Guía completa sobre la formación en ciberseguridad

Publicado el 25 septiembre 2018 por Javier Díaz Sánchez @javierdisan

La ciberseguridad es una de las áreas de trabajo más interesantes para los próximos años. A poco que reflexionemos sobre los riesgos de un ciberataque, nos daremos cuenta de que las implicaciones en el ámbito público y privado podrían llegar a ser devastadoras. La razón es bien sencilla: el entorno digital se ha convertido en el escenario principal en el que ocurren casi todas las cosas que hacemos.

Ciberataques, un riesgo más que probable

En un mundo profundamente interconectado, el impacto de un ciberataque se puede propagar a través de los sistemas hasta un punto en el que resulta imposible pronosticar las consecuencias finales.

Los expertos en ciberseguridad saben perfectamente que una nueva crisis cibernética está por llegar, lo que se desconoce es cuando. Por desgracia, las capacidades cibernéticas ofensivas se desarrollan con mayor rapidez que nuestra capacidad de hacer frente a estos ciberincidentes. El riesgo es tan elevado que incluso el Foro Económico Mundial en su informe de este año señala los ciberataques como uno de los peligros que mayor impacto tendrán en el mundo en los próximos 10 años.

Como se cita en el propio resumen ejecutivo del informe, "están creciendo los riesgos en cuanto a ciberseguridad, tanto en términos de su prevalencia como de su potencial disruptivo. Los ataques en contra de empresas casi se han duplicado en cinco años y los incidentes que antes se consideraban algo fuera de lo común se están volviendo más y más habituales. El impacto financiero de toda violación contra la ciberseguridad va en aumento, y dan cuenta de algunos de los costos más elevados en 2017 en relación a ataques con ransomware, que representaron el 64% de todos los e-mails maliciosos. Entre los ejemplos más notables se incluye el ataque WannaCry que afectó a 300.000 computadoras en 150 países, y el NotPetya, que causó pérdidas trimestrales de U$S 300 millones a varias empresas afectadas. Otra de las tendencias crecientes consiste en el uso de ciberataques que apuntan a infraestructura esencial y sectores industriales estratégicos, lo cual hace temer que en el peor de los casos posibles los atacantes podrían provocar el colapso de sistemas que mantienen a sociedades enteras en funcionamiento."

Ámbitos de la ciberseguridad

En el ámbito particular, el ciudadano medio ha normalizado el uso de la Red para cosas como obtener una cita para el médico, gestionar y consultar cuentas bancarias, hacer compras online, buscar información o noticias de actualidad, relacionarse con otras personas a través de las redes sociales, etc. El abanico de actos cotidianos vinculados a lo digital es interminable y lo será aún más aún con el rápido crecimiento de la Internet de las cosas (IoT). De hecho, según este artículo de Gardner se espera que la Internet de las cosas se amplíe de 8.400 millones de dispositivos en el 2017 a un estimado de 20 400 millones en el 2020. En definitiva, los delincuentes cibernéticos tienen un número exponencialmente creciente de objetivos potenciales, ya que el uso de servicios en la nube continúa acelerándose.

Por su parte, en el ámbito empresarial no cabe duda de que Internet es la herramienta de trabajo por excelencia para la gran mayoría de las empresas, ya sea porque sus empleados son trabajadores del conocimiento (y ese conocimiento está vinculado a la Red) o bien porque muchas de sus operaciones industriales se realizan mediante herramientas conectadas a la Red.

En cuanto al ámbito de lo público, la segurización de las infraestructuras y de los datos que gestionan es una prioridad porque de ello depende nuestra confianza en el propio sistema. De hecho, a través de sus diferentes niveles de actuación (local, autonómico o nacional), la administración es responsable de cosas tan dispares como controlar el padrón municipal o la supervisión de infraestructuras críticas. Afortunadamente, tanto a nivel estatal como autonómico existen diversos organismos que velan por la ciberseguridad como puedes ver en la siguiente gráfica:

Conocimientos necesarios para un profesional de la ciberseguridad

En España, el servicio público de Empleo Estatal elaboró el perfil formativo de un especialista en ciberseguridad, a partir de la oferta laboral existente. Los contenidos fundamentales que debe reunir son los siguientes:

  • Diferentes entornos tecnológicos (SCADA, mobility, servidores, Smart Grid) y otras arquitecturas tecnológicas de propósito general.
  • Análisis forense: sistemas de archivos, adquisición de evidencias, timeline, análisis de memoria, file carving, reconstrucción de ficheros, criptografía, etc.
  • Análisis de malware: ASM x86/x64, determinación de funciones, métodos de infección y persistencia, desinfección del malware, ingeniería inversa/reversing, criptografía. Todo ello enfocado a diferentes tipos de formatos: PE, PDF, SWF, MS Office, APK, etc.
  • Análisis y evaluación de vulnerabilidades técnicas para el descubrimiento y explotación de vulnerabilidades tanto en servidores como en puestos: test de intrusión, análisis forense, etc.
  • Gestión de incidentes (Incident handling): sistemas operativos, networking, IDS, IPS, FW, análisis de logs, análisis del tráfico de red.

