Daniela Melo.
¿Cómo observa la evolución en la demanda de profesionales con conocimiento en ciberseguridad?
Se percibe un aumento en la demanda que representa un 30% aproximadamente en comparación con el año pasado. La evolución en las compañías ha sido muy significativa desde mediados de 2017, ya sea impulsada por las casas matrices y/o los niveles de madurez de la seguridad con respecto a sus iniciativas de digitalización e innovación.
A esto hay que agregar el aumento en ataques o ciberataques a las distintas industrias, estando la banca en la delantera, con un incremento de un 40% en ataques y amenazas v/s el año anterior, que han generado pérdidas millonarias para la empresa afectada y un sentimiento de inseguridad y desconfianza para clientes y usuarios.
Las nuevas formas cambiantes de ataques exigen a los profesionales de la seguridad buscar las formas de disminuir las consecuencias y efectos. Ya no se trata solo de herramientas TI, sino de un plan que va desde la estrategia del negocio donde, desde el inicio, se piensa en una forma segura y que se ve acompañada con tecnologías creadas para apoyar la proyección del negocio.
¿Cuál es la situación de Chile en este sentido comparada con la Región?
Hasta hace 2 o 3 años el concepto de ciberseguridad no estaba tan sólidamente instaurado en la industria nacional como hoy; entonces la demanda era por profesionales de seguridad y/o seguridad TI. Sin embargo, no era así cuando se analizaba el mercado en Brasil, Colombia y México, que son países con mayor avance en materia regulatoria y organización en Latinoamérica; incluso no existía punto de comparación al observar con otras regiones en países europeos y Estados Unidos, con los que hay una brecha enorme.
La situación en Chile viene creciendo al igual que en el resto de la Región. No obstante, existen ciertas variables como marcos regulatorios y centros de capacitación que están recién renovándose y formándose. Los profesionales en Chile hasta hace unos años debían formarse fuera, y justamente estos han empujado nuevas iniciativas en seguridad, enfocándose en ciberseguridad y en dar una visión más actualizada a esta área.
En el país, ¿existe una carencia de profesionales especializados v/s la demanda real?
Se ha percibido que solo en la banca hay un 40% más de ataques o amenazas en comparación con el año pasado, ¿pero cuál es la demanda real por estos profesionales? Durante 2018 el 16% de las búsquedas del área de TI están enfocadas a perfiles de seguridad. Y de más de 5.000 profesionales orientados a TI dentro de nuestra base de datos, se han registrado solo 187 certificados en el tema, ya sea CEH, CISM o CISSP, lo que habla de la falta de capacitación y especialización de profesionales en el mercado chileno.
¿Se busca extranjeros para llenar esa brecha? ¿Esto es una tendencia?
Se ha visto un número importante de extranjeros con conocimientos y especialización en el tema. Son profesionales que ya vienen trabajando en este ámbito, manejando algunas herramientas y tecnologías asociadas, lo que se acompaña con una visión más fresca sobre seguridad y su acompañamiento al negocio. De 10 profesionales que postulan a cargos de seguridad tecnológica o ciberseguridad, ya sea en puestos con más foco técnico o de gestión, al menos 4 son extranjeros. Además es importante señalar que son profesionales con experiencia concreta. Si bien es cierto que deben adecuarse a normativas y localización chilena, ya cuentan con experiencia en la línea de seguridad que se está desarrollando en Chile.
¿Hoy en día cuáles son los perfiles más buscados?
Ingenieros de ciberseguridad, oficiales de seguridad, consultores de ethical hacking y desarrolladores con foco en seguridad. Se valora mucho el conocimiento “real-tangible” de los proyectos asociados y no tan solo la certificación que cubre y refleja la teoría del contenido. Idealmente profesionales que ya tuvieron la oportunidad de participar/liderar iniciativas en el marco de un programa de ciberseguridad en cualquiera de sus derivadas técnicas más complejas, ya sea para framework, herramientas y otros.
Como existe un bajo número de profesionales especializados, las empresas están optando por contratar aquellos con una base técnica en redes, infraestructura, informática u otros y formarlos en seguridad y ciberseguridad, así van adoptando la visión de seguridad de la compañía y se van desarrollando en esa perspectiva.
¿Se buscan algunas certificaciones? ¿Cuáles?
Esta dimensión resulta bastante ajustable según sea el caso del profesional y área en que se desempeñará, no existe certificación para todo lo descrito en habilidades técnicas, sin embargo algunas relacionadas con las habilidades técnicas anteriormente descritas son bien valoradas, como por ejemplo Ethical Hacking / Forensic /Secure Programmer / Network Defender (EC- Council); OSCP (Offensive Security Certified Profesional); CCNA y CCNP (Cisco); CISSP – CISM; Protección de Datos y/o Data Privacy (GDPR-HIPAA); NIST u otro; industria eléctrica / electrónica / producción / minería /aeronáutica (Scada); y otras de cibersecuridad (evolución de nuevos cursos y certificaciones).
¿Qué competencias deben tener estos profesionales?
Los dominios son complejos y extensos, por lo tanto dependiendo del volumen y madurez de organización pudieran existir muchas subáreas y/o roles dentro un área; el foco dependerá de esto y de las iniciativas del negocio en su plan estratégico anual o proyectado. Además de los conocimientos técnicos, informá- ticos, de telecomunicaciones y cursos de especialización o certificaciones, se requieren profesionales con una visión global del negocio, que puedan entender las necesidades y los cambios de la organización y ver de qué forma trabajar en conjunto con las distintas líneas de negocios. Hay que entender que la seguridad no es solo responsabilidad de tecnología, sino de la organización en su totalidad. Por lo tanto los profesionales en esta área tendrán la necesidad de relacionarse con toda la organización. Entre las habilidades blandas esenciales se requiere creatividad, capacidad autodidacta, trabajo de equipo y autonomía, tolerancia a la presión y recuperación rápida a la frustración, proactividad e innovación, ser analítico frente a problemas y tener orientación a la solución.
¿Y en materia de habilidades técnicas?
Entre las principales habilidades técnicas se necesita alta experiencia en framework basados en ciberseguridad, como por ejemplo NIST; en herramientas y plataformas asociadas a un programa de implementación de ciberseguridad; y en campañas de concientización y entrenamientos de clientes internos y externos. Se busca una sólida base y experiencia en materia de seguridad de la información (ISO 27.001); en iniciativas con foco en clasificación y protección de datos (PCI, HIPAA, GDPR, etc.); en TI; en entornos y plataformas digitales (exposición a Internet y/o transaccionales B2C, B2B y B2B2C); en modelos de riesgos; y en CSIRT / SOC para la gestión de incidentes. Otros requisitos son cursos en seguridad TI, ciberseguridad, ethical hacking y/o tenetration test, forensic, electrónica PLC y otros (Scada).