Vista previa del material en texto
I TRABAJO DE GRADO PROPUESTA DE ORIENTACIÓN EN CIBERSEGURIDAD PARA LA FORMACIÓN DE LOS ESTUDIANTES DE MEDIA TÉCNICA ESPECIALIZADA DEL COLEGIO OEA I.E.D BASADO EN EL MARCO NIST SP800-181 ESTEVEN ANDRES GUAYARA MURILLO EDWIN FERNANDO MOYANO MURCIA UNIVERSIDAD CATÓLICA DE COLOMBIA FACULTAD DE INGENIERÍA PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN BOGOTÁ D.C 2022 II TRABAJO DE GRADO PROPUESTA DE ORIENTACIÓN EN CIBERSEGURIDAD PARA LA FORMACIÓN DE LOS ESTUDIANTES DE MEDIA TÉCNICA ESPECIALIZADA DEL COLEGIO OEA I.E.D BASADO EN EL MARCO NIST SP800-181 ESTEVEN ANDRES GUAYARA MURILLO EDWIN FERNANDO MOYANO MURCIA Trabajo de grado presentado para optar al título de Especialista en Seguridad de la Información Docente DIEGO OSORIO REINA Magister en Seguridad de las Tecnologías de la Información y las Comunicaciones UNIVERSIDAD CATÓLICA DE COLOMBIA FACULTAD DE INGENIERÍA PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN BOGOTÁ D.C 2022 III IV CONTENIDO Pág. 1. Introducción 1 2. Generalidades 2 2.1. Línea de investigación 2 2.2. Planteamiento del problema 2 2.2.1. Antecedentes del problema 4 2.2.2. Pregunta de investigación 8 2.2.3. Variables del problema 8 2.3. Justificación 8 3. Objetivos 10 3.1. Objetivo general 10 3.2. Objetivos específicos 10 4. Marcos de referencia 11 4.1. Marco conceptual 11 4.2. Marco teórico 15 4.3. Marco jurídico 20 5. Metodología 22 5.1. Fases del trabajo de grado 22 5.2. Instrumentos o herramientas utilizadas 23 5.3. Población y muestra 23 5.4. Alcances y limitaciones 23 6. Productos a entregar 24 7. Entrega de resultados e impactos 25 7.1. Caracterización de la institución 25 7.2. Presentación sobre ciberseguridad a los estudiantes 27 7.3. Estado del mercado laboral 31 7.4. Análisis del marco de referencia y encaminamiento dentro del mismo 34 7.5. Articulación y socialización de la propuesta 40 8. Nuevas áreas de estudio 42 9. Conclusiones 43 10. Bibliografía 44 11. Apéndices 49 11.1. Documento entregado a la institución 49 11.2. Formato de entrega y acuerdos 63 11.3. Diapositivas 64 11.4. Formato cuestionario 70 V LISTA DE TABLAS Pág. Tabla 1 Definición Ciberataques Comunes. 13 Tabla 2 Resumen Del Plan De Acción Conpes 3995. 16 Tabla 3 Asignaturas Técnico En Sistemas E Informática Empresarial. 25 Tabla 4 Descripción Y Contenido De Asignaturas Programa Técnico. 26 Tabla 5 Planes De Carrera En Ciberseguridad En La Compañía. 32 Tabla 6 Rol Especialista En Soporte Técnico. 35 Tabla 7 Comparativo Entre Rol Inicial Y Roles Intermedios. 36 Tabla 8 Rol Especialista En Operaciones De Red. 37 Tabla 9 Rol Desarrollador De Software. 37 Tabla 10 Comparativo Entre Roles Intermedios Y Rol Final. 38 Tabla 11 Rol Analista De Seguridad De Sistemas. 39 VI LISTA DE FIGURAS Pág. Figura 1 Brecha A Nivel Mundial En Profesionales De Ciberseguridad. 3 Figura 2 Indicadores Colombia Estudio Cosi. 5 Figura 3 Calificación Ranking National Cibersecurity Index Para Colombia. 6 Figura 4 Calificación Ranking Global Cibersecurity Index Para Colombia. 7 Figura 5 Visión De La Seguridad Informática Y Seguridad De La Información. 12 Figura 6 Relación Entre Componentes Del Marco Nice. 18 Figura 7 Metodología A Usar. Fuente: Elaboración Propia. 22 Figura 8 Respuestas Pregunta 1 Cuestionario. 28 Figura 9 Respuestas Pregunta 2 Cuestionario. 29 Figura 10 Respuestas Pregunta 3 Cuestionario. 29 Figura 11 Respuestas Pregunta 4 Cuestionario. 29 Figura 12 Respuestas Pregunta 5 Cuestionario. 30 Figura 13 Respuestas Pregunta 6 Cuestionario. 30 Figura 14 Respuestas Pregunta 7 Cuestionario. 30 Figura 15 Encaminamiento General Elegido Dentro Del Marco Nice. 35 Figura 16 Encaminamiento De Salida Elegido Dentro Del Marco Nice. 38 Figura 17 Roles Posteriores Sugeridos Como Profundización En Ciberseguridad Marco Nice. 40 VII GLOSARIO ACLs: Lista de control de acceso, controla y filtra el tráfico en una red. Backup: Copia de seguridad de archivos. BBDD: Bases de datos. Blue team: Equipo encargado del rol defensivo en ciberseguridad CHCs: Conocimientos, habilidades y capacidades Ciberataque: Acciones ilegítimas dirigidas contra sistemas de información DNS: Sistema de nombres de dominios, resuelve dominios en direcciones. DHCP: Protocolo de configuración dinámica de host, brinda configuración de red. KSAs: Knowledges, skills and abilities (Conocimientos, habilidades y capacidades) Firewall: Sistema que protege de accesos o conexiones no autorizadas. I.E.D.: Institución de educación distrital. IoT: Internet de las cosas ISO: Organización internacional de estándares. MITM: Hombre en el medio, ataque donde se intercepta una comunicación. MTE: Media técnica especializada, eje del colegio OEA I.E.D. NICE: Iniciativa nacional para la educación en ciberseguridad. NIST: Instituto nacional de estándares y tecnología de Estados Unidos. Nube: Modelo de servicios TI tercerizados accesibles de forma remota por internet. OWASP: Proyecto abierto de seguridad de aplicaciones web. Red team: Equipo encargado del rol ofensivo en la ciberseguridad. Router: Hardware de capa 3 que interconecta redes, gestiona paquetes. SED: Secretaría de educación del distrito. SO: Sistemas operativos. SP: Publicación especial de la NIST. Switch: Hardware de capa 2 que interconecta dispositivos, gestiona tramas. TIC: Tecnologías de la información y las comunicaciones. VPN: Red privada virtual, conexión protegida a través de redes públicas inseguras. VIII RESUMEN Este trabajo presenta una hoja de ruta en formación de conocimientos, habilidades y capacidades en ciberseguridad a través de 4 roles actuales del mercado laboral, con el fin de que sea un insumo para la creación de planes de estudio y currículos. En este sentido, se tiene en cuenta el enfoque con el cual la institución prepara a los estudiantes del programa técnico y se toma como referencia la iniciativa nacional para la educación en ciberseguridad o marco NICE publicada por la NIST. PALABRAS CLAVE: Educación, Formación, Ciberseguridad, Conocimientos, Habilidades, Capacidades, Funciones Laborales, Roles, Tareas, Media Técnica, Estudiantes. 1 1. INTRODUCCIÓN Con la digitalización de todos los sectores económicos y la interconexión entre ellos, aumentan las amenazas día a día que ponen en riesgo la seguridad de la información. Es por ello que se ha hecho imprescindible para las organizaciones tener medidas técnicas, de gestión de riesgos, de recuperación de desastres, políticas y capacitación del personal, entre otras. Sin embargo, una problemática es el déficit de profesionales en ciberseguridad a nivel global, y que, en el país, a pesar de haberse priorizado la debilidad en la oferta- cobertura de capacitación en ciberseguridad, adoptado un enfoque basado en la gestión de riesgos tanto en entidades como ciudadanos y fortalecido la legislación, es insuficiente para cubrir la constante brecha de personal preparado ante las crecientes amenazas. Además, en educación formal, la ciberseguridad y la seguridad de la información aún están relegadas a etapas académicas avanzadas con cursos optativos, certificaciones y posgrados. Por ello, este proyecto quiere, desde una etapa temprana en la que los adolescentes de grados 10° y 11° están en plena construcción de su proyecto profesional, aprovechar la oportunidad que tienen de estar cursando un programa técnico de TI en la institución para brindarles una perspectiva del mundo TI y el papel de la ciberseguridad, y segundo, de suministrarles a los docentes una orientación para la enseñanza de conocimientos pertinentes a las funciones delmercado laboral actual. Las herramientas usadas incluyen charlas informativas, encuestas para determinar conocimientos y preferencias, y el marco de referencia NICE en el que se basará la propuesta. 2 2. GENERALIDADES 2.1. LÍNEA DE INVESTIGACIÓN La línea de investigación institucional relacionada al desarrollo de este documento corresponde a la de software inteligente y convergencia tecnológica. Lo anterior dado a: primero, convergencia tecnológica, por la naturaleza de la información objeto de estudio, siendo el ámbito de aplicación relacionado directamente a los medios tecnológicos en el almacenamiento, procesamiento y tratamiento de datos desde una adecuada gestión de la seguridad; y segundo, a la plataforma y software, usado como medio de desarrollo y divulgación de la investigación. 