El documento describe las funciones y objetivos de INCIBE, el Instituto Nacional de Ciberseguridad de España. INCIBE es la entidad de referencia para el desarrollo de la ciberseguridad en España y trabaja para proteger a ciudadanos y empresas, especialmente los sectores estratégicos. INCIBE también actúa como el CSIRT nacional para la resolución de incidentes de ciberseguridad. El documento luego presenta una propuesta para un enfoque algorítmico del talento en ciberseguridad que considera fact
2. ¿Qué es INCIBE?
Entidad de referencia para el
desarrollo de la ciberseguridad
y de la confianza digital de: Ciudadanos
Empresas, en especial
sectores estratégicos
Sociedad Mercantil Estatal y Medio Propio dependiente de la Secretaría de Estado
para el Avance Digital que lidera diferentes actuaciones para la ciberseguridad a nivel
nacional e internacional.
Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de
información
4. CSIRT de Referencia para la resolución técnica de
incidentes de ciberseguridad que afectan a ciudadanos y
empresas
Ciudadanos
Empresas
Operadores
Críticos
Servicios de ciberseguridad: INCIBE-CERT
Prevención
Detección
Análisis
Respuesta
Notificación
Ciberejercicios
Intercambio de
información
8. ¿Podemos abordar la seguridad del futuro inmediato con el mismo
nivel de recursos?
• RRHH a distintos niveles:
• Investigación
• Operacional
• Táctico
• Estratégico
• RRHH de distinto perfil:
• Técnicos (N)
• No técnicos (M>=N)
• Legales
• Financieros
• Políticas
• Procesos
• Estándares
• Soluciones / Servicios:
• Gratuitas
• De pago
• Inteligencia económica
• Educación:
• Concienciación
• Formación
• Capacitación
• Entrenamiento
• Etc.
9. ¿Qué dicen los estudios sobre el empleo en CS? (”N”)
Análisis de múltiples fuentes, estudios, metodologías, etc…
10. Algunos datos de interés
Fuentes: múltiples (ver slide anterior)
9%18%
Crecimiento
Empleo
Compensación+
vs. IT
8º
Analista Seguridad
Ranking mejores
trabajos
>1,5 Mill.
empleos
en 5 años
210k
Puestos hoy
vacantes
76%
solicitan
mayor inversión
del gobierno
11. Coste reposición de profesionales
• 16% sobrecoste en trabajadores no cualificados
• 213% sobrecoste en trabajadores cualificados
• 400% sobrecoste en trabajadores clave para la organización
Fuente: RSAC – Five secrets to attract and retain top talent
17. 94 b $
25 b $
Estimated 2023 in
specific areas
Sources: Gartner / Victoria Cyber security export Markets / Tech crunch / Market Watch
23 b $
23 b $
Global
• Cybersecurity expending 2014 - 72.237M$ (72 b $) – CAGR (10-12%)
• De nuevo, en Feb 2019 indican 12%
• CAGR 72,1% en CS para sector automoción
La pregunta clave ¿hay negocio en CS?
18. Ejemplo sobre Top 6 CSP (con empleados top en CS + salarios altos)
Veamos qué datos de exposición conocemos hoy…
¿por qué no ayudan a los usuarios/clientes de los CSP?
21,718160,013
Events related to
exposed
MS-SQL Servers
Events related to
exposed
MongoDB
7,010
Events related to
exposed
ElasticSearch
3,071
Events related to
exposed
Redis Data Store
(1,130 unique servers)
504
Events related to
exposed
Hadoop
88
Events related to
exposed
DB2
19. 396
DDoS Incidents
due to usage of
exposed
LDAP cloud servers
286
ToR relays
In CSP domains
45,519
SPAM
emails originated
from CSP domains
794
Phising URLs
matching with top
CSP domains
10,137
Malicious
URLs matching with
top CSP domains
334
Direct Login
attacks
from cloud servers
*: exact matching with CSP domains which is not representative of real
malicious data from cloud (as different domains & DNS are usually used)
Ejemplo sobre Top 6 CSP (con empleados top en CS + salarios altos)
Veamos qué datos de exposición conocemos hoy…
¿por qué no ayudan a los usuarios/clientes de los CSP?
20. 8
C&C
servers in CSP
domains
189
companies
hacked in cloud to
be re-used as attack
sources *
*: phishing, malware or defacements
Ejemplo sobre Top 6 CSP (con empleados top en CS + salarios altos)
Veamos qué datos de exposición conocemos hoy…
¿por qué no ayudan a los usuarios/clientes de los CSP?
