El catedrático de la UPC Manel Medina, el doctor en Informática y experto en seguridad informática René Serral y la CEO de Outlier Consulting Meritxell Pineda son los directores académicos del máster en Cybersecurity Management de la UPC School, un programa que ha formado a lo largo de sus 15 ediciones a más de 240 expertos en ciberseguridad. En esta entrevista nos exponen tendencias en el sector y la necesidad de que empresas y organizaciones extremen la protección de sus sistemas informáticos en un contexto de digitalización creciente.
- ¿Qué tendencias en ciberseguridad habéis detectado recientemente? ¿Han aumentado los ataques informáticos?
[RS] ¡Sí! Como podemos observar en las noticias, cada día tenemos más ciberataques, y cada vez tienen más impacto social. La última ola de Ransomware empezó con petroleras en Estados Unidos, continuó con empresas medianas y grandes por Europa, pero rápidamente llegó cerca de nosotros con ataques a la Universidad de Castilla la Mancha, primero, y posteriormente, como todos sabemos, a la Autónoma de Barcelona. Lo preocupante es que los cibercriminales no tienen suficiente con eso y ahora, como todos hemos visto también, tienen por objetivo hospitales y otras infraestructuras críticas, donde en el peor de los casos se puede atentar contra la vida de las personas. En los últimos tiempos, en Cataluña, hemos tenido casos de alto impacto: la cervecera Damm se vio obligada a detener la producción por un ataque informático, y la Universidad Autónoma de Barcelona (UAB) sufrió un ciberataque que afectó a 650.000 archivos y carpetas y que obligó a detener todos los sistemas durante algunas semanas.
[MP] Además, debemos tener presente que no solo se han incrementado los ataques, sino también los daños a las empresas y a las personas. Cada vez existen más datos personales comprometidos. Otro elemento importante es que los ataques son cada vez más sofisticados, incluso para atacantes de bajo nivel.
[MM] Este incremento y sofisticación de los ataques se debe a la proliferación del cibercrimen como servicio, lo que permite a criminales y estafadores sin conocimientos técnicos alquilar una infraestructura de ciberataque para atacar a organizaciones que conocen bien, y que, por tanto, saben la información que pueden robarles, el importe de rescate que pueden pedir y el momento más adecuado para iniciar una estafa o suplantación.
- ¿Están suficientemente concienciadas las empresas y organizaciones de los riesgos que supone un ciberataque?
[RS] Lo cierto es que cada vez lo están más, ya que lo que parecía un juego de cuatro personas con poco trabajo, se ha convertido en un negocio muy lucrativo para los cibercriminales, como ejemplo Conti, un grupo cibercriminal ruso que llegaba a «facturar» hasta 100 millones de euros al año a través de extorsiones y robos de información.
[MP] Existe una dicotomía, ya que, por un lado, hay más concienciación porque los ciberataques son noticia cada día y, por otro, las personas a título individual no tienen integrada una buena cultura de ciberseguridad y todavía tienen comportamientos arriesgados.
[MM] Esta creciente concienciación está facilitada por las campañas realizadas cada mes de octubre por ENISA (Agencia de Ciberseguridad de la UE), INCIBE (Instituto Nacional de Ciberseguridad) y la Agencia de Ciberseguridad de Cataluña con la campaña NegoCibersegur.
- ¿Cómo prevenir mejor este tipo de incidentes? ¿Cómo invertir más y mejor en ese sentido?
[MM] Aparte de la concienciación y formación mencionadas, la primera recomendación es realizar un análisis de riesgos de la empresa, identificando los activos más importantes para apoyar los procesos de negocio, identificando los patrones de ataque más previsibles y poniendo las medidas de protección y recuperación más efectivas y proporcionadas al valor del negocio que se desea proteger.
[RS] Lo primero que debemos tener en cuenta es que un sistema es tan seguro como su parte más insegura, y en muchas ocasiones acaba siendo el usuario humano. Muchas empresas están invirtiendo ya recursos en la concienciación del personal, así como en la utilización de buenas prácticas digitales en nuestro día a día.