2.2. PLANTEAMIENTO DEL PROBLEMA La masificación de los sistemas informáticos y del uso de internet en todos los sectores económicos se ha acentuado en los últimos años, y más aún con la pandemia. Moises Shwartz, gerente de instituciones para el desarrollo del BID, en el reporte de ciberseguridad publicado por esa entidad en el 2020, hace una precisión sobre esta dependencia de infraestructura tecnológica creciente: Nuestra vida diaria gira alrededor de actividades cada vez más digitalizadas y, por consiguiente, más sensibles a amenazas cibernéticas. Cadenas de suministro de alimentos, transporte, pagos y transacciones financieras, actividades educativas, trámites gubernamentales, servicios de emergencia, y el suministro de agua y energía, entre un sinnúmero de actividades, operan en la actualidad a través de tecnologías digitales1. Las consecuencias de la materialización de amenazas informáticas, en forma de ciberataques sobre alguna de las infraestructuras mencionadas, pueden ser críticas a nivel financiero y operativo. Existen distintos tipos de estos ciberataques, catalogados por la Oficina de seguridad del internauta España así: ataques a contraseñas, ataques por ingeniería social, ataques a las conexiones o ataques por malware2. Todos, causan un impacto en la información de su propietario en 1 SHWARTZ, Moises. Reporte Ciberseguridad riesgos, avances y el camino a seguir en América Latina y el Caribe. [En línea]. Washington D.C: Interamerican Development Bank, 2020 [Fecha de consulta: 02 marzo 2022]. p.10. Disponible en: https://publications.iadb.org/publications/spanish/document/Reporte-Ciberseguridad-2020-riesgos- avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf 2 OFICINA DE SEGURIDAD DEL INTERNAUTA. Guía de ciberataques. [En línea]. Madrid: INCIBE, 2020 [Fecha de consulta: 03 marzo 2022]. p.2. Disponible en: https://publications.iadb.org/publications/spanish/document/Reporte-Ciberseguridad-2020-riesgos-avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf https://publications.iadb.org/publications/spanish/document/Reporte-Ciberseguridad-2020-riesgos-avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf 3 uno o más de sus tres pilares: la confidencialidad, integridad y disponibilidad. Sin embargo, los ciberdelincuentes no solo dirigen sus ataques directamente hacia los sistemas informáticos de la empresa, sino que buscan el eslabón más débil, las personas. “El factor humano constituye el eslabón más vulnerable de la cadena para iniciar un ciberataque y, por lo tanto, las compañías deberán prestar especial atención a este hecho, llevando a cabo medidas de concienciación y formación técnica”3. Por esta razón, es que las organizaciones se esfuerzan tanto en la concientización de sus empleados y clientes, para que conozcan y cumplan las políticas de seguridad establecidas bajo estándares tan conocidos como la ISO27001 o la NIST 800-50. Sin embargo, para el tema de formación de habilidades, el avance no es tan significativo. El déficit en profesionales en áreas de seguridad digital es una realidad a la que desde el 2019 el ICS2 hace seguimiento anualmente en el Cibersecurity Workforce Study. En su informe del año 2021 exponen en cifras la brecha existente en profesionales a nivel mundial: Figura 1 Brecha a nivel mundial en profesionales de ciberseguridad. Fuente: Tomada de [4]. https://www.osi.es/sites/default/files/docs/guia-ciberataques/osi-guia-ciberataques.pdf 3 DELOITTE. Tú también puedes sufrir un ciberataque ¿Sabes cómo prevenirlo?. [En línea]. [Fecha de consulta: 03 marzo 2022]. Disponible en: https://www2.deloitte.com/es/es/pages/governance-risk- and-compliance/articles/decalogo-ciberseguridad.html https://www.osi.es/sites/default/files/docs/guia-ciberataques/osi-guia-ciberataques.pdf https://www2.deloitte.com/es/es/pages/governance-risk-and-compliance/articles/decalogo-ciberseguridad.html https://www2.deloitte.com/es/es/pages/governance-risk-and-compliance/articles/decalogo-ciberseguridad.html 4 Respecto al mismo estudio, pero del año 2020, resaltan la incorporación de 700mil nuevos profesionales a la fuerza laboral, llegando a los 4.19millones y calculando el déficit en 65%. “Esto indica que la necesidad de más profesionales en el campo nunca ha sido mayor, continúa superando la demanda y subrayando que las oportunidades de carrera seguirán creciendo”4. 2.2.1. ANTECEDENTES DEL PROBLEMA En Latinoamérica Kaspersky en el año 2020 bloqueó más de 30 millones de ataques dirigidos hacia empresas y más 20.5 millones hacia particulares5. En su informe la cámara colombiana de informática y telecomunicaciones CCIT, presentó para 2021- 2022 un incremento general en las denuncias realizadas respecto al 2020 en los ciberdelitos de violación de datos personales 45%, el acceso abusivo a sistemas informáticos 18% y el hurto por medios informáticos 3%6. Tales delitos son cometidos por medio de ataques como suplantación de sitios por phishing, smishing, sim swapping, infecciones por malware, entre otros; lo que quiere decir que son conductas punibles en la ley de delitos informáticos 1273 de 2009 y trascender en otras fuera del mundo digital como hurto, acoso, injurias y explotación sexual. A nivel internacional, en Estados Unidos existen algunos programas dirigidos a los jóvenes; por ejemplo, CyberPatriot, un Programa Nacional de Educación Cibernética creado por la Air Force Association para inspirar a los estudiantes K-12 (modelo de educación de grados 0 a 12) hacia carreras en seguridad cibernética u otras disciplinas de ciencia, tecnología, ingeniería y matemáticas (STEM); también en Estados Unidos, otra iniciativa de la CISA (Cybersecurity and Infrastructure Studies)7, brinda recursos para la enseñanza en ciberseguridad con currículos para los profesores K-12 y herramientas útiles para el uso del marco en educación NICE (National Initiative for Cybersecurity Education) desarrollado por la NIST (National Institute of Standards and Technology). 4 INTERNATIONAL INFORMATION SYSTEMS SECURITY CERTIFICATION CONSORTIUM. Cybersecurity Workforce Study: A Resilient Cybersecurity Profession Charts the Path Forward. [En línea]. ICS2, 2021 [Fecha de consulta: 10 marzo 2022]. p.25. Disponible en: https://www.isc2.org//- /media/ISC2/Research/2021/ISC2-Cybersecurity-Workforce-Study-2021.ashx 5 DIEZGRANADOS, Hernan. Empresas, principal objetivo de ciberataques en América Latina. [En línea]. Kapesrsky daily, 2020 [Fecha de consulta: 13 marzo 2022]. Disponible en: https://latam.kaspersky.com/blog/empresas-principal-objetivo-de-ciberataques-en-america- latina/20209/ 6 CAMARA COLOMBIANA DE INFORMÁTICA Y TELECOMUNICACIONES. Tendencias del cibercrimen 2021-2022. [En línea]. Bogotá: TicTac, 2021 [Fecha de consulta: 13 marzo 2022]. p.20. Disponible en: https://www.ccit.org.co/wp-content/uploads/informe-safe-tendencias-del-cibercrimen- 2021-2022.pdf 7 NATIONAL INITIATIVE FOR CYBERSECURITY CAREERS AND STUDIES. Cybersecurity in the Classroom. [En línea]. CISA, 2021 [Fecha de consulta: 15 marzo 2022]. Disponible en: https://niccs.cisa.gov/formal-education/integrating-cybersecurity-classroomhttps://www.isc2.org/-/media/ISC2/Research/2021/ISC2-Cybersecurity-Workforce-Study-2021.ashx https://www.isc2.org/-/media/ISC2/Research/2021/ISC2-Cybersecurity-Workforce-Study-2021.ashx https://latam.kaspersky.com/blog/empresas-principal-objetivo-de-ciberataques-en-america-latina/20209/ https://latam.kaspersky.com/blog/empresas-principal-objetivo-de-ciberataques-en-america-latina/20209/ https://www.ccit.org.co/wp-content/uploads/informe-safe-tendencias-del-cibercrimen-2021-2022.pdf https://www.ccit.org.co/wp-content/uploads/informe-safe-tendencias-del-cibercrimen-2021-2022.pdf https://niccs.cisa.gov/formal-education/integrating-cybersecurity-classroom 5 Es en el caso de los adolescentes que hay que dirigir estos esfuerzos, a los 16 años estos pasan en promedio 5 horas al día en internet de acuerdo con un estudio de TIGO-EAFIT, tiempo en el cual realizan actividades como: Trabajos del colegio, escuchar música, jugar, ver videos o películas, usar redes sociales y pasar tiempo en un mundo virtual8. En todo ese tiempo están expuestos a diferentes tipos de riesgos digitales, como riesgos de conducta, de contacto, técnicos y de contenido9. De acuerdo con que tan preparados están los NNA en el país, un estudio realizado por el instituto DQ en 2020, basado en un marco COSI (child online safety index) en 32 países, se visualiza el siguiente panorama. En el ítem de exposición ante riesgos digitales relacionados a conducta y a ciber amenazas, Colombia ocupa la casilla de 22 y 18 respectivamente; contrastando con el ítem de educación y guía parental, en donde se posiciona en el 14 y 5 respectivamente10. Figura 2 Indicadores Colombia estudio COSI. Fuente: Tomada de [10] p. 20. De este modo, se puede deducir que existe una adecuada orientación mediante políticas públicas e iniciativa privadas como teprotejo, charlas de la policía nacional, material didáctico en plataformas como enTICconfio del MinTIC o página del ICBF y recomendaciones divulgadas en medios de comunicación, por sus padres o 8 TIGO, EAFIT. Encuesta uso y acceso, actividades y habilidades, riesgos, oportunidades y mediación. [En línea]. [Fecha de consulta: 22 marzo 2022]. p.14. Disponible en: https://contigoconectados.com/resultados/ 9 SURA. Principales riesgos digitales y como prevenirlos. [En línea]. Seguros SURA, 2021 [Fecha de consulta: 21 marzo 2022]. Disponible en: https://www.segurossura.com.co/documentos/centro- proteccion-digital/principales-riesgos-y-como-prevenirlos.pdf 10 DQ INSTITUTE. Child Online Safety Index. [En línea]. 