21. Ética, mejora de la sociedad vs. ambición o intereses particulares
23. Rest of Public
Sector
Large
Enterprises
SME and
Individuals
Sophisticated
demand:
Defence,
CERTs,
Intelligence,
Finance, etc.
Government
Knowledge
providers:
Universities
+
Tech Centres
Startup
Accelerators
& incubators
Venture
Capital &
other
investors
Certification GDPR, standards and complianceTraining
CHANNEL
Majorist &
Distributors
MANUFACTURERS
SW
HW & Mix
Fabricante SW especialista internacional
SERVICES
Integrators
Specialized VAR
Big Consultancy
services
Specialized
local
providers
Managed Security Service
Providers
Fabricante SW generalista embedded
Retail
Associations and ForaClusters Others (ICT)
Cadena de valor en CS necesidad de aproximación coherente e integral
24. Comentarios de inversores (Top) en CS a nivel internacional
• Formación (conocimientos) muy buenos en España comparados con sus
países.
• Rotación muy baja comparado con sus entornos (ej. EEUU: hasta 6 meses)
• Coste menor (salarios) que en sus países aunque lo dicen no pensando en
pagar menos sino en que es más competitivo.
• Variables de inversión / prima de riesgo les condicionan parcialmente.
Comentarios de Directivos de RRHH (reclutadores de CS)
• No vale todo:
• Debido a necesidades de negocio en el transitorio se ha contratado
gente muy buena técnicamente pero con grandes dificultades o
carencias en factores que consideran importantes y claves a
futuro.
• A futuro buscan profesionales (como en otras ramas) con actitud
positiva, respeto, habilidades personales y sociales,
comunicativas, con conocimientos multidisciplinares, resolución
de problemas y no crear problemas, con capacidad de enseñar a
los demás, integridad, ética, valores, etc.
25. 7 feb
Un Ciberespacio
Abierto, Protegido y
Seguro
European CS
Strategy
5 dic
National CS
Strategy
31 may
Un proyecto
compartido
National
Security
Strategy
27 nov
National CS
Strategy Framework
2010
European Digital
Agenda
15 feb
Spanish
Digital Agenda
19 may
2013 2014
2006
• Accesibilidad
• Seguridad tecnológica
• INTECO-CERT
• Centro de innovación TI
para PYME
• Ciudadanía e Internet
• e-Salud
Instituto de
Tecnologías de la
Comunicación de
León
28 Oct
2012
jun
Digital
Confidence Plan
NIS Directive
Transposition
RDL 12/2018,
7 Sept
Sept
2018
4 oct
2019
RDL 12/2018
Regulation
(WIP)
Regulación en CS
Fuente: McAfee
29. Rest of Public
Sector
Large
Enterprises
SME and
Individuals
Sophisticated
demand:
Defence,
CERTs,
Intelligence,
Finance, etc.
Government
Knowledge
providers:
Universities
+
Tech
Centres
Startup
Accelerator
s &
incubators
Venture
Capital &
other
investors
Certificatio
n
GDPR, standards and complianceTraining
CHANNEL
Majorist &
Distributor
s
MANUFACTURER
S
SW
HW & Mix
Fabricante SW especialista internacional
SERVICES
Integrators
Specialized
VAR
Big
Consultancy
servicesSpecialized
local
providers
Managed Security
Service Providers
Fabricante SW generalista embedded
Retail
Associations and ForaClusters Others (ICT)
Transformando el ecosistema
31. Fase 2: nuevas medidas de rectificación:
+medidas + continuamos con Ripple
Fuente imágenes: TWiT Netcast Network
32. Fase 3: más medidas de rectificación (caras y dando primeros resultados)
+ filtro (caro) y ripple (algo menor, pero sigue habiendo rizado)
Fuente imágenes: TWiT Netcast Network
33. Fase 4: nueva aproximación más optimizada
resultados más económicos (viables++) y con reducción de Ripple
Y aun así “si fallan los componentes, que pueden fallar (y
fallan), volvemos a tener desestabilizado el sistema. Se
pueden cambiar componentes sin tener que comprar otra
“fuente de alimentación”. Tb se puede medir el
funcionamiento de cada componente en su entrega de valor
al circuito. También podemos amplificar señal pero a veces
saturamos componentes…” BALANCE Y EQUILIBRIOFuente imágenes: TWiT Netcast Network
34. Transformando el ecosistema (el ejemplo de INCIBE)
Misma dirección, muchos más actores necesarios (públicos y
privados), más medidas, gestión del cambio, actitud, etc.