[MP] De la misma manera que no dejaríamos las llaves de la puerta de casa puestas, debemos incorporar esta actitud en nuestra vida digital, incorporando hábitos como no compartir contraseñas; utilizar la autenticación en dos factores; disponer de copias de seguridad y los datos encriptados, entre otras medidas. Por ejemplo, ahora existe una campaña que, bajo el lema “Fengshui Digital”, incide en estos aspectos.
- Las tendencias laborales en el sector TIC sitúan al experto en seguridad informática como una de las profesiones más atractivas. ¿Hasta qué punto es una apuesta de futuro en términos de proyección y retribución salarial?
[RS] Claramente, este hecho refleja esta nueva realidad social, en la que los recursos digitales han pasado a ser uno de los bienes más preciados tanto para los particulares como para las empresas. Esto implica directamente una demanda cada vez mayor de este tipo de profesionales. Entonces, todo apunta a que, a medida que más y más empresas empiecen a preocuparse por la seguridad, y más y más usuarios vean la red como un recurso indispensable, esto acabará implicando aún más demanda de estos perfiles, tanto en modalidad de consultoría, como profesionales en ciberseguridad contratados por las empresas para garantizar la seguridad de sus sistemas informáticos.
[MM] Esta carencia de profesionales de ciberseguridad se está intentando corregir con incentivos a la formación, impulsados por INCIBE, la Agencia de Ciberseguridad de Cataluña o la Digital Catalan Alliance. Sin embargo, sigue siendo muy difícil encontrar a profesionales para cubrir vacantes, y los sueldos están creciendo por encima del IPC y de otras especialidades del sector TIC. Con la pandemia y la normalización del teletrabajo, esta tendencia se ha agravado, puesto que ahora los profesionales catalanes pueden trabajar para empresas de otros países de la UE o de EE. UU., con sueldos que fácilmente doblan los que podrían cobrar en Cataluña o España.
- El máster en Cybersecurity Management de la UPC fue un programa pionero en Cataluña en su especialidad que se ha ido consolidando año tras año a lo largo de 15 ediciones. ¿Qué valoración hacéis de esta trayectoria?
[MM] Desde el principio apostamos por planificar una formación muy práctica, impartida por profesionales que podían explicar sus experiencias y las herramientas que emplean cada día para resolver problemas reales. A lo largo de estos años hemos podido constatar que esta práctica ha permitido a nuestros alumnos crecer profesionalmente de forma rápida y efectiva, asumiendo más responsabilidades y retos en su empresa o en otras entidades, ya que siempre pueden elegir. El hecho de que las asignaturas del máster cubran todo el ciclo de la ciberseguridad facilita la progresión de los graduados, sea cual sea su punto de partida profesional, optando a posiciones más técnicas y especializadas, o puestos de gestión, más cercanos a puestos directivos.
[RS] La gran mayoría de las 15 ediciones del máster se han impartido en dos ediciones en paralelo al año, esto visibiliza dos cosas en particular: la importancia de un máster de estas características y, sobre todo, la gran calidad del máster que se imparte en la UPC School. En este sentido, estamos orgullosos de haber podido mantener el nivel, incluso con una pandemia y con la aparición de otras propuestas en otros centros.
[MP] Cuando llevas 15 ediciones, y con muy buena salud, implica que existe un trabajo interno de mejora continua de la institución, que nos dota de las mejores infraestructuras; de la dirección académica, manteniendo al día los contenidos y ajustando las asignaturas para que traten los temas más actuales, y, por último, pero esencial, de la implicación de profesores muy buenos a la vanguardia de la ciberseguridad.
- ¿Cómo se ha adaptado el programa docente a las nuevas tendencias y amenazas que surgen en seguridad informática?