2020 [Fecha de consulta: 18 marzo 2022]. Disponible en: https://live.dqinstitute.org/impact-measure/ https://contigoconectados.com/resultados/ https://www.segurossura.com.co/documentos/centro-proteccion-digital/principales-riesgos-y-como-prevenirlos.pdf https://www.segurossura.com.co/documentos/centro-proteccion-digital/principales-riesgos-y-como-prevenirlos.pdf https://live.dqinstitute.org/impact-measure/ 6 educadores. Sin embargo, se quedan un poco justas, ya que, si bien cumplen con su papel informativo, de concientización y de denuncia, no son un mecanismo adecuado para la contextualización y formación en los adolescentes, que son la futura fuerza laboral del país y están definiendo su proyecto de vida profesional. Allí es donde cobra relevancia programas como las convocatorias de certificaciones impulsados por la SED, programas de capacitación por parte del SENA o programas académicos de universidades a nivel de tecnológico, pregrado y de posgrado. El National CiberSecurity Index, en el 2022, posiciona a Colombia en el puesto 74 a nivel mundial11, de acuerdo con los siguientes ítems, entre los que se encuentra el tema de educación en ciberseguridad: Figura 3 Calificación ranking National Cibersecurity Index para Colombia. Fuente: Tomada de [11] Otro índice de referencia, el Global Cibersecurity Index publicado por la ITU Unión Internacional de Telecomunicaciones en el 2020, posicionó a Colombia en el puesto 81 a nivel mundial12, teniendo en cuenta medidas legales, técnicas, organizacionales, capacidades de desarrollo y de cooperación: 11 E-GOVERNANCE ACADEMY. National Cibersecurity Index. [En línea]. Tallinn, 2022 [Fecha de consulta: 28 marzo 2022]. p.1. Disponible en: https://ncsi.ega.ee/country/co/?pdfReport=1 12 INTERNATIONAL TELECOMUNICATIONS UNION. Global Cibersecurity Index. [En línea]. Geneva, 2022 [Fecha de consulta: 01 abril 2022]. p.58. Disponible en: https://www.itu.int/epublications/publication/D-STR-GCI.01-2021-HTM-E https://ncsi.ega.ee/country/co/?pdfReport=1 https://www.itu.int/epublications/publication/D-STR-GCI.01-2021-HTM-E 7 Figura 4 Calificación ranking Global Cibersecurity Index para Colombia. Fuente: Tomada de [12] Con base en la anterior información, se llega a la siguiente conclusión, apoyada en el diagnóstico del Conpes 3995 Política nacional de confianza y seguridad digital del año 2020: En conclusión, se evidencia que en Colombia hay deficiencias en todo el conjunto de las capacidades relacionadas con la seguridad digital, por parte de los ciudadanos, del sector público y del sector privado. Esto causa que el país presente bajos niveles de preparación y de avance en la materia, lo que a su vez incrementa la vulnerabilidad del país ante ataques y amenazas cibernéticas, deteriorando la confianza y el normal desarrollo de nuestro entorno digital13. Como el más reciente precedente de iniciativas en el país, en marzo de 2022, Microsoft en alianza con la OCDE Organización para la Cooperación y Desarrollo Económico, extendió su programa de capacitación a 23 países para cerrar la brecha de mano de obra con habilidades en ciberseguridad. El programa espera capacitar a 65 mil colombianos, entre ellos 20 mil mujeres, de la mano del SENA y la Universidad de los Andes14. 13 COLOMBIA. CONSEJO NACIONAL DE POLÍTICA ECONÓMICA Y SOCIAL. CONPES 3995. 01 julio 2020. [En línea]. [Fecha de consulta: 08 abril 2022]. p.23. Disponible en: https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3995.pdf 14 MICROSOFT. Para cerrar la brecha de habilidades en ciberseguridad, Microsoft expande sus esfuerzos a veintitrés nuevos mercados, incluida Colombia. [En línea]. News Center Microsoft Latinoamérica, 2022 [Fecha de consulta: 08 abril 2022]. Disponible en: https://news.microsoft.com/es-xl/para-cerrar-la-brecha-de-habilidades-en-ciberseguridad-microsoft- expande-sus-esfuerzos-a-veintitres-nuevos-mercados-incluida-colombia-2/ https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3995.pdf https://news.microsoft.com/es-xl/para-cerrar-la-brecha-de-habilidades-en-ciberseguridad-microsoft-expande-sus-esfuerzos-a-veintitres-nuevos-mercados-incluida-colombia-2/ https://news.microsoft.com/es-xl/para-cerrar-la-brecha-de-habilidades-en-ciberseguridad-microsoft-expande-sus-esfuerzos-a-veintitres-nuevos-mercados-incluida-colombia-2/ 8 2.2.2. PREGUNTA DE INVESTIGACIÓN ¿Cómo incluir la disciplina de la ciberseguridad la formación técnica en “sistemas e informática empresarial” actualmente recibida por los estudiantes de 10° y 11° en sintonía con los conocimientos, habilidades y capacidades requeridos en las tareas del mercado laboral actual? 2.2.3. VARIABLES DEL PROBLEMA • Formación • Roles de trabajo • Tareas y funciones • Conocimientos, habilidades y capacidades (KSAs) • Ciberseguridad • Seguridad de la información • Estudiantes de grados 10° y 11° 2.3. JUSTIFICACIÓN El interés propio que motiva el adelanto de este proyecto surge desde la observación en el circulo personal y experiencia en el sector TI a largo de los años. Como escenarios se destacan: intentos de estafa con previa información personal en manos de los delincuentes; correos phishing suplantando entidades y sitios web para robar datos sensibles; observación de prácticas poco seguras en internet; ataques de ransomware a empresas materializados y vulnerabilidadesque conocidos realizan con su información en internet, y que cualquiera puede aprovechar. Surge entonces, la necesidad de contribuir a la formación temprana en temas de ciberseguridad y seguridad de la información para que los estudiantes de 10° y 11° las apliquen en su vida personal, brinden una perspectiva a su futuro profesional, o sean útiles para su cercana incorporación al mundo laboral. De esta forma, se ha definido a la población adolescente como grupo objetivo, en especial a los estudiantes de educación media de 10° y 11°, dado que, “la falta de conocimiento y buena práctica de los menores de edad genera la ocasión ideal para obtener información privada y a su vez impulsa el hecho delictivo”15. Como consecuencia de lo anterior, es alta la oportunidad para que se configuren múltiples 15 ORTIZ, Hamilton. Estudio de ciberseguridad de los últimos 5 años en el tema de delitos informáticos dirigido a los niños, niñas y adolescentes en el departamento del Huila. [En línea]. Neiva: UNAD, 2020 [Fecha de consulta: 09 abril 2022]. p.17. Disponible en: https://repository.unad.edu.co/jspui/bitstream/10596/40457/1/handradeo.pdf https://repository.unad.edu.co/jspui/bitstream/10596/40457/1/handradeo.pdf 9 delitos tipificados en la ley colombiana, que trascienden de ser simplemente informáticos a conductas que los pueden perjudicar a nivel económico, reputacional o que incluso ponen en peligro su integridad y la de su círculo laboral o familiar. El colegio OEA I.E.D fue elegido como escenario, ya que propiamente certifica a los estudiantes en un programa técnico que facilita su transición a la educación superior y sean acompañados en ese proceso. Otra razón, es porque el eje MTE media técnica especializada tiene la autonomía de definir y mejorar sus asignaturas y contenidos, que los docentes propios del área de tecnología e informática de la institución impartirán; esto es muy importante ya que, en un caso diferente, por ejemplo, de articulación con el SENA, los lineamientos son más restrictivos, tienen sus propios contenidos, horarios, instructores y un poco menos flexibles. Finalmente, para intereses del posgrado, se quiere promover un uso responsable de las TIC en los adolescentes, atacando el tema de la capacitación del factor humano desde otra arista, la formación temprana de habilidades; rompiendo un poco, la tendencia de intentar blindar a las organizaciones desde la protección de la actividad económica, sin contextualizar a las personas sobre la importancia de su rol y de la información. 10 3. OBJETIVOS 3.1. OBJETIVO GENERAL Generar un documento que enumere los conocimientos, habilidades, capacidades y tareas de roles del marco NICE NIST SP800-181 correlacionados con la oferta académica de la MTE del colegio OEA IED con el fin de facilitar a los educadores la estructuración y planeación de sus contenidos. 3.2. OBJETIVOS ESPECÍFICOS ➢ Realizar la caracterización de la institución a partir de su proyecto educativo institucional, currículo y plan de estudios del eje de MTE media técnica especializada. ➢ Definir el número de roles iniciales, de transición y final dentro del universo de roles de NICE NIST SP800-181 aplicables a la oferta académica del programa técnico, los cuales conformarán la ruta de formación orientada a la ciberseguridad. ➢ Comprobar las expectativas y conocimiento de la temática en los estudiantes de 10° y 11° y brindarles un panorama del mundo TI y el papel de la ciberseguridad. ➢ Elaborar un análisis dentro del marco NICE con base en la información recopilada, categorizando los elementos de los roles y áreas de especialidad equivalentes sintetizándolos en un documento entregable a la institución. ➢ Socializar la propuesta validando con los docentes y directivas de la institución opciones para su futura aplicabilidad. 