??
??
35. Propuesta de aproximación algorítmica
Talento en CS
(visión transformacional para abordar retos presentes y futuros)
Fuente: Victor Kuppers (que utilizaremos como base, se recomienda ver el vídeo)
• Valor de una persona = (C+ H) *A, donde
• C = conocimientos
• H = habilidades (en lo que destacamos)
• A= actitud (multiplica signo + ó -)
Nota: la clave son los factores multiplicativos (más importantes y con signo) vs. sumatorios
Valor
• Hay personas que dan 30KW y hay personas fundidas.
• El ser humano transmite sensaciones.
• Tener claro qué es importante y qué no.
• Ser agradecidos.
• Alegría.
• Ilusión.
• Reinvidicar la pausa (acción-> reacción).
• Diferencia entre serio, correcto y profesional vs.
personas crack con talento “olé, olé!” = “A”
• Etc.
https://youtu.be/nWecIwtN2ho
36. Propuesta de aproximación algorítmica
Talento en CS
(visión transformacional para abordar retos presentes y futuros)
Siendo X = (conocimientos técnicos / no técnicos + habilidades + experiencia + histórico):
• Valor del profesional de CS = X * Y1, donde
• Y1= actitud * respeto * ética * integridad * valores * salud * mentalidad ganar-ganar *
mentalidad de la abundancia * adaptación al cambio * implicación con la entidad *
resolución de problemas * trabajo en equipo * enseñar a los demás * priorización *
escucha activa * outOfTheBox…
• Valor del profesional directivo / líder de CS = X * Y2, donde
• Y2= Y1 * criterio full stack * negociación * liderazgo * visión * estrategia * acción *
empowerment * inspirar/capacitar a otros líderes…
Nota 1: la clave son los factores multiplicativos (más importantes y con signo) vs. sumatorios
X
Y2Y1
Nota 2: Toda la cadena de valor, formado también por personas, deben igualmente cumplirlo!
37. Propuesta de aproximación algorítmica
Talento en CS
(visión transformacional para abordar retos presentes y futuros)
La importancia de ser “multidisciplinar (M)”:
• Valor del profesional de CS = XM * Y1
• Valor del directivo / líder de CS = XM * Y2
Nota: añadimos un factor exponencial “M” (multidisciplinar) como potencia.
A
B2B1
- Ejemplos + programación segura
- Sanitario y programador seg.
- Industrial y programador seg.
- Abogado y programador seg.
- FCSE y programador seg.
- “Ethical hacker” y programador seg.
- Ejemplos + electrónica + programación seg.
- “Ethical hacker” + electrónica + progr…
(ej. sector automóvil CAGR 79%).
- Y muchos más + data science, + calidad y pruebas
+ IA.
38. Mentalidad de la abundancia vs. mentalidad de escasez
“Mentalidad de abundancia, significa que, en lugar de ver la vida como una
competición con un solo ganador, se ve con abundancia repleto de
oportunidades, recursos y riqueza cada vez mayores. Uno no se compara
con los demás y siente verdadera alegría por sus éxitos y los de los demás.
Las personas con mentalidad de escasez son resultado de una identidad
basada en la comparación y se sienten amenazadas por el éxito de los
demás. Aunque finjan y digan otra cosa, saben que les consume.
Los poseedores de una mentalidad de abundancia ven a sus competidores
como unos de los profesores más valorados e importantes. Esos mismos
atributos —integridad, madurez y mentalidad de abundancia— describen a
la perfección a un equipo complementario.”
Stephen R. Covey
41. Experimento ¿hay algo cambiando positivamente en talento CS?
• Muestra:
• Estudiantes y profesionales en dos grupos (hasta 25 y hasta 30 años).
• Personas con talento demostrado (componentes/ex-componentes selección ECSC)
• Fecha: 22-23 Marzo 2019
• Medio/canal: canales diferentes en Telegram
• Nivel de interacción: medio (aportando estadísticas y estudios a posteriori para no condicionar)
• Conclusiones principales:
• Gran cantidad de respuestas positivas superando expectativas.
• Aun pidiendo positivas, siempre se cuelan “negativas”
• Cambio de tendencia en ofertas (ligeramente al alza).
• El salario no lo es todo para garantizar seguridad ni para estar content@s (ej. Facebook, apple)
• Hablan de actitudes, de la necesidad de directivos con cualificación experiencia técnica previa.
