Blog del CCI

lunes, 24 de febrero de 2014

Be NICE

Hace poco tuve la oportunidad de participar en un taller para definir los contenidos de una certificación internacional de ciberseguridad. Cuando menos, esta es una labor compleja debido a la extensión que tiene esta materia y lo interrelacionados que están muchos conceptos dentro de ella. Por tanto, tenía curiosidad por saber de qué manera se abordaría para lograr completitud en los contenidos y evitar duplicación de esfuerzos.

The answer was NICE. Y realmente fue una agradable sorpresa.

NICE son las iniciales de National Inititiative for Cybersecurity Education. Cuatro palabras que desgraciadamente causa extrañeza ver juntas y que son otro ejemplo del proverbial retraso que tenemos en matería de ciberseguridad con países como Estados Unidos. El objetivo de NICE es establecer un programa de educación en ciberseguridad que permita formar, sacar al mercado laboral, desarrollar y retener a profesionales de ciberseguridad altamente cualificados. La existencia de esta iniciativa demuestra el compromiso de una administración pública por una materia realmente importante a la vez que facilita que las propias administraciones públicas, las empresas y los centros de formación de profesionales pisen un terreno común, evitando los vacíos de conocimiento y generando descripciones más precisas de las características que deben tener los profesionales de ciberseguridad que realmente necesita la industrial.

NICE, además, es una herramienta valiosísima para desarrollar contenidos en ciberseguridad de manera sistemática y completa, sirviendo de guía en el extenso territorio de la ciberseguridad. La manera que NICE tiene de proporcionar un mapa de los contenidos de ciberseguridad es realizar una aproximación en distintos niveles.
En el nivel más superior  define siete categorías que describen los diferentes trabajos que se pueden desarrollar en ciberseguridad:
  • Provisión segura: conceptualización, diseño y construcción de sistemas TI seguros
  • Operación y mantenimiento: apoyo, administración y mantenimiento para garantizar la seguridad y la operación efectiva y eficiente de los sistemas
  • Protección y defensa: identificación, análisis y mitigación de amenazas a los sistemas y redes TI
  • Investigación: investigación de ciber incidentes y/o delitos informáticos
  • Operación y recolección: recolección de información de ciberseguridad para desarrollo de inteligencia
  • Análisis: revisiones altamente especializadas y evaluación de la información recibida para determinar su utilidad
  • Soporte: Soporte a otros trabajadores implicados en trabajos informáticos.
Dentro de las categorías se reparten 31 áreas de especialidad y en cada una de ellas se definen los conocimientos y capacidades requeridos por el profesional en cada área.

De esta manera, se logra una cobertura completa de todos los ámbitos de la ciberseguridad, las relaciones y solapamientos existentes entre ellas y facilita la utilización eficiente de los recursos existentes, sea a la hora de contratar un equipo de profesionales de ciberseguridad, o, como comentaba al principio del post, durante el desarrollo de los contenidos de una certificación. En este caso el uso de NICE facilitó el éxito del taller permitiendo, en el curso de un fin de semana, elaborar, con un nivel de detalle que a priori yo no hubiese creído, los conocimientos requeridos por un profesional que se acerque al mundo de la ciberseguridad.

Todos los estudios de mercado coinciden en que la demanda de profesionales de ciberseguridad seguirá creciendo, durante los próximos años, en todo el mundo. Iniciativas como NICE permiten afrontar esa demanda de manera adecuada. Sin embargo, en España todavía estamos lejos de esto, aunque iniciativas como la propuesta por INAP y CCN para desarrollar un Esquema Nacional de Certificación de Profesionales en Ciberseguridad apuntan al optimismo en este ámbito.

Referencias:
http://csrc.nist.gov/nice/framework/ 
https://www.ccn-cert.cni.es/comunicados/NP2-Certificado-Personas-CCN-INAP.pdf