Oferta formativa en ciberseguridad

Los especialistas en ciberseguridad se encuentran entre los profesionales más solicitados del sector tecnológico pero lo cierto es que, en la actualidad, la oferta formativa es limitada y en algunos casos de dudosa calidad. En España, en la formación reglada, por ejemplo, dentro del grado de informática así como en los ciclos medios y superiores, las asignaturas relacionadas con esta materia brillan por su ausencia por lo que empresas y universidades está cubriendo esta carencia a través de programas formativos de postgrado.

En cuanto al rango de precios, la horquilla va desde los 2500€ hasta los 10.000 € aproximadamente. Por su parte, en lo que se refiere a las modalidades de formación, analizando la oferta existente en España nos encontraremos lo siguiente:

Para conocer la oferta completa de másteres en España te recomiendo consultar el informe de febrero de 2018 elaborado por INCIBE (Instituto Nacional de Ciberseguridad), en el que encontrarás provincia, modalidad, centro formativo y enlace al programa de contenidos.

Cursos de ciberseguridad: criterios para elegirlos

Entre tanta oferta formativa de calidad dispar, la decisión acerca de cual elegir se puede convertir en una experiencia desagradable y estresante. Para ayudarte en este proceso te sugiero una serie de preguntas que despejarán algunas de tus dudas:

    ¿Por qué y para qué necesitas un curso de ciberseguridad?
    Obviamente, el sector de la ciberseguridad representa un interesante nicho de empleo para los próximos años. Ahora bien, antes de especializarte en esta temática deberías indagar acerca de cómo es el trabajo diario que realizan los profesionales de la ciberseguridad ya que dista mucho de lo que aparece en las películas (nada de sudaderas con capucha). Tener unas expectativas realistas te ayudará a tomar la mejor decisión acerca de tu futuro profesional. Si te matriculas en cursos de ciberseguridad simplemente porque está de moda o porque suena "cool", tu motivación se perderá como el gas de una lata de refrescos cuando la abres. Ten en cuenta que para ser bueno en cualquier profesión necesitarás pasión y grandes dosis de esfuerzo sostenido en el tiempo.
  • ¿Qué me aporta un curso de ciberseguridad que no pueda encontrar libremente por la Red?
    Soy de los que piensa que el aprendizaje de temas complejos requieren de la combinación de diferentes estrategias (formación de catálogo, a medida, autoformación, práctica diaria, etc.). En el caso particular de la ciberseguridad, el conocimiento se genera cada día, cada minuto, cada segundo y además, en muchos casos, fluye libremente por la Red. Ahora bien, fruto de la enorme dispersión que encontramos en Internet, la autopista de la información puede transformarse en un camino de cabras.
    Quizá un curso pueda ser la brújula que necesitas para tu formación, al menos inicialmente, pero a partir de estos primeros pasos guiados, la búsqueda autodidacta será tu principal herramienta competitiva en un sector en constante transformación.
  • ¿Pagas por acceder a buenos contenidos o simplemente por obtener un título que te abra puertas profesionalmente?
    Si eres de los que piensa que un simple título o diploma será tu salvoconducto en el mercado de trabajo, alguien te ha contado una milonga. Si tu competencia profesional no evidencia los conocimientos que se te presuponen por los títulos que aparecen en tu CV, vas a durar poco en tu puesto de trabajo, especialmente en el área de seguridad TIC. Por otro lado, debes saber que algunos profesionales se han construido una reputación en el ámbito de la ciberseguridad sin haber pasado por el tamiz de la formación reglada. Ahora bien, debes tener presente que una práctica bastante extendida en el área de la seguridad TIC son las certificaciones profesionales. Para ello, te recomiendo que leas el apartado que he dedicado a las certificaciones.
  • ¿Puedes contactar con alumnos que hayan realizado ese curso con anterioridad?
    Aunque "nadie escarmienta en cabeza ajena", al menos podrías escuchar lo que otros tengan que decir. Si lees las opiniones de otros usuarios cuando vas a hacer un viaje, ¿por qué no analizas con el mismo detenimiento algo en lo que te estás jugando tu empleabilidad?
  • ¿Qué modalidad te interesa más para realizar un curso de ciberseguridad?
    Formación presencial, e-learning o mixta pueden ser igual de eficaces. Todo dependerá de cómo te guste trabajar y de la experiencia que tenga la empresa en dicha modalidad. Una empresa que sea un referente en la formación en ciberseguridad a través de cursos online, no tiene porqué ofrecerte la misma calidad docente en modalidad presencial y viceversa. Piensa que son medios distintos que requieren metodologías y dinámicas de trabajo diferentes.
  • ¿Cuál es la reputación de los profesores del curso en el sector de la ciberseguridad?
    Habitualmente, dependiendo de la entidad organizadora, encontrarás dos perfiles de formador, por un lado, el docente que no ha salido del aula, y por otro, el formador que cumplimenta su actividad profesional con algunas horas de docencia. En el ámbito de la seguridad TIC, dependiendo de los contenidos que desees aprender, deberás valorar más un perfil u otro.
  • ¿Tiene sentido el itinerario formativo? ¿Encaja con tu nivel previo de conocimientos sobre la seguridad TIC?
    Reflexiona sobre los contenidos del curso. Si estás en un nivel inicial, realizar un curso que se centra únicamente en el manejo de herramientas no te aportará gran cosa. Ten en cuenta que las barreras de entrada para adquirir un dominio, al menos básico, de las herramientas tecnológicas han bajado considerablemente. No tienes más que hacer una búsqueda en la Red y encontrarás documentación y tutoriales para casi todo. Un aspecto esencial para trabajar en ciberseguridad consiste en aprender cómo piensa un ciberdelincuente, qué técnicas de ingeniería social utilizan, etc. En definitiva, se necesitan personas que hagan las preguntas adecuadas y que ayuden a resolver problemas complejos aplicandoreglas heurísticas como en el caso del Apollo XIII.
  • ¿Cuál es el sistema de evaluación del curso?
    Analiza los criterios de evaluación y los métodos utilizados. Si solo te piden superar una serie de exámenes tipo test, mal empezamos. Si algo funciona en formación es aprender haciendo. En este sentido creo que deberías valorar un modelo de aprendizaje basado en proyectos, la posibilidad de realizar prácticas en empresas ...