• Hablan de relación con el ecosistema nacional.
• Etc.
42. Feedback recibido (talento ECSC)
Con respecto a las oportunidades laborales, me he encontrado
en España un sector vivo y con sed por profesionales. En
seguridad, en concreto, se valora mucho el talento de la
persona, las habilidades por encima de los títulos a través de
entrevistas de valoración técnica.
A partir de mi participación en CyberCamp2017, donde comencé
a conocer gente relacionada, empecé a recibir de forma, más o
menos frecuente, ofertas de trabajo que, con el tiempo, van
siendo más atractivas.
El trabajo a distancia parece estar cada vez más aceptado. Otra
muestra más de que en España, se demanda talento.
Que hay ofertas buenas, si pero no es el caso
mayoritario
En mi caso, las ofertas en España que me llegan
últimamente tienen un salario bastante decente,
cuando antes al menos a mi, me llegaba bastante
basura.
También hay que tener en cuenta que esto no solo
se extrapola a ciberseguridad, en general en España
los salarios oscilan en ese umbral es un problema
del propio país mas que del sector.
Para muchas empresas increíblemente la Ciberseguridad
sigue sin tener la relevancia que debe de tener, y los
presupuestos que se invierten ahí son irrisorios respecto a
lo que deberían de invertir. Y hasta que no sufren un
ciberataque y ven las orejas al lobo, lo tratan como algo
secundario para la empresa.
Sin duda, al final el puesto de director bajo mi punto de vista
tiene que ser alguien con experiencia en el propio sector y que
previamente haya tenido un perfil técnico.
En cuanto ven que alguien empieza a volar, le cortan las alas
entre todos pero es un tema difícil y a priori no veo cambio a
corto plazo mucho tiene que evolucionar la sociedad.
Si vales, se van a matar por ti.
44. Conclusiones
• Son buenas noticias, la ciberseguridad debe estar en todas partes pero profesionalizada.
• Todo está conectado (ecosistema), cada país tiene su factores añadidos (ventajas/inconvenientes).
• Hay que tener en cuenta ciertas variables, relaciones, componentes, donde estamos, hacia donde
nos lleva y hacia donde queremos ir (visión).
• Todos podemos contribuir (positivamente) de manera relevante a construir el sector como queremos
(está mejorando y no difiere mucho de otros sectores).
• No es tan sencillo como parece (cuidado con los mensajes simples: Si A-> B, entonces B-> C)
• No es excesivamente complejo pero el factor tiempo es clave tanto para evitar problemas como para
aprovechar las oportunidades.
• Ingredientes básicos: (variables: unas suman, otras multiplican y otras son potencia)
• X (+): Conocimientos técnicos, conocimientos no técnicos, habilidades, experiencia, histórico.
• Y (*): Actitud, respeto, ética, integridad, valores, salud, mentalidad, ganar-ganar, mentalidad de la
abundancia, adaptación al cambio, implicación con la entidad, resolución de problemas, enseñar a
los demás, trabajo en equipo, priorización, escucha activa, outOfTheBox, criterio full stack,
negociación, liderazgo, visión, estrategia, acción, empowerment, inspirar/capacitar otros líderes…
• M (potencia): Multidisciplinar
48. “Quote 3” Responsabilidad vs. Victimismo
Asumir nuestra responsabilidad en las cosas que
nos pasan es una elección, significa tener capacidad
de actuar para encontrar una respuesta satisfactoria,
frente a la actitud incapacitante de considerarse
víctima de las circunstancias y esperar que otros se
hagan cargo de lo que está pasando.
49. “Quote 4” Razones que damos ante fallos vs. emoción / ingenio…
Tony Robbins
50. Talento = XM * Y
Raúl Riesco
raul.riesco@incibe.es
51. info@incibe.es, comunicación@incibe.es y relaciones@incibe.es.
Instituto Nacional de Ciberseguridad (INCIBE)
https://www.incibe.es
Oficina de Seguridad del Internauta (OSI) https://www .osi.es
Internet Segura for Kids https://www.is4k.es
Protege tu empresa https://www.incibe.es/protege-tu-empresa
INCIBE-CERT https://www.incibe-cert.es
CyberCamp https://www.cybercamp.es
Ciberemprende https://www.incibe.es/ciberemprende
Redes Sociales Corporativas: @Incibe, @Osiseguridad, @is4k,
@ProtegeEmpresa, @incibe-cert, @CyberCampEs y @CiberEmprende_.