11 4. MARCOS DE REFERENCIA 4.1. MARCO CONCEPTUAL A continuación, se desglosa el amplio espectro de términos relevantes y como estos se relacionan. Para empezar, la seguridad de la información se define como “la disciplina que se encarga de proporcionar la evaluación de riesgos y amenazas, trazar el plan de acción y adecuación para minimizar los riesgos, bajo la normativa o las buenas prácticas”16, con la intención de proteger los 3 pilares de la información: la confidencialidad, que “consiste en garantizar que los datos, objetos y recursos solamente pueden ser leídos por sus destinatarios legítimos”; la integridad, “garantizar que los datos, objetos y recursos no han sido alterados, permanecen completos y son fiables”; y la disponibilidad,” los datos permanecen accesibles sin interrupciones cuando y donde se los necesita”17. En el caso de la confidencialidad de la información, cada organización puede establecer los niveles que considere apropiados para su actividad, por ejemplo: confidencial, restringido, de uso interno y público18. Pero, para el caso de los datos personales, entendidos como “cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables”19, están clasificado de acuerdo con la ley 1266 de 2008 como públicos, semiprivados o privados; e incluyen con la ley 1581 de 2012 una categoría especial de datos sensibles y estableciendo el tratamiento para los menores de edad como proscrito o prohibido salvo que sean datos de naturaleza pública20. Otras definiciones oportunas relacionadas a la seguridad de la información son vulnerabilidad, amenaza y riesgo. Una amenaza es “cualquier circunstancia o evento con el potencial de afectar negativamente las operaciones de la organización, los activos de la organización o las personas a través de un sistema de información”21. Una vulnerabilidad es una “debilidad en un sistema de 16 SGSI ISOTOOLS. ¿Seguridad informática o seguridad de la información?. [En línea]. 2017 [Fecha de consulta: 12 abril 2022]. Disponible en: https://www.pmg-ssi.com/2017/01/seguridad-de-la- informacion/ 17 SIGUARD. Seguridad Informática vs. Seguridad de la Información: Datos indispensables. [En línea]. Bogotá, 2019 [Fecha de consulta: 13 abril 2022]. Disponible en: https://seguridadinformatica.com.co/seguridad-informatica/seguridad-de-la-informacion/ 18 ISOTOOLS EXCELLENCE. Cómo clasificar la información según ISO 27001. [En línea]. [Fecha de consulta: 13 abril 2022]. Disponible en: https://www.isotools.com.co/clasificar-la-informacion- segun-iso-27001/ 19 COLOMBIA. CONGRESO DE LA REPUBLICA. LEY ESTATUTARIA 1581. 18 octubre 2012. [En línea]. [Fecha de consulta: 14 abril 2022]. Artículo 3o. Disponible en: http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html 20 Ibid., Artículo 7º 21 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Glossary: Threat. [En línea]. https://www.pmg-ssi.com/2017/01/seguridad-de-la-informacion/ https://www.pmg-ssi.com/2017/01/seguridad-de-la-informacion/ https://seguridadinformatica.com.co/seguridad-informatica/seguridad-de-la-informacion/ https://www.isotools.com.co/clasificar-la-informacion-segun-iso-27001/ https://www.isotools.com.co/clasificar-la-informacion-segun-iso-27001/ http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html 12 información, procedimientos de seguridad del sistema, controles internos o implementación que podría ser explotada o provocada por una fuente de amenaza”22. Y un riesgo, calculado como la probabilidad por el impacto, es el “potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización”23. De una forma cercana, existe una disciplina con otro enfoque, la seguridad informática o ciberseguridad, la cual se encarga de “la protección de los sistemas de información, ordenadores, las redes e infraestructura tecnológica. Además, asocia temas en un contexto menor tales como: ataquesinformáticos, virus, Spam, análisis de vulnerabilidad, Firewall, contraseñas, etc.”24. La seguridad informática dista de la seguridad de la información en cuanto esta última, presenta una visión desde un nivel de gestión más estratégico y no táctico/operacional. Figura 5 Visión de la seguridad informática y seguridad de la información. Fuente: Tomada de [17] “Los ciberataques son intentos no deseados de robar, exponer, alterar, deshabilitar o destruir información mediante el acceso no autorizado a los sistemas informáticos”25. NordVPN destaca cuatro tipos de ciberataques, los ataques Computer Security Resource Center [Fecha de consulta: 14 abril 2022]. Disponible en: https://csrc.nist.gov/glossary/term/threat 22 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Glossary: Vulnerability. [En línea]. Computer Security Resource Center [Fecha de consulta: 14 abril 2022]. Disponible en: https://csrc.nist.gov/glossary/term/vulnerability 23 ICONTEC. Gestión de riesgos en seguridad de la información. [En línea]. Bogotá, NTC-ISO 27005, [Fecha de consulta: 15 abril 2022]. p.2. Disponible en: https://gmas2.envigado.gov.co/gmas/downloadFile.public?repositorioArchivo=000000001071&ruta= /documentacion/0000001359/0000000107 24 UNIVERSIDAD COOPERATIVA DE COLOMBIA. Seguridad de la información y seguridad informática, conceptos que debemos conocer y diferenciar. [En línea]. Bogotá: Sala de conocimiento, 2014 [Fecha de consulta: 17 abril 2022]. Disponible en: https://www.ucc.edu.co/prensa/2014/Paginas/seguridad-de-la-informacion-y-seguridad- informatica.aspx 25 IBM.¿Que es un ataque cibernético?. [En línea]. Topics. [Fecha de consulta: 19 abril 2022]. Disponible en: https://www.ibm.com/co-es/topics/cyber-attack https://csrc.nist.gov/glossary/term/threat https://gmas2.envigado.gov.co/gmas/downloadFile.public?repositorioArchivo=000000001071&ruta=/documentacion/0000001359/0000000107 https://gmas2.envigado.gov.co/gmas/downloadFile.public?repositorioArchivo=000000001071&ruta=/documentacion/0000001359/0000000107 https://www.ucc.edu.co/prensa/2014/Paginas/seguridad-de-la-informacion-y-seguridad-informatica.aspx https://www.ucc.edu.co/prensa/2014/Paginas/seguridad-de-la-informacion-y-seguridad-informatica.aspx https://www.ibm.com/co-es/topics/cyber-attack 13 pasivos, activos, internos y externos. Los ataques pasivos son “operaciones no- disruptivas, donde quienes realizan el ataque tratan de que su víctima nunca sepa qué ha ocurrido”; los activos, son “ofensivas agresivas que tratan de perturbar o destruir dispositivos personales, redes, o infraestructuras completas”; los internos, son realizados por alguien que ya tiene acceso autorizado a los sistemas afectados; y los externos son realizados por alguien que se encuentra fuera de la organización o el perímetro de su víctima26. A continuación, se definen algunos de los ciberataques más comunes según Cisco27: Tabla 1 Definición ciberataques comunes. Fuente: Elaboración propia con información de [27] Por otro lado, dado el ámbito de aplicación del proyecto, es importante precisar 26 MATTHEWS, Ruth. ¿Qué es un ciberataque?. [En línea]. NordVPN, 2021 [Fecha de consulta: 19 abril 2022]. Disponible en: https://nordvpn.com/es/blog/ciberataque/ 27 CISCO. ¿Cuáles son los ciberataques más comunes?. [En línea]. [Fecha de consulta: 20 abril 2022]. Disponible en: https://www.cisco.com/c/es_mx/products/security/common-cyberattacks.html https://nordvpn.com/es/blog/ciberataque/ https://www.cisco.com/c/es_mx/products/security/common-cyberattacks.html https://www.cisco.com/c/es_mx/products/security/common-cyberattacks.html 14 conceptos importantes del sector educativo. Uno de los conceptos más importantes en un colegio es el PEI Proyecto Educativo Institucional, en el específica “los principios y fines del establecimiento, los recursos docentes y didácticos disponibles y necesarios, la estrategia pedagógica, el reglamento para docentes y estudiantes y el sistema de gestión”28. Debe responder a situaciones y necesidades de los educandos, de la comunidad local, de la región y del país, ser concreto, factible y evaluable. Otro concepto vital es el currículo que ayuda a concretar y materializar el PEI. El currículo es un “conjunto de criterios, planes de estudio, programas, metodologías, y procesos que contribuyen a la formación integral y a la construcción de la identidad cultural nacional, regional y local, incluyendo también los recursos humanos, académicos y físicos para poner en práctica las políticas y llevar a cabo el proyecto educativo institucional”29. En ese orden de ideas, aparece el plan de estudios, “es el esquema estructurado de las áreas obligatorias y fundamentales y de áreas optativas con sus respectivas asignaturas que forman parte del currículo de los establecimientos educativos”30. Incorpora los objetivos por niveles, grados y áreas, metodología, distribución de tiempo y criterios de evaluación y administración, de acuerdo con el PEI y con las disposiciones legales vigentes. Pasando ahora a cuáles son las áreas fundamentales y obligatorias que deben formar parte de un plan de estudios, en el artículo de la Ley 115 de 1994 o Ley General de Educación, establece que comprenderán un mínimo del 80% del plan de estudios31, siendo las siguientes: 1. Ciencias naturales y educación ambiental. 