En Reino Unido en 2020, cuatro de cada cinco recibieron una contraoferta de su empresa, segĆŗn un estudio de Trident Search
Dos de cada tres profesionales de ciberseguridad buscan cambiar de trabajo por un mayor crecimiento profesional o flexibilidad laboral
El teletrabajo ha impulsado, aĆŗn mĆ”s, la bĆŗsqueda de mejores condiciones laborales fuera de EspaƱa, debido al mayor salario que se suele ofrecer a perfiles tecnológicos en paĆses como Estados Unidos o Reino Unido. Para conocer quĆ© se paga en el sector de ciberseguridad en el paĆs britĆ”nico, tras salir de la UE, la consultora Trident Search, especializada en reclutar especialistas, preguntó en enero de 2021 a 450 profesionales sobre los rangos salariales de los roles mĆ”s demandados allĆ. Su objetivo es ofrecer una visión de cuĆ”l es el coste de un perfil en ciberseguridad, asĆ como quĆ© bonificaciones se suelen ofrecer y quĆ© mecanismos pueden usar las propias empresas para retener a los profesionales de mayor valor en un mercado, como es el de ciberprotección, con mĆ”s de tres millones de puestos sin cubrir, segĆŗn la asociación (ISC)2. En definitiva, se trata de que los profesionales tengan claro, por un lado, āsi una empresa paga correctamente a sus empleados o si deberĆa compensarles de alguna formaā o, simplemente, āque tengan claro si su sueldo se ajusta al mercadoā.
(ISC)2 considera que hay que huir de buscar candidatos y profesionales āAll Starā y apostar por equipos cohesionados
Las empresas son muy poco realistas a la hora de establecer los requisitos de los puestos que quieren cubrir, resultando frustrante para los candidatos
āCrear un equipo de ciberseguridad sólido es un gran desafĆo para cualquier organización; el talento escasea āse estima un dĆ©ficit de 3,1 millones de profesionales en todo el mundoā y muchas organizaciones continĆŗan repitiendo los errores de concentrar su tiempo y energĆa en perseguir y competir por unos pocos āAll Starsā de ciberseguridad en lugar de desarrollar estratĆ©gicamente sus equipos en todos los niveles de habilidad para crear una inversión sostenible a largo plazo en este campo. AsĆ lo ve el Consorcio internacional de Certificación de Seguridad de Sistemas de Información (ISC)2 que ha elaborado un informe titulado āConstruir con flexibilidad: equipos de seguridad cibernĆ©tica. El estudio de aspirantes a trabajar en ciberseguridadā. En Ć©l, lamenta que se hacen pocos esfuerzos con acierto para ampliar la fuerza laboral y, los que hay, no logran grandes resultados. āPara muchos profesionales de ciberseguridad es una frustración de la que se habla, que demasiadas empresas tienen expectativas poco realistas para los puestos que estĆ”n tratando de cubrirā. Ello se plasma en ofertas de trabajo que āsobrecarganā los requisitos que se precisa de forma poco realista, sobre todo, para puestos en los que precisan de profesionales que acaban de terminar sus estudios o, incluso, estĆ”n a mitad de ellos.
El Informe Anual de Seguridad Nacional 2020 del DSN dedica un amplio apartado a la protección cibernética en España
La ciberseguridad, en la āzona de peligroā como uno de los tres grandes riesgos junto a las pandemias y la inestabilidad económica y financiera
El Consejo de Seguridad Nacional publicó en mayo su Informe Anual de 2020, en el que han colaborado todos los departamentos ministeriales y el Centro Nacional de Inteligencia, bajo la coordinación del Departamento de Seguridad Nacional (DSN), de la Presidencia del Gobierno. Esta edición describe las amenazas y los desafĆos que nos han marcado a lo largo del aƱo precedente, asĆ como las medidas adoptadas para hacerles frente. No falta asĆ un amplio capĆtulo dedicado a los incidentes cibernĆ©ticos de los que ādestaca el aumentoā, sobre todo, contra ālas infraestructuras crĆticas del sector saludā. De hecho, recuerda que el aƱo pasado el Centro Criptológico Nacional gestionó un total de 82.530 incidentes, de los que el 8,47% tuvieron una peligrosidad muy alta o crĆtica; el CERT del Incibe registró 133.155 y el ESDEF-CERT, del Mando Conjunto del Ciberespacio (MCCE) detectó 713 ciberincidentes en redes y sistemas del Ministerio de Defensa, habiendo sido la gran mayorĆa ataques web sin impacto notable.
