Una inversión de 3.000€ en formación puede representar un ahorro mínimo de 150 a 200 horas de trabajo del técnico y de productividad perdida por los usuarios afectados al año. Una inversión de 4.000 a 8.000€ en formación, habría representado un ahorro de 1.000 a 2.000 horas de productividad perdidas a cualquiera de las empresas víctimas de los ciberataques de Ransomware del 12 de mayo. Según ha destacado Manel Medina, profesor del Máster en Seguridad Informática (UPC-VIU) de la Universidad Internacional de Valencia (VIU).
Para el experto de la VIU “la inversión más rentable para proteger las organizaciones de ciberataques es la formación a todos los niveles, empezando por los usuarios finales, para evitar que abran ficheros sospechosos contaminados con malware (se genera 1 malware nuevo cada 4segundos). Y acabando por los directivos, que tienen que aprobar las inversiones y que son los responsables penales de los daños que un ciberataque pueda causar, internamente frente a los accionistas, y externamente frente a clientes y proveedores”.
Asimismo, ha resaltado que “somos víctimas de Ciberataques porque no sabemos defendernos, debido a que los ciber-delincuentes tienen más recursos para atacar que nosotros para prevenir y defendernos de sus ataques”. Para contrarrestar los ataques hacen falta 825.000 profesionales en todo el mundo, y una inversión de 80.000 M€/año en ciberseguridad (Bruce Schneier).
En este sentido, el experto de la VIU ha insistido en la importancia de la formación de los técnicos informáticos, que “son los que deberán ser capaces de planificar, implantar, operar y recuperar los sistemas de protección contra ciberataques, para lo cual es necesario empezar por ser capaces de detectarlos”.
No sabemos a ciencia cierta los motivos que han provocado la desidia de las organizaciones en aplicar los parches de seguridad de Microsoft durante las últimas 8 semanas, lo que ha provocado que hayan sido víctimas del ciberataque basado en WannaCry. Pero ha resaltado: “es evidente que no se han seguido las recomendaciones básicas de ciberseguridad de todas las organizaciones de expertos internacionales, por ejemplo, los equipos de respuesta a incidentes (CERT) gubernamentales (CCN-CERT, INTECO-CERT, CERT-SI en España), y asociaciones internacionales como APWG y la NCSA o el CERT/CC en USA”.
“Podemos resumir diciendo que, la falta de personal especializado en tareas de administración de servicios de ciberseguridad es uno de los motivos principales de éxito de los ciberataques”, ha añadido.
MÁS Y MEJOR FORMACIÓN EN CIBERSEGURIDAD
Dentro de aproximadamente 1 año entrará en vigor en Europa el reglamento general de protección de datos (GDPR en inglés) y la Directiva Europea de seguridad en las redes y sistemas de información (NIS en inglés). La aplicación y mantenimiento de cumplimiento de ambas directivas en empresas y administraciones públicas requerirá aún de más profesionales de ciberseguridad.
Los empresarios deberán familiarizarse con conceptos como: CISO (Oficial de seguridad de la información), para coordinar los servicios de ciberseguridad internos de la organización y explicar a la dirección los posibles impactos de los ciberataques en los procesos de negocio y, DPO (Oficial de protección de datos), para supervisar, coordinar las medidas de protección de datos personales dentro de la organización y tomar consciencia de los riesgos en que pueden incurrir si no aplican las medidas necesarias y adecuadas.
También deberán plantearse implantar servicios como: Ciber-SOC (Centro de operaciones de ciberseguridad), para detectar posibles ataques o fugas de información a/de la organización o CSIRT (Equipo de respuesta a incidentes de ciberseguridad), para coordinar la respuesta a ciberataques por parte de los equipos internos y escalar su evolución tanto a la dirección interna como a los CERT/CSIRT corporativos, en el caso de multinacionales y/o los gubernamentales especificados en la estrategia de ciberseguridad nacional del país correspondiente.
Estos servicios ayudarán a recopilar evidencias del ataque para poder defender a la organización frente a posibles denuncias y multas de hasta el 2% de la facturación mundial de la organización por cada incidente (máximo 4% anual).
Las técnicas de formación en ciberseguridad más modernas tienden a paliar la falta de escalabilidad de los métodos tradicionales, y se basan en la formación on-line, mediante “juegos serios” o técnicas de “gamification”, intentando hacer la formación atractiva para todos los tipos de alumnos, con el objetivo de que los logros conseguidos por cada trabajador sean motivo de satisfacción frente a sus compañeros de trabajo y de reconocimiento por la dirección de la empresa.
MÁSTER EN SEGURIDAD INFORMÁTICA Y EN SISTEMAS DE COMUNICACIONES MÓVILES (UPC-VIU)
La Universidad Internacional de Valencia (VIU) ofrece Grados y Másteres universitarios online con una metodología basada en la enseñanza colaborativa y en materiales audiovisuales. Concretamente, ofrece varios másteres que ayudan a combatir las problemáticas mencionadas en este artículo, como el Máster en Seguridad Informática (UPC-VIU) o el Máster en Sistemas de Comunicaciones Móviles (UPC-VIU). La VIU es una universidad interactiva, cuya actividad se desarrolla en un campus virtual. Esto permite que cualquier persona con conexión a Internet pueda acceder a la formación universitaria a través de la web y ofrece la posibilidad de asistir a clases a través de videoconferencia, reproduciendo las condiciones de una clase tradicional en Internet.
El Máster en Seguridad Informática (UPC-VIU) además capacita a los alumnos para optar a obtener certificados de sus conocimientos reconocidos por ISACA mundialmente: CISA (Auditor de sistemas informáticos) y CSX (Experto en operación de sistemas de ciberseguridad). En España y Latinoamérica hay más universidades ofreciendo formación de posgrado en ciberseguridad, pero la posibilidad de demostrar estos conocimientos con una certificación internacional, abre las puertas a los alumnos de la VIU-UPC a optar a empleos como expertos en ciberseguridad en cualquier parte del mundo.