2. Ciencias sociales, historia, geografía, constitución política y democracia. 3. Educación artística. 4. Educación ética y en valores humanos. 5. Educación física, recreación y deportes. 6. Educación religiosa. 7. Humanidades, lengua castellana e idiomas extranjeros. 8. Matemáticas. 9. Tecnología e informática 28 MINISTERIO DE EDUCACIÓN NACIONAL. Proyecto educativo institucional. [En línea]. [Fecha de consulta: 21 abril 2022]. Disponible en: https://www.mineducacion.gov.co/1621/article-79361.html 29 MINISTERIO DE EDUCACIÓN NACIONAL. Currículo. [En línea]. [Fecha de consulta: 21 abril 2022]. Disponible en: https://www.mineducacion.gov.co/1621/article-79413.html 30 MINISTERIO DE EDUCACIÓN NACIONAL. Plan de estudios. [En línea]. [Fecha de consulta: 21 abril 2022]. Disponible en: https://www.mineducacion.gov.co/1621/article-79419.html https://www.mineducacion.gov.co/1621/article-79361.html 31 COLOMBIA. CONGRESO DE LA REPUBLICA. LEY 115. 8 febrero 1994. [En línea]. [Fecha de consulta: 23 abril 2022]. Artículo 23. Disponible en: https://www.mineducacion.gov.co/1621/articles- 85906_archivo_pdf.pdf https://www.mineducacion.gov.co/1621/article-79361.html https://www.mineducacion.gov.co/1621/article-79361.html https://www.mineducacion.gov.co/1621/article-79413.html https://www.mineducacion.gov.co/1621/article-79361.html https://www.mineducacion.gov.co/1621/articles-85906_archivo_pdf.pdf https://www.mineducacion.gov.co/1621/articles-85906_archivo_pdf.pdf 15 Por último, en la sección cuarta de la misma Ley General de Educación, instituye la educación media en los grados 10° y 11°, con carácter tanto académica como técnica: La educación media académica de acuerdo con el Artículo 29: “permitirá al estudiante, según sus intereses y capacidades, profundizar en un campo específico de las ciencias, las artes o las humanidades y acceder a la educación superior”32. En el Artículo 31 establece las mismas áreas fundamentales enumeradas anteriormente en un nivel más avanzado, además de las ciencias económica, políticas y filosofía33. La educación media técnica según el Artículo 32: “prepara a los estudiantes para el desempeño laboral en uno de los sectores de la producción y de los servicios, y para la continuación en la educación superior”34. Puede inclinarse a especialidades tales como: agropecuaria, comercio, finanzas, administración, ecología, medio ambiente, industria, informática, minería, salud, recreación, turismo, deporte y las demás que requiera el sector productivo y de servicios. 4.2. MARCO TEÓRICO La debilidad en la oferta y cobertura de capacitaciónespecializada en ciberseguridad y Ciberdefensa35, es uno de los ejes diagnosticado en el 2011 por el CONPES 3701, documento emitido por el Consejo Nacional de Política Económica y Social, organismo asesor del gobierno colombiano en lo que respecta al desarrollo económico y social del país. Para ese entonces, se evidenciaba una oferta limitada en la formación de ciberseguridad y ciberdefensa en el sector público y privado, así como en la capacitación para las entidades que realizan labores de policía judicial. En consecuencia, el plan de acción solicitaba ejecutar estrategias de sensibilización y capacitación, desde entidades como el ministerio de defensa, el MinTIC y la Fiscalía36. Sin embargo, la anterior política estaba volcada a desarrollar las capacidades en ciberdefensa por parte de la nación, pero faltó por tener en cuenta su abordaje desde los ciudadanos y distintos sectores económicos. Unos años más adelante, en el 2016, se publica un nuevo CONPES, el 3854 titulado “Política Nacional de Seguridad Digital”, que adopta un enfoque basado en la gestión de riesgos como uno de sus 4 principios, así como 5 dimensiones estratégicas37, entre las que se 32 Ibid., Artículo 29. 33 Ibid., Artículo 31. 34 Ibid., Artículo 35. 35 COLOMBIA. CONSEJO NACIONAL DE POLÍTICA ECONÓMICA Y SOCIAL. CONPES 3701. 14 julio 2011. [En línea]. [Fecha de consulta: 30 abril 2022]. p.18. Disponible en: https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3701.pdf 36 Ibid., p.30. 37 COLOMBIA. CONSEJO NACIONAL DE POLÍTICA ECONÓMICA Y SOCIAL. CONPES 3854. 11 https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3701.pdf 16 destaca “Cultura ciudadana para la seguridad digital” (DE4) y “Capacidades para la gestión del riesgo de seguridad digital” (DE5). El último documento guía de nivel nacional que se desea resaltar es el CONPES 3995 de 2020, el cual una vez más diagnostica debilidades en las capacidades en seguridad digital de los ciudadanos, del sector público y del sector privado. Dentro del plan de acción trazado enlista 19 estrategias38, entre las que destacan: Tabla 2 Resumen del plan de acción CONPES 3995. Fuente: Elaboración propia basada en [38] abril 2016. [En línea]. [Fecha de consulta: 02 mayo 2022]. p.49-65. Disponible en: https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3854.pdf 38 COLOMBIA. CONSEJO NACIONAL DE POLÍTICA ECONÓMICA Y SOCIAL. CONPES 3995. Op. Cit., p.27-34. https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3854.pdf 17 En materia educativa, el Plan Nacional Decenal de Educación 2016-2026 presenta 10 lineamientos para 10 desafíos estratégicos. El tercero de ellos refiere al establecimiento de lineamientos curriculares generales, pertinentes y flexibles39. Estos lineamientos curriculares son orientaciones epistemológicas, pedagógicas y curriculares que define el MEN con el apoyo de la comunidad académica educativa para apoyar el proceso de fundamentación y planeación de las áreas obligatorias y fundamentales definidas por la Ley General de Educación en su artículo 2340. Sin embargo, a la fecha hay solamente disponibles unos pocos lineamientos desarrollados, como el de Ciencias sociales, Catedra Estudios Afrocolombianos, Educación Artística, Educación física, Idiomas Extranjeros, Ciencias Naturales, Constitución Política, Ética, Lengua Castellana y Matemáticas. En consecuencia, al no existir uno para el área de Tecnología e Informática, no hay un estándar sobre qué se debe enseñar y cuáles son los DBA (Derechos Básicos de Aprendizaje) con los que los estudiantes son medidos en las pruebas de estado en esta materia. De esta forma, los docentes hacen uso de su libertad de catedra en sus diseños curriculares, amparados por el artículo 27 de la constitución política de Colombia41 y el artículo 77 de la ley general de educación. Retomando desde el plan nacional decenal de educación, en el sexto desafío estratégico llamado “Impulsar el uso pertinente, pedagógico y generalizado de las nuevas y diversas tecnologías para apoyar la enseñanza, la construcción de conocimiento, el aprendizaje, la investigación y la innovación, fortaleciendo el desarrollo para la vida”, se promueve desde la enseñanza, en el numeral 3 lo siguiente: El proceso de incorporación de las TIC en la educación básica, media y superior, tendrá en cuenta no solo el uso de las mismas como herramienta pedagógica, sino la actualización de los contenidos curriculares pertinentes que permitan a los estudiantes afrontar los retos de la sociedad digital y la economía digital, tales como: seguridad e integridad personal en la red, derechos y deberes en internet, comercio electrónico, riesgos en internet, entre otros42. Para el aporte a la construcción de los planes de estudio y currículos, este proyecto acoge como marco de referencia la publicación especial SP 800-181 de la NIST, o marco NICE (National initiative for cibersecurity education). Tal marco, es de suma utilidad para los profesionales, empresas y educadores. Para las organizaciones, “proporciona un léxico común y uniforme que clasifica y describe 39 COLOMBIA. MINISTERIO DE EDUCACIÓN NACIONAL Plan Nacional Decenal de Educación 2016-2026. Noviembre 2017. [En línea]. [Fecha de consulta: 05 mayo 2022]. p.43. Disponible en: https://www.mineducacion.gov.co/1780/articles-392871_recurso_1.pdf 40 MINISTERIO DE EDUCACIÓN NACIONAL. Lineamientos curriculares. [En línea]. [Fecha de consulta: 06 mayo 2022]. Disponible en: https://www.mineducacion.gov.co/1621/article-80860.html 41 COLOMBIA. Constitución política de Colombia. 