Se verifica su nivel de seguridad simplemente firmando un contrato, segĆŗn un estudio de Ponemon Institute
La falta de inventario de terceros y de sistemas de gestión de acceso remoto privilegiado, goteras de un riesgo mal afrontado
El cibercrimen cada vez fija mĆ”s su objetivo en los proveedores que dan servicio de decenas de compaƱĆas, por las posibilidades que ofrece, como se vio en el incidente de SolarWinds en 2020. La superficie de ataque estĆ” creciendo tan rĆ”pido que el 59% de los participantes en el informe āUna crisis en la seguridad de acceso remoto de tercerosā, de SecureLink y el Instituto Ponemon, con casi 700 profesionales encuestados, confiesan abiertamente que su nivel de ciberseguridad es bajo respecto a sus proveedores. āBrindar acceso remoto a terceros sin implementar las salvaguardas de seguridad apropiadas casi garantiza sufrir un incidente de seguridad o una violación de datosā, alerta el Presidente del Ponemon Institute, Larry Ponemon, a la luz de la información recabada y de incidentes como los vividos en los Ćŗltimos aƱos por Marriott, Under Armour, GE o redes sociales como Instagram, YouTube y TikTok.
Su uso, no obstante, se va extendiendo y la mitad de las compaƱĆas a nivel mundial cuentan con una estrategia de cifrado, segĆŗn Entrust
Sólo tres de cada 10 empresas espaƱolas aplican el cifrado para proteger la información de sus clientes y los datos mĆ”s crĆticos
El cifrado es unos de los elementos fundamentales de la ciberseguridad para preservar la inviolabilidad de los datos mĆ”s sensibles. Su uso ha ido aumentando en los Ćŗltimos aƱos, pero todavĆa sigue siendo un gran reto para muchas empresas, especialmente, porque la protección de los datos nunca habĆa sido tan compleja, existiendo una gran disparidad entre las necesidades reales del negocio y las estrategias que se aplican. De hecho, en EspaƱa, un 77% de las organizaciones afirma que la protección de la información de sus clientes es el principal motivo a la hora de cifrar información, sin embargo, tan solo un 27% lo hace. AsĆ se desprende del āEstudio Global de Tendencias de Cifrado 2021ā, publicado por Entrust y realizado por el Instituto Ponemon, recabando la opinión de 6.600 profesionales de TI en 17 paĆses.
SegĆŗn FireEye, crece el malware como servicio y las amenazas que usan herramientas del SOC para ser indetectables
El tiempo de detección de intrusión se redujo a 24 dĆas en 2020 pero los ataques cada vez son mĆ”s āaudacesā
Desde hace mĆ”s de una dĆ©cada, la multinacional FireEye, a travĆ©s de su compaƱĆa Mandiant, ofrece un completo informe analizando las principales amenazas del aƱo precedente y las tendencias para el actual. En su Ćŗltimo āM-Trendsā el incremento de ataques con la āproliferación de extorsión multifacĆ©ticaā y, sobre todo, de ransomware, ha pasado de estar en un 14% de los incidentes estudiados en 2019, al 25% en 2020, segĆŗn explicó en rueda de prensa para EspaƱa el Consulting SE de la compaƱĆa en Iberia, Jonathan Rendal. Este experto destacó el gran nĆŗmero de nuevos actores de amenaza (mĆ”s de 650), ademĆ”s de la gran sofisticación de grupos como FIN11, centrado en el sector bancario, o UNC2452 / Sunburst, responsable del ataque a la cadena de suministro de SolarWinds, usando herramientas y tĆ©cnicas que emplean los Centros de Operaciones de Seguridad y los Red Team, que hacen muy compleja su detección.
Este tipo de programas ha pasado de ser una parte mÔs del cumplimiento a un objetivo estratégico, según SANS
La realidad insta a evolucionar del concepto de āconcienciación en ciberseguridadā al de āgestión del riesgo humanoā para ganar en protección
āLa ciberseguridad ya no es solo tecnologĆa, sino personas; ahora la clave es la gestión del riesgo humanoā. AsĆ de contundente se muestra el Director de Sensibilización sobre Seguridad del Instituto Sans, Lance Spitzner, coautor de la sexta edición del informe `Security Awareness Reportā que publica anualmente la organización. Se trata de una investigación en la que se ha preguntado a mĆ”s de 1.500 profesionales de casi un centenar de paĆses, tambiĆ©n EspaƱa, sobre los esfuerzos que estĆ”n acometiendo para ciberconcienciar a los empleados. Una investigación en la que el Instituto se ha querido centrar en lo que considera el āmayor peligro para las organizacionesā: las personas por su exposición a ataques de suplantación (phishing), robo de credenciales o acceso a la información crĆtica de las empresas a travĆ©s de cuentas mal configuradas en la nube. Precisamente, Spitzner recuerda que, frente a la tasa media de clics en correos-e maliciosos, que ronda el 30% de las empresas que no invierten en concienciación, estĆ”n las que sĆ lo hacen y que consiguen, en sólo un aƱo, reducir esa cantidad a un 2%. Por ello, Sans destaca que ālos programas de concientización sobre seguridad son una de las formas mĆ”s efectivas de administrar el riesgo humanoā e, incluso, considera que la madurez en ciberprotección de una empresa āse define por la cantidad de personas que reciben capacitación en protección digitalā, mĆ”s allĆ” de que sea algo impuesto por los departamentos de cumplimiento normativo.