En definitiva, piensa en tu formación desde un enfoque integral, no apelando únicamente a lo que un curso te pueda aportar. Ten en cuenta que el ecosistema digital puede ofrecerte tanto como estés dispuesto a asimilar, solo hace falta que tengas ganas de aprender.

Certificaciones, el siguiente nivel de la formación en ciberseguridad

Con independencia de la titulación que uno posea, por lo que has leído hasta ahora ya habrás podido deducir que la autoformación es esencial para cualquier profesional de la seguridad TIC. En cualquier caso, es posible de llegue el momento en el que debas pasar al siguiente nivel, las certificaciones.

Una certificación es un proceso de acreditación de tus conocimientos a través de entidades independientes. En el sector de la ciberseguridad existen diversos organismos competentes que emiten diversas certificaciones. Dichas certificaciones pueden dividirse en:

  • Certificaciones con nivel de iniciación: sirven para validar el dominio de los principios fundamentales, mejores prácticas, herramientas importantes, últimas tecnologías, etc.
  • Certificaciones con nivel intermedio y experto: dirigidas a personas con amplia experiencia profesional y sólidos conocimientos en seguridad TIC.

Si te enfrentas a un proceso de certificación, debes saber lo siguiente:

  • Obtener una certificación de nivel de iniciación puede llevar de tres a nueve meses y los derechos de examen suelen costar entre 300€ y 600€. En el caso de las certificaciones de nivel superior, los costes del derecho a examen pueden alcanzar los 2.000€ aproximadamente.
  • Las certificaciones deben renovarse periódicamente.
  • El manejo del inglés es un requisito imprescindible.
  • Las empresas del sector tecnológico suelen incentivar salarialmente a los profesionales con este tipo de certificaciones.

