de expertos para definir un marco común europeo en cuanto a las habilidades propias de la ciberseguridad.

Si te interesa explorar nuestro mundo y abrirte a nuevas expectativas de futuro, el NIST (National Institute of Standards and Technology) en su Cybersecurity Framework, identifica 5 habilidades clave o categorías en torno a las cuáles enmarcamos las distintas actividades profesionales. Cada una de estas disciplinas te llevará por un itinerario muy diferente en cuanto a formación y experiencias:

• Identificar los riesgos antes de que éstos sucedan. Dentro de esta identificación se encuentra el detalle sobre los datos, el personal, los dispositivos, los sistemas y las instalaciones que permiten a la organización lograr los objetivos empresariales, de cara realizar una gestión acorde con la importancia relativa de dichos objetivos, junto con la estrategia de riesgos de la organización. En esta categoría, en función del nivel de responsabilidad, se desarrollan funciones desde la política de riesgos de una compañía (así como su nivel de tolerancia al riesgo) hasta su aplicación operativa a distintos niveles en una organización. Si eres una persona con habilidades para la planificación, con aptitudes previsoras, capacidad de analítica y de detalle, puede que encajes en esta labor con perfiles técnicos de asesoría jurídica en ciberseguridad, asesoría de riesgos o auditoría de seguridad y cumplimiento normativo.

• Proteger dispositivos y redes en todo momento. Vigilar y velar por la seguridad de la información, de las redes, de los dispositivos... son actividades propias de algunas ingenierías orientadas a las comunicaciones, sistemas o redes. No solo se trata del mantenimiento o instalación de soluciones técnicas, la protección pasa por controlar los distintos niveles de acceso a la información, la formación a equipos para evitar fugas de información, la protección de los datos, procesos y procedimientos (de una manera alineada con la estrategia de riesgos de la empresa), establecer políticas que velen por la integridad de dicha información, etc. Con un pensamiento estructurado, buena capacidad de organización e inventariado, puede que lo tuyo sea una arquitectura o ingeniería en ciberseguridad o tengas capacidad para labores de testing de penetración o de seguridad de las comunicaciones. Formar o instruir en ciberseguridad también es una trayectoria que explorar en torno a estas habilidades.

• Detectar amenazas implica la capacidad para dar el alto a ataques o fugas de seguridad antes de que produzcan un daño. Dentro de la detección no hablamos exclusivamente de "ataques" como los conocemos, sino de actividades anómalas que puedan impactar de alguna manera sobre la organización. Por lo cambiante de la actividad, también es una parte importante la de monitorizar y controlar de manera constante las medidas de seguridad implementadas para verificar el nivel de protección en todo momento y establecer, así como mantener, una serie de protocolos de detección. Si te ves en posiciones analistas, en torno a esta habilidad encontrarás tu carrera profesional como analista de seguridad de sistemas, analista de amenazas o advertencias, analista de vulnerabilidades o analista de ciberseguridad.

• Responder cuando el daño ya está hecho. Y por supuesto, la actuación comienza mucho antes, desde el establecimiento de un plan de respuesta ante incidentes, que contemple los distintos niveles de relevancia y riesgo, estableciendo unas directrices de actuación. Se trata además de una labor conjunta, que requiere comunicación con otros equipos como juristas, stakeholders o incluso áreas de Comunicación (por el riesgo reputacional que un incidente puede conllevar para una marca). También es relevante en este punto la parte analítica para conocer los detalles de lo ocurrido y poder establecer mejoras en la seguridad de cara a una protección futura. Es una habilidad muy desarrollada por los equipos policiales, que controlan e investigan en torno a la actividad delictiva. Por ello, dentro de las unidades de ciberdelitos, puedes encontrar interesantes desarrollos profesionales en torno a la investigación de ciberdelitos o como analista informático forense. En cambio, también tiene un amplio campo en la empresa. Además, la gestión de incidentes reportados por la ciudadanía o por empresas concretas, es una actividad profesional encuadrada en la respuesta frente a accidentes que atañe tanto a empresas como a servicios públicos de ciberseguridad.

• Recuperar la información, los equipos, los dispositivos después de haber sufrido un ataque o una vulnerabilidad, requiere una combinación de las aptitudes anteriores para calibrar el alcance del daño y encontrar la mejor manera para solucionarlo. De hecho, la hoja de ruta es muy similar: planificación de la recuperación, análisis y aprendizajes para que no se repita el incidente y para mejorar la protección y la comunicación con distintos agentes involucrados (empresas proveedoras, víctimas, otros CSIRT, etc.) Hacia esta visión transversal evolucionan los perfiles enunciados previamente hacia la consultoría de ciberseguridad, investigación en ciberseguridad o, en una mayor escala de gestión, la dirección o la gerencia en ciberseguridad o en proyectos de ciberseguridad.

Si ya ves claro el camino que te gustaría emprender, desde el BCSC te ofrecemos webinars y actividades específicas para que puedas crearte un plan de futuro en ciberseguridad. También te proponemos que visites la Plataforma de habilidades digitales y empleo que la Comisión Europea ha puesto en marcha. Según el momento de preparación en el que te encuentres y la ruta a la que quieras dirigirte, encontrarás documentación, formación, MOOCs e incluso oportunidades laborales relacionadas con el ámbito de la ciberseguridad.