Segurilatam 023

/ Tercer cuatrimestre 2022 54 artículo técnico Ciberseguridad en infraestructuras críticas E xplicar el concepto de in- fraestructura crítica en esta instancia quizás adolezca de sentido práctico. Sin em- bargo, preguntarnos por qué la mayoría de los profesionales cree que las infraes- tructuras críticas de Hispanoamérica se ven desprotegidas puede ser mucho más interesante de analizar. Problemática actual En cualquier conferencia de cibersegu- ridad, durante las numerosas reuniones informales que uno mantiene ( networ- king ), es inevitable conversar sobre este tema, ya que la mayoría de los ciudada- nos que tienen conocimiento sospecha que realmente sus países hacen poco por protegerlas. También es común que, al analizar rápidamente los motivos que llevan a dichas conclusiones, se lleguen a los siguientes puntos clave: Pocos profesionales afectados al sec- tor y, por lo general, muy mal pagados. Falta de existencia de entidades de monitorización y control, respuesta a incidentes, etc., específicos para el sector. Falta de inversión en equipamiento tanto de hardware como de software . Poca colaboración público-privada real. Esto resume la poca iniciativa de polí- ticas públicas acordes a las necesidades actuales de la situación. Muchos podrán no estar de acuerdo y dirán que no es exactamente igual en cada uno de los países. Y tal vez tengan razón. Pero tam- bién es claro que la falta de inversión se puede ver en la poca cantidad de recur- sos dedicados realmente a la protección de estas infraestructuras. Una simple pregunta nos da una primera imagen: ¿cuántos CERT relacionados con infraes- tructuras críticas en Hispanoamérica co- noce funcionando? Segmentemos un poco los cuatro puntos en cuestión que disparan este artículo y veamos algunos detalles. Profesionales y sueldos En general, cuando hablamos de profe- sionales de ciberseguridad, seguridad informática o seguridad de la informa- ción solemos escuchar que faltan pro- fesionales y hay infinidad de artículos hablando de ello. En paralelo, hay otra discusión que refiere a si realmente fal- tan o si lo que falta es que se les pague adecuadamente. Quizás ambas miradas son ciertas, porque si prestamos atención a una situación normal como la publicación de una oferta laboral por parte de una organización, el resultado será que no tendrá cientos de CV de profesionales de ciberseguridad sin trabajo que están buscando un cargo para sobrevivir. Por el contrario, recibirá solicitudes de pro- fesionales que actualmente están tra- bajando en otra organización y quieren buscar un salto en su vida. Es decir, que no hay profesionales ociosos y que el di- nero es un factor que mueve mucho el mercado laboral en este campo. Normalmente, en aquellos cargos que suelen estar relacionados a las funcio- nes de tipo CERT nacionales para las infraestructuras críticas, los sueldos no siguen lo que sucede en el mercado y suelen estar por debajo. Ello provoca que, mayormente, esos cargos sean ocupados por juniors que desean encon- trar un lugar y que, cuando adquieren un poco de experiencia para pasar a un rol más sénior, se presenten a una búsque- da en el sector privado y se muevan por mucho más dinero del que obtienen en la actualidad. Monitorización, control… Algunos países de Hispanoamérica desean copiar el modelo utilizado en lugares como EEUU, donde las organi- zaciones que son consideradas infraes- tructuras críticas notifican oficialmente un incidente. Pero en la mayoría de los casos no toman nota de dos factores Infraestructuras críticas: qué mejorar en su ciberseguridad en Hispanoamérica C laudio C aracciolo R esponsable de P lataformas , I nnovación y T alento del C entro de C iberseguridad I ndustrial (CCI)