Por Franck C., consultor de ciberseguridad
Franck, ¿puedes contarnos tu trayectoria? ¿Siempre has trabajado en el sector cibernético?
Empecé en el mundo de la informática hace algo más de 10 años, en 2008, primero como técnico de operaciones informáticas en el periódico La Provence. Tras obtener mi DUT en Redes y Telecomunicaciones, continué mis estudios con una Licenciatura Profesional en Administración y Seguridad de Redes Empresariales.
Me incorporé a la división de Redes y Telecomunicaciones de EDF. Dentro de mi equipo, me encargaba de gestionar las infraestructuras de red y la seguridad de numerosas instalaciones del sector terciario en la costa mediterránea. Esto incluía los centros de atención telefónica, pero también las centrales nucleares e hidroeléctricas del sur de Francia.
Continué mi formación en alternancia con EDF para obtener mi título de gestor en ingeniería informática. Durante esos cuatro años en EDF, desempeñé diversas funciones, desde operador de red N2/N3 hasta arquitecto e integrador de redes y seguridad, pasando también por puestos de jefe de proyecto.
Dado que mi perfil es principalmente técnico y operativo, decidí incorporarme a Telindus (actualmente adquirida por SFR) como consultor de redes, seguridad y centros de datos.
Quería especializarme en Seguridad de los Sistemas de Información, centrándome más en los aspectos relacionados con la GRC (Gobernanza, Riesgo y Cumplimiento), pero, como sigo sintiendo una gran pasión por la parte técnica, decidí dar un último pequeño giro de un año hacia el ámbito operativo como ingeniero de seguridad de nivel 3, con el fin de seguir comprendiendo los retos y las limitaciones propios del mundo técnico.
¿Cuándo comenzó la aventura de Squad?
Hace dos años me incorporé a Squad, lo que me permitió acercarme al sector de la defensa, que me apasiona profundamente. Dado que desempeño una doble función, tanto técnica como organizativa, es difícil decir si siempre he estado en el ámbito de la ciberseguridad. Por mi parte, considero que sí.
Mientras que los reclutadores piensan únicamente en la GRC cuando hablan de ciberseguridad, centrándose en las definiciones oficiales del término y en las actividades relacionadas con la ciberseguridad, uno se da cuenta de que el ámbito es mucho más amplio y no se limita únicamente a los aspectos estratégicos de la seguridad de la información.
En la práctica, la ciberseguridad abarca las actividades relacionadas con la protección, la defensa y la resiliencia de las operaciones y la información digitales.
También observo que se habla con mucha más facilidad de «cibernética» cuando entran en juego cuestiones relacionadas con la protección de los Estados, las personas y la soberanía nacional.
Por lo tanto, el aspecto estratégico y de gestión de riesgos de ciberseguridad (GRC) no es más que una pequeña parte de la ciberseguridad. En 2010, mi primera misión «importante» consistió en diseñar, crear un prototipo e integrar una infraestructura de red y seguridad que permitiera implementar controles de acceso físico en zonas sensibles, por lo que resulta difícil no ver en ello aspectos «cibernéticos».
Hay quien dirá que no es así. Yo creo que se trata de un error y que, lamentablemente, refleja un desconocimiento del panorama general de las actividades relacionadas con la ciberseguridad, acentuado sobre todo por el bombo mediático que rodea a este tema. En el fondo, la seguridad informática, la seguridad de los sistemas de información y la ciberseguridad son exactamente lo mismo, solo que vistas desde una perspectiva diferente.
¿Qué certificaciones tienes y cómo te ha ayudado Squad a conseguirlas?
Empecé mi carrera orientándome hacia certificaciones técnicas, primero la CCNA de Cisco y luego la CSNA de Stormshield. Al pasar a temas más estratégicos, opté por la certificación ISO 27001 Lead Auditor, que es una excelente introducción a estos temas.
Desde que me incorporé a Squad, he obtenido dos certificaciones y una cualificación. En primer lugar, la cualificación PASSI (Proveedor de Auditorías de Seguridad de los Sistemas de Información), en los ámbitos de auditorías organizativas y físicas, arquitectura y responsable de auditoría.
También he contribuido de manera significativa a la formalización y la implementación de la Estructura de Auditoría Interna para nuestros clientes, basándome en la norma ISO 19011, lo que ha permitido que Squad obtenga la certificación PASSI como empresa.
Una vez completada mi formación en materia de gobernanza (ISO 27001) y cumplimiento normativo (PASSI), solo me quedaba abordar los riesgos del tríptico GRC. Gracias a Squad, lo he conseguido este verano con la formación «ISO 27005 Risk Manager», impartida por HS2.
¿Has tenido otras oportunidades? ¿Te has formado por tu cuenta?
He participado en un curso introductorio (sin certificación) impartido internamente en EBIOS RM, lo que me permite, sin pretender ser un experto en la materia, tener una visión general de los retos estratégicos en materia de ciberseguridad (el famoso GRC).
Para afianzar aún más esta visión general, Squad también me permitió formarme por mi cuenta en Udemy y financiar la obtención de la certificación CISSP (Certified Information System Security Professional): una especie de santo grial que acredita un nivel de competencias bastante elevado en todo el ámbito de la ciberseguridad.
Teniendo siempre presente mi deseo de mantener mi versatilidad y de ser capaz de comprender tanto los aspectos organizativos como los técnicos, ahora me estoy orientando hacia la certificación CEH (Certified Ethical Hacker).
Mi objetivo no es convertirme en pentester, sino simplemente poder comprender mejor a los atacantes, para así analizar, organizar y preparar mejor la defensa de los sistemas de información.
Leer también ⤵