20 julio 1991. [En línea]. [Fecha de consulta: 06 mayo 2022]. Artículo 27. Disponible en: http://www.secretariasenado.gov.co/senado/basedoc/constitucion_politica_1991.html 42 COLOMBIA. MINISTERIO DE EDUCACIÓN NACIONAL Plan Nacional Decenal de Educación 2016-2026. Op. Cit., p.54. https://www.mineducacion.gov.co/1780/articles-392871_recurso_1.pdf https://www.mineducacion.gov.co/1621/article-80860.html http://www.secretariasenado.gov.co/senado/basedoc/constitucion_politica_1991.html 18 el trabajo en materia de ciberseguridad”43 necesario para la contratación de personal; y para los educadores, “también proporciona un léxico común que las instituciones académicas pueden utilizar en la creación de planes de estudios de ciberseguridad que preparen mejor a los estudiantes para las necesidades actuales y previstas del personal de ciberseguridad”44. La siguiente imagen muestra los componentes que conforman el marco NICE y como se relacionan entre sí: Figura 6 Relación entre componentes del marco NICE. Fuente: Tomada de [45]. Todo lo anterior, en consecuencia, les concierne a los colegios que además de tener media académica tienen media técnica, por ser parte activa de la formación de la futura fuerza laboral y aspirante a programas de educación superior. En el caso particular del colegio OEA IED, la institución inició en el 2008 un proyecto como parte de un programa experimental de la SED bajo la resolución 480 del mismo año, con el objetivo de ofrecer oportunidades de acceso y permanencia en la educación superior a los bachilleres egresados de los colegios distritales, mediante diferentes estrategias como la reforma y articulación de la educación media con la educación superior46. 43 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Iniciativa nacional para la educación en ciberseguridad (NICE) Marco para el personal de ciberseguridad. [En línea]. 2020 [Fecha de consulta: 20 marzo 2022]. p.6. Disponible en: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-181es.pdf 44 Ibid., p.6. 45 Ibid., p.11. 46 SECRETARÍA DE EDUCACIÓN DISTRITAL. Resolución 480. Febrero 20 2008. [En línea]. [Fecha 19 En el periodo de tiempo de 2006-2012 tal proyecto se centró en la homologación de modalidades concretas de estudio que se desarrolladas en cada institución dependiendo de los acuerdos que se establecidosentre el Colegio y la IES acompañante47. La articulación abordó las ocho áreas optativas de la Ley 115 (administrativas, agropecuarias, ambientales, salud, ingenierías, turismo, comerciales e informática). En cuanto a la intensidad horaria, contempló que cada estudiante cursara entre 10 y 16 horas semanales adicionales a su jornada tradicional de 30 horas48. Para el Proyecto 891 (2012 en adelante) en el marco del plan de desarrollo del Bogotá Humana, continuaba alineado con el objetivo de “transformar y fortalecer la educación media distrital, mediante la consolidación de una oferta diversa, electiva y homologable con la educación superior que promueva la continuidad de los estudiantes en este nivel educativo, para generar en los estudiantes mayores oportunidades en el mundo socio – productivo”49. Tal proyecto toma como punto de partida un proyecto que finalizaba en el 2012, el 290 de “Mejor Educación Media y Mayores Oportunidades en Educación Superior” y lo avanzado en el item de: Educación Media Especializada, desarrollada mediante convenios realizados con la I.E.S., tuvo como propósito la profundización en áreas del conocimiento a través del fortalecimiento y actualización de los P.E. I. y el apoyo al diseño de plan de estudios especializado para la media de los colegios participes, lo anterior con una intensidad horaria de 40 horas semanales que permitía que los estudiantes tomaran cursos específicos, atendiendo a un diagnóstico de sus intereses y los propósitos de la I.E.D50. de consulta 09 mayo 2022]. Artículo 1º. Disponible en: https://repository.usta.edu.co/jspui/bitstream/11634/3068/35/RESOLUCI%C3%93N%20480%20DE %202008%20%20Proyecto%20de%20Articulacion.pdf 47 GONZALEZ, Carlos. Análisis concomitante del proyecto de articulación de la educación media con la superior, implementado por la SED en los Colegios Distritales OEA y Kennedy durante el periodo 2008-2013 desde un enfoque cualitativo-interpretativo. [En línea]. Bogotá: Universidad Santo Tomas, 2016. [Fecha de consulta 10 mayo 2022]. p.72. Disponible en: https://repository.usta.edu.co/jspui/bitstream/11634/3068/1/Gonzalezcarlos2016.pdf 48 SECRETARÍA DE EDUCACIÓN. Dirección de educación media y superior. [En línea]. Bogotá, 2012. [Fecha de consulta 12 mayo 2022]. p.2. Disponible en: https://repositoriosed.educacionbogota.edu.co/bitstream/handle/001/1179/Media%20Fortalecida.pdf ;jsessionid=8ED2934766EA17A792085393342C50A1?sequence=2 49 SECRETARÍA DE EDUCACIÓN DISTRITAL. Proyecto 891. 2012. [En línea]. [Fecha de consulta 12 mayo 2022]. p.1. Disponible en: https://repository.usta.edu.co/bitstream/handle/11634/3068/Proyecto%20891_resumen%20ejecutiv o.pdf?sequence=31&isAllowed=y 50 Ibid., p.3. https://repository.usta.edu.co/jspui/bitstream/11634/3068/35/RESOLUCI%C3%93N%20480%20DE%202008%20%20Proyecto%20de%20Articulacion.pdf https://repository.usta.edu.co/jspui/bitstream/11634/3068/35/RESOLUCI%C3%93N%20480%20DE%202008%20%20Proyecto%20de%20Articulacion.pdf https://repository.usta.edu.co/jspui/bitstream/11634/3068/1/Gonzalezcarlos2016.pdf https://repositoriosed.educacionbogota.edu.co/bitstream/handle/001/1179/Media%20Fortalecida.pdf;jsessionid=8ED2934766EA17A792085393342C50A1?sequence=2 https://repositoriosed.educacionbogota.edu.co/bitstream/handle/001/1179/Media%20Fortalecida.pdf;jsessionid=8ED2934766EA17A792085393342C50A1?sequence=2 https://repository.usta.edu.co/bitstream/handle/11634/3068/Proyecto%20891_resumen%20ejecutivo.pdf?sequence=31&isAllowed=y https://repository.usta.edu.co/bitstream/handle/11634/3068/Proyecto%20891_resumen%20ejecutivo.pdf?sequence=31&isAllowed=y 20 4.3. MARCO JURÍDICO La legislación concerniente a la temática tratada y que fundamentan o argumentan algunas de las secciones a lo largo de este documento son las siguientes: La ley estatutaria 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales, es tomada en cuenta ya que allí se define la categoría especial de datos y los derechos del tratamiento de los mismos en niños, niñas y adolescentes. A raíz de que la población con la que se trabajará es en su mayoría menores de edad de grados 10° y 11°, se da conformidad al Articulo 7 de la ley: “Queda proscrito el tratamiento de sus datos, salvo que sean de naturaleza pública”51. De esta forma, al realizar recopilación de información para el proyecto, se evitará solicitar datos personales de los estudiantes, ya que no son pertinentes para el fin del análisis de las respuestas. En cuanto a los delitos informáticos, el uso de la Ley 1273 de 2009 será apropiado para la explicación de los ataques informáticos, relacionándolos con los delitos presentados en la ley que modifican el código penal, y crea el bien jurídico tutelado: De la protección de la información y los datos52. Esas adiciones al código penal, presentadas a continuación, son un recurso imprescindible en cuanto al tema de la normatividad vigente53: • Artículo 269A: Acceso abusivo a un sistema informático • Artículo 269B: Obstaculización ilegítima de sistema informático o red de telecomunicación. • Artículo 269C: Interceptación de datos informáticos. • Artículo 269D: Daño Informático. • Artículo 269E: Uso de software malicioso. • Artículo 269F: Violación de datos personales. • Artículo 269G: Suplantación de sitios web para capturar datos personales. • Artículo 269H: Circunstancias de agravación punitiva. • Artículo 269J: Transferencia no consentida de activos. Al mismo tiempo, la Ley 115 de 1994 Ley General de Educación rige para algunos aspectos del trabajo como el marco conceptual, teórico o alcance. Para empezar, en su sección cuarta del capítulo 1 del título II, reglamenta la educación media determinando la duración y finalidad comprendiendo dos grados; 51 COLOMBIA. CONGRESO DE LA REPUBLICA. LEY ESTATUTARIA 1581. Op. Cit., Artículo 7º 52 COLOMBIA. CONGRESO DE LA REPUBLICA. LEY 1273. 5 enero 2009. [En línea]. [Fecha de consulta 15 mayo 2022]. Art 1º. Disponible en: http://www.secretariasenado.gov.co/senado/basedoc/ley_1273_2009.html 53 Ibid., Capítulo I. http://www.secretariasenado.gov.co/senado/basedoc/ley_1273_2009.html 21 decimo y undécimo en el artículo 27. A continuación, en el artículo 28 indica que la educación media puede ser de carácter académica, estableciendo sus definiciones, objetivos y áreas en los art. 29, 30 y 31; o técnica, estableciendo su definición, objetivos, establecimientos y articulación con la educación superior en los artículos 32, 33, 34 y 35 respectivamente54. Luego, como clave para aterrizar el contexto de la organización educativa, el Titulo IV de la Ley, especifica la correlación e incidencia de conceptos como el Proyecto Educativo Institucional (Art. 73); el Currículo, autonomía escolar y modificación al mismo (Art. 76, 77 y 78); y el Plan de Estudios (Art. 79)55. Finalmente, el Titulo VI, de los educadores, es preciso en el artículo 116 en cuanto a la formación para su ejercicio: “Para ejercer la docencia en el servicio educativo estatal se requiere título de licenciado en educación o de posgrado en educación, además de estar inscrito en el Escalafón Nacional Docente”. No obstante, en el artículo 108 y 118 se contemplan excepciones, como por ejemplo en las áreas de educación media donde hay una carencia de personas licenciadas o con experiencia en el área, siempre y cuando se cumplan requisitos de inscripción al sistema de escalafonamiento y acrediten estudios pedagógicos con una duración no menor a un año56. 