¿Sabes cómo convertirte en un profesional de la ciberseguridad? ¿Sabe qué cursos tomar, qué certificaciones se necesitan y qué habilidades requieren los empleadores? Como gerente de contratación, ¿puede evaluar si su nuevo empleado sabe cómo escribir aplicaciones móviles seguras, defender sistemas contra ataques cibernéticos o proteger datos de tarjetas de crédito de los clientes?
La verdad es que no muchas personas pueden responder esas preguntas. Y esa incertidumbre, dicen los expertos, es un problema para la industria de la ciberseguridad. Su rápido crecimiento durante la última década ha llevado a un camino educativo poco claro para los estudiantes. También hay una ausencia de calificaciones generalmente aceptadas que informen a los gerentes de contratación y a los departamentos de recursos humanos qué candidatos tienen la experiencia y las credenciales adecuadas.
“Esta confusión hace que la profesión crezca menos eficientemente de lo que podría”, dice Greg Shannon, Miembro Senior de IEEE, científico jefe de la División CERT en el Instituto de Ingeniería de Software de la Universidad Carnegie Mellon en Pittsburgh y presidente de la Iniciativa de Ciberseguridad IEEE. “La gente no puede decir: ‘Estas son las credenciales que necesito’ y ‘Esto es lo que me costará conseguirlas'”.
La falta de claridad, dice Shannon, ha contribuido a la escasez generalizada de profesionales capacitados y con experiencia en ciberseguridad. Del mismo modo, ha creado un desafío para que los empleadores contraten a personas con las habilidades adecuadas. Los representantes de recursos humanos se enfrentan a una variedad de certificaciones de aproximadamente dos docenas de organizaciones.
- ¿Es normal que un doctorado en ciencias de la computación solicite un programa de posgrado como el primer trabajo de la industria?
- ¿Cambiará la singularidad tecnológica el valor de los codificadores?
- ¿Cómo reconoce una máquina una secuencia de bits, ya sean parte de una imagen o audio en un archivo de video?
- ¿Es la última tendencia entre los jóvenes profesionales de TI a odiar su trabajo y lamentarse constantemente en las redes sociales?
- ¿Puedo ir directamente a la empresa de TI y dar una entrevista?
“Hay personas que están siendo posicionadas, correcta o incorrectamente, más allá de sus habilidades para abordar la ciberseguridad”, dice Shannon. “Mientras tanto, no hay suficientes personas nuevas entrando a la profesión para llenar el vacío”.
ESTABLECEMOS LAS NORMAS
Para cerrar la brecha, los investigadores del Centro Pell en la Universidad Salve Regina, en Newport, RI, están pidiendo a la industria de la ciberseguridad que cree estándares profesionales para aquellos en el campo. En julio, emitieron “Professionalizing Cybersecurity”, un informe que pide una asociación profesional global para crear caminos claros para una variedad de carreras.
“Lo que proponemos no es solo una manera de poner a más personas en la tubería”, dice la beca Pell Francesca Spidalieri, quien fue coautora del informe con el teniente coronel Sean Kern, miembro adjunto del Centro Pell de la Fuerza Aérea de EE. UU. “También se trata de garantizar que aquellos en la industria alcancen los más altos estándares profesionales”.
La industria ha tratado de responder a las necesidades del mercado mediante el desarrollo de certificaciones y otros estándares educativos para diversas trayectorias profesionales. Sin embargo, estos han surgido individualmente. A menudo se superponen y dejan huecos.
El informe encontró que la ciberseguridad está compuesta por 31 especialidades diferentes que se ocupan de áreas tales como el cumplimiento de la garantía de la información, la arquitectura de seguridad de los sistemas y el análisis forense digital. Estas especialidades son servidas por al menos 23 programas de certificación diferentes de organizaciones tales como la Sociedad Americana para la Seguridad Industrial, el Instituto de Seguridad Informática y la Sociedad Internacional para Profesionales en Comercio Electrónico. Además, el campo está lleno de definiciones conflictivas y requisitos en competencia.
Las universidades deben establecer un camino educativo más unificado para los estudiantes interesados en una carrera de seguridad cibernética, dice Kern, señalando: “No hay programas acreditados a nivel nacional o internacional que las universidades puedan adherirse y publicitar de una manera que un estudiante pueda decir, ‘Ahí es donde puedo obtener el tipo de educación que necesito para comenzar en la profesión de seguridad cibernética “.
APRENDER LA LENGUA
El informe de Pell ofrece recomendaciones para desarrollar una profesión de ciberseguridad más organizada, incluido el establecimiento de cuerpos claros de conocimiento y vías educativas para las 31 especialidades de la fuerza laboral.
“Realmente debe tener ese cuerpo de conocimiento, junto con algunos medios para evaluar si una persona entiende ese conocimiento y puede aplicarlo creativamente contra cualquier problema que enfrente una organización”, dice Spidalieri. “Ese es el lenguaje de una profesión”.
Hay muchos roles diferentes para completar la ciberseguridad, dice Gary McGraw, Miembro Senior de IEEE, director de tecnología de Cigital, una firma de seguridad de software en Dulles, Virginia, y voluntario de la Iniciativa de Ciberseguridad de IEEE.
“Cada rol debe tener su propia trayectoria de educación y experiencia”, dice McGraw. “Si piensa en la seguridad como en la medicina, necesita personal de emergencia, enfermeros, médicos, cirujanos de cerebro y todo lo que se encuentre en el medio”.
El programa de certificación de seguridad cibernética más grande, el Profesional Certificado en Seguridad de Sistemas de Información (CISSP), atendería a los médicos de emergencia, enfermeras y quizás a médicos, pero no ayudaría a los cirujanos de cerebro y otros especialistas, dice McGraw.
“Organizar un cuerpo común de conocimientos en cualquier área siempre es útil”, dice. “Una certificación CISSP solo garantiza que usted tenga un mínimo de conocimiento sobre una franja de ciberseguridad. Tu conocimiento puede ser amplio pero no muy profundo “.
Spidalieri y Kern también piden que cada especialidad desarrolle su propio código de ética, algo que falta actualmente. “Parte de lo que aprendemos en la ingeniería de estos sistemas correctamente es cómo intervenir”, dice McGraw. “Necesitas entrar en los sistemas y encontrar fallas de seguridad antes de que lo hagan los piratas informáticos”. De lo contrario, señala, algunos usarán esas mismas habilidades para propósitos nefarios … [1]
Notas al pie
[1] No hay un camino claro para los posibles especialistas en ciberseguridad