[RS] La ciberseguridad es un entorno en constante evolución y cambios diarios, hay que pensar que cada día se descubren nuevas formas de aplicaciones maliciosas, y cada día se encuentran nuevos errores en las aplicaciones y sistemas que utilizamos. Por eso es imprescindible evolucionar tanto las materias que se imparten como también el enfoque que se da de los diferentes aspectos, tanto técnicos como de gestión de los sistemas.
[MP] Siempre hemos estado al día de las tendencias y procuramos estar en contacto con todos los agentes del ecosistema de la ciberseguridad, desde las Administraciones, las empresas, las asociaciones hasta los profesionales.
[MM] Durante estos cerca de 8 años, hemos ido incorporando o adaptando contenidos como SCADA, dispositivos móviles, SSDL, blockchain, diseño e implantación de sistemas, cumplimiento normativo o gestión de cibercrisis. Siempre siguiendo los perfiles profesionales demandados por el mercado y los nuevos patrones de ataque.
- ¿Por qué un profesional que se esté planteando formarse en ciberseguridad debería apostar por este máster de la UPC?
[RS] El máster que hacemos aquí en la UPC School tiene el equilibrio perfecto entre la parte académica, necesaria para tener unos fundamentos imprescindibles, y la parte industrial, donde expertos que trabajan en el ámbito de la ciberseguridad pueden explicar en clase su día a día, que se refleja directamente en el programa académico de las distintas asignaturas. Es necesario pensar que todos los profesores del máster, exceptuando parte de la dirección académica, son profesionales del sector, y la mayoría han sido profesores desde el principio del máster.
[MP] Además, debemos tener en cuenta que el componente práctico es muy importante y se trabaja mucho en este máster. Damos las bases para que el profesional pueda desarrollarse en su trabajo, sabiendo que tiene las herramientas y los conocimientos que le permitirán ejecutar sus tareas ahora y, lo que es más relevante, cualquier reto que le vendrá. Este aspecto en ciberseguridad es clave porque, como ya se ha dicho, es un sector en constante evolución.
- ¿Qué características considera que debe tener hoy en día un buen profesional de la seguridad informática?
[RS] La ciberseguridad es una disciplina transversal, por eso se hace muy difícil poder poner un perfil único. En la parte técnica, se espera un/a profesional con muchos conocimientos sobre software, hardware, servicios, sistemas operativos y redes, con capacidad para entender el funcionamiento de los sistemas y así poder mejorarlos, mientras que de los perfiles más de gestión o dirección, se espera tener profesionales que sean muy disciplinados en sus tareas, por ejemplo a la hora de realizar un análisis de riesgos, o bien a la hora de determinar los requisitos de un sistema basándose en la legislación vigente. Cabe remarcar que independientemente de si son técnicos o no, se espera en todos los casos que sean capaces de pensar más allá de lo que hay a la vista, como el atacante potencial, para saber de qué deben defenderse, o cómo han podido tener éxito en un ataque.
[MP] Como complemento a lo que explica René, destacar que recientemente ENISA ha divulgado un documento con los 12 perfiles profesionales de la ciberseguridad, en el marco de las habilidades en ciberseguridad. Los perfiles son muy diversos porque van desde el CISO (Chief Information Security Officer), el responsable del cumplimiento legal, los analistas de inteligencia de ciberamenazas, los gestores de ciberriesgo o los responsables de la respuesta frente a un ciberincidente. Sin olvidar ocupaciones más clásicas, pero que también se necesitan como investigadores, profesores o peritos forenses. Lo que sí queda claro es que se necesitan profesionales de muchos campos distintos, que tengan ganas de aprender y muy dinámicos. Sin olvidar que algunas posiciones requieren habilidades específicas, como por ejemplo, todos los que gestionan ciberataques deben tener capacidad de trabajar bajo presión.
[MM] De hecho, una de las estrategias para conseguir formar más profesionales de ciberseguridad es el re-skilling, es decir, atrayendo a aprender sobre ciberseguridad a profesionales de otros sectores: abogados, industriales, telecomunicaciones, seguridad física, inteligencia, etc.