SANS ofrece formación en siete áreas curriculares: Ciberdefensa, OSINT, Operaciones Ofensivas, Forense Digital y Respuesta a Incidentes, Seguridad ICS y OT, Seguridad en la Nube y Seguridad de Liderazgo. Con 85 cursos actualmente en el mercado, también ofrecemos certificaciones GIAC, un estándar adoptado internacionalmente para validar las competencias en ciberseguridad.

SANS ha trabajado estrechamente con ENISA durante los últimos años para mapear su formación y certificaciones en relación con el nuevo Marco Europeo de Competencias en Ciberseguridad (ECSF). Como es sabido, ECSF es una herramienta práctica para apoyar la identificación y articulación de tareas, competencias, habilidades y conocimientos asociados a los roles de los profesionales europeos de la ciberseguridad, la cual define 12 roles y proporciona un estándar de funciones relevantes dentro de la ciberseguridad para que todo el mundo hable el mismo idioma.

Este marco, en combinación con la certificación, será de gran ayuda para las organizaciones que necesiten cumplir con NIS2. Las organizaciones que entran en el ámbito de aplicación de NIS2 deben elaborar un informe anual sobre su postura de seguridad para ENISA o su autoridad local; las certificaciones validan los conocimientos necesarios para figurar en el informe. No es diferente de lo que ocurre con médicos, abogados o incluso cuando uno se saca el carné de conducir. Es una forma de demostrar de lo que se es capaz.

Validación de competencias

NIS2 tiene cuatro áreas generales: gestión de riesgos, responsabilidad corporativa, información y continuidad de la actividad. Las organizaciones deben cumplir diez medidas.

La nueva directiva sube el listón para las organizaciones, especialmente aquellas con recursos y capacidades limitados. No sólo la responsabilidad de la junta directiva exige conocimientos ampliados de sus miembros, sino que, además, en toda la organización deben mejorar las habilidades y capacidades en relación con las cuatro áreas generales. El trabajo de SANS en la asignación de todos sus cursos y certificaciones al ECSF proporciona a los equipos de dirección un mapa muy claro de cómo desarrollar las capacidades de su organización para cumplir con la directiva. Además, aquí es donde entran en juego las certificaciones GIAC de SANS, para validar las habilidades y capacidades dentro de una organización para demostrar que cumplen las medidas clave sobre gestión de riesgos, planificación de incidentes, etc.

Habilidades prácticas

La educación y la información parecen ser la clave. Aquí es donde SANS puede ayudar a las organizaciones proporcionándoles el itinerario de aprendizaje, los cursos y las certificaciones adecuados, así como un completo centro de recursos y colaborando estrechamente con ENISA. SANS dispone de vastos recursos, no sólo en términos de capacidades de formación y desarrollo y las certificaciones GIAC, que es un enfoque muy diferente al de otros proveedores, ya que está muy orientado a los profesionales. No nos limitamos a repasar la teoría, sino que además proporcionamos a los equipos habilidades prácticas para que las apliquen en sus organizaciones. Se llevan todas las mejores prácticas y lo aprendido en nuestros cursos de formación y pueden aplicarlo en sus propios entornos. Ese es el impacto y el valor que aporta SANS. Y GIAC pone a prueba las capacidades de los alumnos, lo que valida a las organizaciones al disponer de esos GIAC para que los reguladores demuestren sus capacidades internas.

Intercambio de información en la UE

Otro de los puntos principales de la directiva NIS2 es el intercambio de información. Al respecto, la UE está creando un centro de colaboración. La idea es que, si los ciberincidentes afectan a los ciudadanos, también lo hacen a los países a la hora de mantenerse protegidos. Así que los 27 Estados miembros de la UE quieren asociarse y es aquí es donde entra en juego NIS2, que trata de formalizar el intercambio de información y el aprendizaje, centrándose sobre todo en algunos de los mercados más grandes, para compartir las mejores prácticas con otros Estados que probablemente no estén tan maduros ni cuenten con tantos recursos.

Buenas prácticas

Es muy difícil para las organizaciones comprender sus capacidades internas y cómo pueden demostrarlas a los reguladores para indicar cómo están cumpliendo la legislación necesaria, ya sea la NIS2 o cualquier otra. Además de formación, SANS también proporciona activos mucho más amplios, sobre todo en temas como la realización de ciberejercicios ejecutivos para ayudar a poner a prueba las capacidades e identificar los puntos fuertes y débiles y ayudar a mejorar y perfeccionar el plan de respuesta a incidentes o a crear un programa de concienciación sobre seguridad. Todo vuelve a los marcos, a la creación de itinerarios de aprendizaje y a la comprobación efectiva de capacidades y planes de respuesta. No se trata de un ejercicio puntual. Las organizaciones deben seguir poniendo a prueba sus capacidades, y esa responsabilidad recae en la dirección.

Para más información y recursos de SANS Institute relacionados con NIS2 visite: https://www. sans.org/mlp/nis2

Para más información de próximos eventos de formación de SANS en España visite: https:// www.sans.org/cyber-security-training-events/ madrid-june-2024