Certificaciones más demandadas en el ámbito de la ciberseguridad

Según un informe de Burningglass Technologies, de entre todas las certificaciones disponibles, destacan las siguientes:

  • CISSP (Certified Information Systems Security Professional): certificación de nivel avanzado centrada en la política y la gestión de la seguridad. Se trata de la certificación más mencionada en el sector. Aquí puedes ver los contenidos de esta certificación y una hoja de ruta bastante completa.
  • CISA (Certified Information Systems Auditor): certificación diseñada para profesionales que auditoría, control, supervisión y evaluación de la tecnología de la información y los sistemas de negocio. Aquí puedes ver los contenidos de esta certificación.
  • CISM (Certified Information Security Manager): certificación dirigida a personas que ocupan puestos de dirección (por ejemplo, director de seguridad informática). Aquí puedes ver los contenidos de esta certificación.
  • CompTIA Security+: se trata de una certificación global que valida las habilidades necesarias para realizar funciones básicas de seguridad digital. Se centra en las últimas tendencias y técnicas de gestión de riesgos, mitigación de riesgos, gestión de amenazas y detección de intrusos. Aquí puedes ver los contenidos de la certificación.
  • GSEC (GIAC Security Essentials): está diseñada para candidatos que desean demostrar habilidades en roles de sistemas de TI y tareas de seguridad de la información. Aquí puedes ver los contenidos de la certificación.

Retos y desafíos para la Administración

En la era digital, ninguno de los ámbitos que aludía al principio del post (ciudadanía, empresas y Administración) debería ignorar las implicaciones que conlleva operar en la Red. En este sentido, creo que la Administración tiene el mayor grado de responsabilidad como motor de tracción y cambio social adoptando políticas activas para combatir y prevenir los ciberdelitos. En mi humilde opinión, los principales desafíos a los que se enfrenta la Administración son los siguientes:

  1. Encontrar formas de impulsar a la industria, las infraestructuras críticas y al propio tejido empresarial hacia mejores prácticas de seguridad aprovechando sus poderes operativos y normativos.
  2. Capacitar a los trabajadores públicos en el ámbito de la seguridad TIC a través de un plan de formación que abarque las distintas realidades profesionales y necesidades formativas.
  3. Fomentar la sensibilización de la ciudadanía teniendo en cuenta de que la primera brecha de seguridad somos los propios usuarios.

Precisamente para analizar estos y otros desafíos, dentro de la iniciativa SEDIAN (Seguridad Digital de Andalucía) se ha impulsado el encuentro Sedian Day, Cybersecurity Conferences en el que se reunirán representantes de las distintas administraciones así como profesionales del ámbito empresarial.

La gestión del riesgo en la ciberseguridad

Nos enfrentamos a un riesgo que pende sobre nuestras cabezas pero al que una parte importante de la población le parece muy lejano. No deja de ser algo paradójico si tenemos en cuenta que los titulares de prensa recogen noticias inquietantes sobre ciberdelitos cada vez con mayor frecuencia.

La explicación la encontramos en nuestra particular forma de evaluar y gestionar el riesgo, es decir, solo cuando consideramos que un riesgo en particular supera nuestros límites de tolerancia, reaccionamos para reducirlo. Y reconozcamos lo evidente, los seres humanos somos bastante torpes en este proceso de evaluación del riesgo porque incurrimos en numerosos sesgos. Uno de los más llamativos es el denominado sesgo de disponibilidad, que nos lleva focalizar nuestra atención en información reciente e impactante. Solo cuando vemos el impacto de un ciberdelito en alguien cercano o cuando los medios de comunicación de masas se hacen eco de alguna noticia, es cuando nos paramos a analizar en cómo nos podría afectar a nosotros y qué estamos haciendo para evitarlo. El problema es que este sesgo nos afecta a todos, incluidos los políticos. Precisamente por este motivo me atrevería a decir que incidentes graves y masivos como la crisis del wannacry sirvieron para que desde el ámbito político y empresarial, muchos tomadores de decisiones pasasen a la acción.

En resumidas cuentas, la ciberseguridad como ámbito de trabajo irá cobrando en enorme protagonismo en los próximos años porque de ello depende nuestro propio sistema social y económico a escala global. Por tanto, las posibilidades de crecimiento y desarrollo profesional son inmensas como también lo son los retos a los que nos enfrentamos.

Para terminar el post me gustaría dejarte con un par de apuntes. En primer lugar, este recopilatorio de materiales de ciberconvivencia, y por otro, este divertido video acerca de los riesgos que corremos con los datos que vamos dejando alegremente por la Red 😀

Psicólogo / Humanista digital. Ayudo a empresas y organizaciones en sus procesos de cambio y transformación.