54 COLOMBIA. CONGRESO DE LA REPUBLICA. LEY 115. Op. Cit., Titulo II, Capítulo 1, Sección Cuarta. 55 Ibid., Titulo IV, Capítulo 1 y Capítulo 2. 56 Ibid., Título VI, Artículo 108, 116 y 118. 22 5. METODOLOGÍA 5.1. FASES DEL TRABAJO DE GRADO Se definen las siguientes fases con sus correspondientes actividades para el desarrollo del proyecto: Planeación • A.1. Caracterización de la institución y levantamientode información. • A.2. Preparación de presentación y charlas para los grupos • A.3. Elaboración de preguntas para la encuesta inicial a los estudiantes Ejecución • B.1 Encuesta de conocimientos y expectativas previas. • B.2 Charlas hacia los grupos de estudiantes. • B.3 Análisis basado en el marco NICE SP800-181 para el planteamiento de tareas, conocimientos, habilidades y capacidades según los posibles roles de interés. Evaluación • C.1 Socialización de la propuesta y acuerdos. Figura 7 Metodología a usar. Fuente: Elaboración propia. 23 5.2. INSTRUMENTOS O HERRAMIENTAS UTILIZADAS En el transcurso del proyecto se utilizaron herramientas ofimáticas de Microsoft: El procesador de textos Word para la elaboración del presente trabajo y del documento entregable y PowerPoint para la creación de las diapositivas para la presentación en las fases A.2 y B.2. Las encuestas en formato físico, fueron un instrumento sencillo a la hora de formular y analizar las incógnitas insumo de las fases A.3 y B.3. Por último, las herramientas web puestas a disposición por NICCS (National Initiative for Cybersecurity Careers and Studies) se utilizaron como recurso para visualizar y presentar de una forma dinámica lo planteado en el documento del marco NICE SP200-181 del 2017 y 2021 revisión 1. 5.3. POBLACIÓN Y MUESTRA La población con la que se trabajó son estudiantes en su mayoría adolescentes entre los 14 y 18 años pertenecientes a los cursos 10º y 11º del colegio distrital OEA de la localidad de Kennedy. Están divididos en 8 grupos, de ## estudiantes, de los cuales se tomó una muestra de 4 grupos para las charlas. A su vez, hay 6 docentes para las diferentes asignaturas de la MTE y una coordinación a quienes se involucra en mayor medida. 5.4. ALCANCES Y LIMITACIONES El alcance de este proyecto es únicamente el planteamiento, como se puede observar en la figura 6 con sus respectivas fases y actividades. No se llegará a implementar, puesto que el producto final estará sujeto a los criterios que considere la institución para su aplicabilidad. Para ello, se tendrían que realizar modificaciones de fondo a la oferta académica, en cuanto al plan de estudios, currículo e incluso proyecto educativo institucional, que implica un visto favorable por parte de la alta dirección y de la Secretaría de Educación. Además, lo anterior demanda un tiempo mayor al que se dispone para el desarrollo del proyecto, ya que para el presente año lectivo está en progreso una planeación académica y pretender cambiarla resultaría impositivo. Como otra limitante, la impartición personalmente de lo propuesto tiene algunas restricciones que se relacionan con el ejercicio de la docencia en la ley, tal como se revisó anteriormente en el marco jurídico. Por lo tanto, se tratará de una guía, que oriente a los docentes de áreas afines como abordar e instruir sobre la temática. 24 6. PRODUCTOS A ENTREGAR El principal entregable de este proyecto de investigación, tal como lo planteaba el objetivo es un documento con la descripción de roles aplicables, a que categoría y área de especialización pertenecen y su respectiva correlación en forma de tablas entre lo imparto por el programa actualmente y los ítems CHCs o KSAs (conocimientos, habilidades, y capacidades) del marco de referencia SP800-181. Sin embargo, también se entregarán los siguientes productos una vez finalizado el cronograma planteado en forma de anexos: ➢ Presentación usada para las charlas con las fuentes de información y guion o discurso. Con las charlas suministradas a los grupos de estudiantes de 10° y 11° se espera generar conciencia de su actividad en la red, conozcan la importancia de la ciberseguridad y dimensionen las diferentes carreras en el campo y su interrelación. ➢ Análisis de la encuesta a realizar con las preguntas, opciones de respuesta y graficas de los resultados. En el ejercicio de las encuestas, realizadas a la par de las charlas, se pretende analizar las respuestas de los alumnos, para determinar cuáles son las categorías y áreas de especialidad que captan su interés y elegir adecuadamente los roles dentro del marco NICE. ➢ Documento de los acuerdos llegados con la institución luego de evaluar la viabilidad y forma de aplicación del o presentado. Con el documento final se espera proporcionar una referencia que ayude a los docentes y directivas a estructurar fácilmente su malla curricular y los planes de estudio de cada asignatura de la MTE; y por el lado de los estudiantes, que eventualmente adquieran competencias laborales consecuentes al mercado y estudios futuros. 25 7. ENTREGA DE RESULTADOS E IMPACTOS 7.1. CARACTERIZACIÓN DE LA INSTITUCIÓN Esta primera fase corresponde a los acercamientos iniciales a la institución con el fin de levantar la información que se requiere posteriormente en la fase 7.2 de charlas a los estudiantes y la fase 7.4 de análisis sobre el marco de referencia NICE para la selección del rol de partida o inicial. El colegio distrital OEA IED es una institución de carácter público ubicada en la localidad de Kennedy en la dirección. Cuenta con 215 estudiantes de educación media, distribuidos en ocho grupos, de los cuales cuatro son de grado 10° y cuatro de 11°. El programa de formación técnica en sistemas e informática empresarial ofrecido por la institución consta de un total de doce asignaturas en su plan de estudios distribuidas de la siguiente manera: Tabla 3 Asignaturas técnico en sistemas e informática empresarial. Fuente: Colegio OEA. ASIGNATURAS CURSO Algoritmos y Programación Semestre I – Grado 10° Ensamble y Mantenimiento Fundamentos de redes Matemática Básica Semestre II – Grado 10° Programación Estructurada Bases de Datos Cableado Estructurado Semestre III – Grado 11° Calculo Diferencial Programación Orientada a Objetos Programación WEB Semestre IV – Grado 11° Estructura de Datos Circuitos Digitales Para cada asignatura, a modo general se describen las temáticas abordadas y los conocimientos adquiridos de la siguiente forma: 26 Tabla 4 Descripción y contenido de asignaturas programa técnico. Fuente: Colegio OEA Algoritmos y Programación Asignatura que presenta los principios de programación a los estudiantes mediante la construcción y elaboración de mentefactos algorítmicos que representan procesos de trabajo, se induce el trabajo de programas como DFD, Scratch, para luego ver la implementación de código fuente en lenguajes de C. Ensamble y Mantenimiento Asignatura basada en el reconocimiento de las partes del computador, su funcionamiento y análisis de reparación del equipo de cómputo, se instruye también sobre los sistemas operativos y su instalación. Fundamentos de redes Asignatura que pretende complementar el reconocimiento del hardware del computador, analiza los principios para la estructuración de redes informáticas tanto en su composición lógica y física, estudia los tipos de redes, medios de distribución y configuración de redes informáticas. Matemática Básica Asignatura fundamentada en reforzar los conocimientos básicos de la matemática en donde se profundizan temas como potenciación, radicación, polinomios, algebra básica para permitir consolidar los conocimientos de estos temas y propiciar elementos de análisis que usaran en la construcción de programas. Programación Estructurada Esta asignatura profundiza en los elementos de programación haciendo hincapié en el reconocimiento, trabajo y desarrollo de las diferentes estructuras de programación bajo diferentes lenguajes de programación en especial C. Bases de Datos Asignatura que presenta los principales medios de estructuración, manejo y desarrollo de bases de datos basados en el lenguaje de SQL y activando herramientas de trabajo Web que enlazan las bases de datos basado en programas como PHP myAdmin. CableadoEstructurado Asignatura que complementa y cierra el reconocimiento del hardware del computador brindando las normas y tecnologías que se usan para la implementación de las estructuras de redes cableadas en las diferentes estructuras, se basa en el reconocimiento de elementos arquitectónicos y funcionales de montaje y desarrollo de las redes cableadas. Calculo Diferencial Asignatura de cierre del área matemática, se