Ascenso de seguridad
Antes todo era mejor. Las redes se protegían con filtros de paquetes, muy abajo en el modelo de referencia OSI (en la capa 3 o 4). Los derechos de acceso se regulaban a nivel de máquina o de sistema operativo, y la programación se realizaba en ensamblador o en C. ¡Todo era bonito y de bajo nivel!
Ah, los buenos tiempos en los que aún teníamos un perímetro de red e imágenes enemigas claras: fuera era malo, dentro era bueno... ¡y los virus se cogían a través de disquetes infectados!
En aquella época, "todas las áreas de seguridad" -es decir, cortafuegos y protección antivirus- estaban a cargo de un único administrador, que también era responsable de la administración del servidor de correo (por supuesto, interno) (UNIX sendmail - ¡no Exchange!).
Emancipación y valencia
Pero enfrentémonos a la realidad: la (in)seguridad ha subido - subido en las capas del modelo de referencia OSI. Hoy en día, la mayoría de los ataques tienen lugar en la capa de presentación o incluso en la de aplicación.
Para los responsables de la seguridad, esta evolución significa que ya no basta con ocuparse de las redes, los cortafuegos y un puñado de sistemas operativos para proteger las redes, las aplicaciones y los usuarios de la empresa.
Deben conocer las peculiaridades y los requisitos especiales de multitud de aplicaciones, y a menudo mejor que sus usuarios. Los expertos en seguridad de hoy en día ya no se parecen a los médicos generalistas, sino más bien a los cirujanos vasculares.
A menudo se especializan en un aspecto concreto de la compleja pila de seguridad que encontramos hoy en día en las empresas: Seguridad de sistemas operativos, cortafuegos ("conscientes de las aplicaciones, de nueva generación", por supuesto), IDS/IPS, autenticación multifactor, criptografía, seguridad de bases de datos, seguridad en la nube y mucho más.
Por lo tanto, la protección de infraestructuras informáticas empresariales complejas y heterogéneas suele requerir toda una serie de especialistas en ciberseguridad altamente especializados.
Sin embargo, este auténtico ejército de defensores de las TI debe ser reclutado y formado en algún lugar y, en el mejor de los casos, contar con varios años de experiencia relevante antes de que los CISO les confíen la seguridad de los sistemas de TI críticos para el negocio. Por desgracia, hay muy pocas ofertas en el entorno académico que aborden específicamente el complejo de temas de la seguridad informática o incluso explícitamente la ciberseguridad.
Enseñanza e investigación
Esta falta de oportunidades de formación no comercial crea un problema al que muchas empresas se enfrentan hoy en día: Sencillamente, ¡hay muy pocos expertos en ciberseguridad!
ISACA (Information Systems Audit and Control Association), asociación de expertos internacionales en el ámbito de la auditoría de sistemas informáticos, ya predijo en 2016 que en 2019 faltarían dos millones de expertos en ciberseguridad en todo el mundo. En vista del inesperado fuerte aumento de los ataques de piratas informáticos, la distribución de malware y el robo de datos, la cifra real será aún mayor.
Para las personas técnicamente interesadas, este vacío de conocimientos sobre ciberseguridad significa a su vez interesantes oportunidades profesionales, salarios atractivos y una elección casi libre de lugares de trabajo interesantes, porque ya hoy la demanda de expertos en ciberseguridad crece unas tres veces más rápido que la demanda general de trabajadores cualificados en el segmento de las TI. La seguridad ha adquirido una importancia duradera.
En mi opinión, estas halagüeñas perspectivas son mucho mejores si los futuros expertos en ciberseguridad se especializan del mismo modo que los neurocirujanos vasculares: como expertos en ciberseguridad de SAP, lo que garantiza la promoción profesional en el ámbito de la seguridad.