Ezinbesteko 5 gaitasun zibersegurtasuna zure lanbide bihurtzeko

Zibersegurtasunaren sektorearen gorakadak aukera profesionalak asko areagotu ditu, eta, "2020 (ISC)² Cybersecurity Workforce Study" azterketan azaltzen diren datuek adierazten dutenez, 2019tik merkatu horretako kontratazioa %25 hazi da mundu osoko 3.5 milioi profesionalentzako lan-aukerak eskainiz.

2020 (ISC)² Cybersecurity Workforce Study*

Aldiz, oraindik bide luzea dago egiteko prestakuntza espezializatuari dagokionez, besteak beste enpresetan (garapen profesionaleko barne-programen bidez) edo hezkuntzan (lanbide planen planteamenduan). Horretarako, iaz, ENISAkaditu-talde bat sortu zuen, zibersegurtasunari dagozkion gaitasunen Europako esparru komuna zehazteko.

Gure mundua esploratu eta etorkizuneko itxaropen berrietara zabaldu nahi izanez gero, NIST-eko (National Institute of Standards and Technology) Cybersecurity Frameworkean, lanbide desberdinek dituzten funtsezko 5 gaitasun identifikatzen dira. Horietako bakoitzak formakuntza zein esperientziei dagokienez, ibilbide oso ezberdin batetik eramango zaitu:

• Arriskuak gertatu aurretik identifikatzea Identifikazio horren barruan daude erakundeari enpresa-helburuak lortzea ahalbidetzen dioten datuen, langileen, gailuen, sistemen eta instalazioen xehetasun guztiak. Kategoria honetan, erantzukizun-mailaren arabera, funtzioak garatzen dira, konpainia baten arrisku-politikatik hasita (baita arriskuarekiko tolerantzia-mailatik ere) eta erakunde batean maila desberdinetan aplikatzen diren arte. Planifikaziorako, aurreikuspen-gaitasunetarako, analisirako eta xehetasunerako gaitasuna duen pertsona bazara, zibersegurtasuneko aholkularitza juridikoko profil teknikoekin, arriskuen aholkularitzarekin edo segurtasun-ikuskaritzarekin eta arauak betetzearekin bat egin dezakezu lan horretan.

• Gailuak eta sareak uneoro babestea. Informazioaren, sareen, gailuen... segurtasuna zaintzea sistemetarako edo sareetarako ingeniaritza batzuen berezko jarduerak dira. Kontua ez da irtenbide teknikoak mantentzea edo instalatzea soilik; babesa lortzeko, beharrezkoa da informazioa eskuratzeko maila guztiak kontrolatzea, ekipamenduei prestakuntza ematea, informazio-ihesak saihesteko, datuak, prozesuak eta prozedurak babestea (enpresaren arrisku-estrategiarekin bat etorriz), informazio horren osotasuna zaintzeko politikak ezartzea, etab. Pentsamendu egituratua, antolatzeko eta inbentariatzeko gaitasun onarekin, baliteke zurea zibersegurtasuneko arkitektura edo ingeniaritza bat izatea, edo sartze-testing-lanetarako edo komunikazioen segurtasunerako gaitasuna izatea.

• Mehatxuak detektatzea Horretarako ezinbestekoa da erasoei edo segurtasun-ihesei kalte egin baino lehen konturatzea eta horiek gelditzen jakitea. Detekzioaren barruan, ez gara ari ezagutzen ditugun "erasoez" soilik, antolakundean nolabait eragin dezaketen jarduera anomaloetaz baizik. Hain aldakorra den jarduera denez, garrantzitsua da, halaber, ezarritako segurtasun-neurriak etengabe monitorizatzea eta kontrolatzea, babes-maila une oro egiaztatzeko eta detekzio-protokolo batzuk ezartzeko eta mantentzeko. Zure burua analista gisa ikusten baduzu, gaitasun honen inguruan zure ibilbide profesionala aurkituko duzu: sistemen segurtasuneko analista, mehatxu edo ohartarazpenen analista, ahultasunen analista edo zibersegurtasunaren analista.

• Kaltea eginda dagoenean erantzutea.Jarduera askoz lehenago hasten da, gertaerei erantzuteko plan bat ezartzetik, garrantzi eta arrisku maila desberdinak kontuan hartuko dituena eta jarduteko jarraibide batzuk ezarriko dituena. Gainera, lan bateratua da, eta beste talde batzuekin harremanetan egotea eskatzen du, hala nola juristekin, stakeholderekin edo komunikazio-arloekin (gertaera batek marka batentzat izan dezakeen ospe-arriskuagatik). Puntu honetan, halaber, garrantzitsua da parte analitikoa, gertatutakoaren xehetasunak ezagutzeko eta etorkizuneko babesari begira segurtasuna hobetzeko. Polizia-taldeek asko garatzen duten gaitasuna da, delitu-jarduera kontrolatzen eta ikertzen baitute. Hori dela eta, ziberdelituen unitateen barruan, garapen profesional interesgarriak aurki ditzakezu ziberdelituen ikerketaren inguruan edo auzitegiko analista informatiko gisa. Aldiz, eremu zabala du enpresan. Gainera, herritarrek edo enpresa jakin batzuek jakinarazitako gertakarien kudeaketa jarduera profesionala da, eta enpresei zein zibersegurtasuneko zerbitzu publikoei eragiten dieten istripuei ematen zaien erantzunean sartzen da.

• Erasoren bat edo zaurgarritasunen bat jasan ondoren, informazioa, ekipoak eta gailuak berreskuratzeko, aurreko gaitasunen konbinazioa behar da, kaltearen irismena neurtu eta konpontzeko modurik onena aurkitzeko. Izan ere, ibilbide-orria oso antzekoa da: errekuperazioaren plangintza, azterketa eta ikaskuntzak, gertakaria berriro gerta ez dadin, eta tartean diren eragileekiko (enpresa hornitzaileak, biktimak, beste CSIRT batzuk, etab.) babesa eta komunikazioa hobetzeko. Zeharkako ikuspegi horretarantz eboluzionatzen dute aurrez aipatutako profilek: zibersegurtasunaren aholkularitza, zibersegurtasunaren arloko ikerketa edo, kudeaketa-eskala handiagoan, zibersegurtasunaren arloko zuzendaritza, gerentzia edo zibersegurtasun-proiektuak.

Argi ikusten baduzu zer egin nahiko zenukeen, BCSCtik webinars eta berariazko jarduerak eskaintzen dizkizugu, etorkizuneko zibersegurtasun-plana sor dezazun. Europako Batzordeak abian jarri duen gaitasun digitalen eta enpleguaren plataforma bisitatzea ere proposatzen dizugu. Zer prestakuntza-unetan zauden eta zer bidetara jo nahi duzun, horren arabera aurkituko dituzu zibersegurtasunaren arloko dokumentazioa, prestakuntza, MOOCak eta lan-aukerak.