Incidentes, vulnerabilidades, fraude online, phishing, malware, etc.
Línea de ayuda en ciberseguridad de INCIBE 900 116 117, consultas@osi.es,
empresas@incibe.es y incidencias@incibe-cert.es.
CONTACTO
VISÍTANOS
INFÓRMATE
SÍGUENOS
REPÓRTANOS
Síguenos en
Notas del editor
S. = Servicios
S. = Servicios
INTECO nace en 2006 con las siguientes líneas 5 iniciales de actividad:
Accesibilidad
Seguridad tecnológica
Centro de innovación TI para PYME
Ciudadanía e Internet
e-Salud
Agenda Digital para Europa: persigue desarrollar un mercado único digital para dirigir a Europa hacia un crecimiento inteligente, sostenible e integrador.
CERTSI: el convenio suscrito entre la Secretaría de Estado de Seguridad (SES) y la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), enfocado en la protección de las infraestructuras críticas nacionales y la lucha contra el ciberdelito supuso un hito en la optimización de recursos y en la colaboración entre ambas secretarías de Estado a través de sus entidades dependientes (el Centro Nacional de Protección de las Infraestructuras Críticas, las Fuerzas y Cuerpos de Seguridad del Estado e INCIBE ). La positiva evolución de dicho marco ha hecho posible el establecimiento del CERT de Seguridad e Industria, operado desde las instalaciones de INCIBE en León.
Estrategia de Ciberseguridad de la UE, busca garantizar que los derechos fundamentales existentes en la Unión Europea también sean aplicados en el ciberespacio.
Tiene como como uno de sus objetivos principales el garantizar la protección de las infraestructuras de información críticas europeas.
Agenda Digital para España, recoge la estrategia del Gobierno para desarrollar la economía y la sociedad digital en España durante el periodo 2013-2015. La estrategia abarca todas las acciones del Gobierno en materia de Telecomunicaciones y de Sociedad de la Información y está liderada conjuntamente por el ministerio de Industria, Energía y Turismo y por el Ministerio de Hacienda y Administraciones Públicas. La Agenda marca la hoja de ruta sobre Tecnologías de la Información y Comunicaciones y Administración Electrónica apuntando 6 grandes objetivos.
Estrategia Nacional de Seguridad: constituye una revisión de la Estrategia Española de Seguridad, de 2011, a la que sustituye. El documento refleja los riesgos y amenazas de un mundo en profundo y constante cambio.
En concreto, el Plan de Confianza en el Ámbito Digital asigna a INCIBE el liderazgo de 17 de las 25 medidas de que consta, que versan sobre el programa de sensibilización, las oportunidades para la industria TIC, la evolución de INCIBE y el programa de excelencia en ciberseguridad. El refuerzo de INCIBE es un eje destacado en este Plan, que ha comenzado ya en 2013 con la incorporación de 19 expertos en ciberseguridad a la plantilla y un importante esfuerzo presupuestario para ampliar y optimizar sus capacidades técnicas.
Estrategia de Ciberseguridad Nacional: Se trata de una trasposición de la Estrategia de Ciberseguridad de la Unión Europea y está alineada con la Estrategia de Seguridad Nacional que, como se ha dicho, contempla, entre otras cuestiones, la ciberseguridad y la protección de infraestructuras críticas entre sus doce ámbitos de actuación.
Un Marco de Referencia para la evaluación de Estrategias Nacionales de Ciberseguridad: es la más reciente apuesta de ENISA relativa a la evaluación de las estrategias nacionales de Ciberseguridad de los Estados Miembros. Ofrece una serie de pasos y una serie de posibles indicadores clave de rendimiento; y que ilustra la lógica subyacente a los componentes recurrentes de una estrategia nacional de Ciberseguridad.
DIRECTIVA NIS: de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. ( Los EM la adoptarán a más tardar el 9 de mayo de 2018).
La Directiva NIS establece, entre otras:
Obligaciones para todos los EM de adoptar una estrategia nacional de seguridad de las redes y sistemas de información;
Requisitos de notificación para los operadores de servicios esenciales y para los ISPs;
Que los EM definan un régimen de sanciones aplicables en caso de incumplimiento.
El impacto de las publicaciones en seguridad de la comunidad científica española es notable, habida cuenta de su grado de especialización.
S. = Servicios
“Las organizaciones tienen descripciones de trabajo demasiado ambiciosas que describen a un candidato ideal que probablemente no exista, lo que elimina muchas otras opciones viables en el proceso” (Gartner)