presentan elementos de cálculo en relación a definición de funciones y solución de problemas prácticos en donde estos principios son puestos en marcha desde el campo de vista de las ingenierías. Programación Orientada a Objetos Asignatura que presenta un paradigma de programación desde la elaboración de bloques de funcionamiento aprovechando las herramientas de programación que ofrecen los diferentes programas que se basan en este medio de programación, en especial JAVA Script, del mismo modo se indican y se dan nociones de programación para dispositivos móviles desde la herramienta de App Inventor y Android Studio. Programación WEB Asignatura que presenta un paradigma de programación desde la elaboración de bloques de funcionamiento aprovechando las herramientas de programación que ofrecen los diferentes programas que se basan en este medio de programación, en especial JAVA Script, del mismo modo se indican y se dan nociones de programación para dispositivos móviles desde la herramienta de App Inventor y Android Studio. Estructura de Datos Asignatura basada en el análisis de las bases de datos la estructuración de las mismas y parámetros que permiten reconocer e identificar los elementos básicos de las bases de datos, así como la implementación para la organización de la información. Circuitos Digitales Asignatura que permite reconocer los elementos básicos de la lógica combinacional haciendo énfasis en el montaje de las estructuras lógicas basadas en las compuertas lógicas, su principio de funcionamiento e importancia en el mundo de la electrónica digital. 27 7.2. PRESENTACIÓN SOBRE CIBERSEGURIDAD A LOS ESTUDIANTES Lo que se desea aquí, es compartir un panorama de todo el ámbito TI y la importancia de la ciberseguridad dentro de este; con el objetivo de introducir a los estudiantes en estos temas y que sea una guía de como orientar su futuro profesional. La presentación estuvo dirigida a cuatro de los ocho grupos (uno de 35 estudiantes, uno de 30, otro de 38 y otro de 33), con una duración de 25 minutos cada uno. Las diapositivas preparadas se encuentran en el apéndice 11.3 y los temas tratados en ellas son los siguientes: • Donde estamos – El mundo TI o Elegir carrera profesional – Pequeña reflexión de que tan importante es esa decisión. o Evolución de los cargos en sistemas, tecnología e informática. o Tendencias y cifras de vacantes – Déficit de profesionales en ciberseguridad. o Áreas en las empresas de desempeño (SO, Virtualización, Apps, BBDD, redes, seguridad, gestión y monitoreo). • La seguridad de la información y la ciberseguridad o La información como el activo más valioso para una organización. o Los pilares de la seguridad (Confidencialidad, Integridad y Disponibilidad). o Clasificación de la información. (Publica, privada y sensible). o Definiciones de gestión de riesgos (activo, amenaza, vulnerabilidad y riesgo) y legislación existente. o Diferencia entre el enfoque de la seguridad de la información y la ciberseguridad. • Casos de ciberataques reales o Noticias: Ataque al colonial pipeline, Intento de ataque al suministro de agua de Oldsmar Florida, caso de ciberataque al DANE, caso de ataques a la registraduría en días de elecciones. o Video: Como se planea y produce un ataque – Nombre del video: Anatomía de un ciberataque. o Video: No solo las empresas son blanco sino las personas también – Nombre del video: El adivino de la redes sociales. • Relación con los enseñado: o Desde el desarrollo web o móvil – Metodologías como OWASP (Inyección SQL, fallas de autenticación, exposición de información sensible, componentes vulnerables y desactualizados). o Desde el tráfico de red – Configuración segura en Switches, Routers, Firewalls, IPS, IDS entre otros (Port security, DHCP spoofing, MiTM, ACLs, reglas) o Desde los SO – (Hardening, políticas, permisos, algoritmos de cifrado, 28 antivirus y EDP). o Desde las amenazas – Malware y otros vectores de ataque (Virus gusanos y troyanos, Ransomware, ingeniería social, phishing). • El marco de referencia NICE: o Lo que busca el marco. o Como está compuesto. o Como se planea presentar a la institución. o Por qué se desea usar un marco enfocado desde los roles de trabajo, conocimientos, habilidades y capacidades y no desde los títulos académicos. • Hacia donde ir – Nuevas tecnologías y retos o Nube. o IoT. o Tendencias y certificaciones. Luego de cada charla, se procedió a realizar una pequeña encuesta con 7 enunciados, cuyo formato se encuentra en el apéndice 11.4, con una muestra de 136 cuestionarios, cuyos resultados se detallan en seguida. Las primeras preguntas tuvieron como propósito conocer la inclinación, predisposición e interés en la temática por parte de los jóvenes. En la pregunta 1, el 63% le dio bastante importancia a la ciberseguridad, parte debido a la charla previa que tenía esa intención de resaltarla. Figura 8 Respuestas pregunta 1 cuestionario. Fuente: Elaboración propia. De esa presentación, con la pregunta 2 se dedujo que cerca del 87% había escuchado poco o nada de los temas tratados, lo cual aporta también a la hipótesis de una falta de conocimientos en la materia, reforzada más adelante con las preguntas 5, 6 y 7. 29 Figura 9 Respuestas pregunta 2 cuestionario. Fuente: Elaboración propia. La pregunta 3 tenía como objetivo servir de insumo para la fase 7.4 en donde se definirían los roles intermedios, obteniendo que las especialidades que más les llama la atención son desarrollo con un 31% y redes con un 27%. Figura 10 Respuestas pregunta 3 cuestionario. Fuente: Elaboración propia. Con la pregunta 4 se pretendía saber si era viable incorporar la disciplina de la ciberseguridad en la formación planteándoles un escenario hipotético donde pudieran escoger estudiarla a algún nivel, encontrando que el 31% afirmó que sí y otro 43% tal vez lo consideraría. Figura 11 Respuestas pregunta 4 cuestionario. Fuente: Elaboración propia. Las últimas preguntas fueron útiles para censar algunas fortalezas básicas en ciberseguridad. En la pregunta 5 se indagaba sobre las arquitecturas de nube 30 plataforma como servicio, infraestructura como servicio y software como servicio; conceptos tratados en la presentación cuando se mencionó los retos a futuro y la responsabilidad compartida de la seguridad al contratar algún servicio cloud. Figura 12 Respuestas pregunta 5 cuestionario. Fuente: Elaboración propia. La pregunta 6 se trataba de unir 5 términos básicos de amenazas con sus respectivas definiciones. Tan solo 8 estudiantes acertaron las 5 veces y 12 acertaron 4 veces lo que corresponde a cerca del 15% que tenía claridad de estos conceptos. Figura 13 Respuestas pregunta 6 cuestionario. Fuente: Elaboración propia. En la última pregunta se muestra una imagen de un correo phishing con 4 indicadores sospechosos, una falta de ortografía, el correo que reemplazaba una vocal i con l, una URL con un dominio diferente de la entidad y un archivo adjunto con una extensión .bat. Solamente el 8% encontró 3 indicadores. Figura 14 Respuestas pregunta 7 cuestionario. Fuente: Elaboración propia. 31 7.3. ESTADO DEL MERCADO LABORAL Esta fase es importante para hacerse a una idea de las necesidades del mercado laboral en materia de ciberseguridad. Para ello en primera instancia se realizó una investigación de fuentes y estudios como el ICS2, la ITU, el National Cibersecurity Index y el CONPES 3995;que hacían referencia la brecha de profesionales en distintas categorías de ciberseguridad y a la puntuación del país en algunos aspectos como se muestra en las figuras 1, 2, 3 y 4 de este documento. Una vez identificado el problema de déficit en la oferta de profesionales y de formación, en segunda instancia se recurre a identificar la demanda específica de que cargos se están necesitando actualmente en el país. Para ello, se busca en las plataformas de empleo más populares como CompuTrabajo y ElEmpleo la cantidad, requisitos y generalidades de los trabajos ofertados por las empresas. • En la plataforma ElEmpleo se filtra de un total de 40296 ofertas la categoría de “sistemas e informática” arrojando 6428 resultados, es decir que, de todas las ofertas laborales, el 15.9% son de TI. Filtrando ahora por “seguridad” se encontraron 780 ofertas relacionadas siendo el 12.13% de las vacantes de sistemas e informática (https://www.elempleo.com/co/ofertas- empleo/sistemas-tecnologia?trabajo=seguridad). • Para el caso de la página de CompuTrabajo, en la categoría “informática/Telecomunicaciones” de las 5891 ofertas, 661 son relacionadas a seguridad informática (https://co.computrabajo.com/trabajo-de-seguridad- informatica). En ambas plataformas los roles más recurrentes son los siguientes: o Analista de seguridad informática. o Analista de ciberseguridad. o Analista de seguridad de la información. o Especialista en ciberseguridad. o Profesional de seguridad de la información. o Operador SOC. o Oficial de seguridad de la información. o Ingeniero de redes y seguridad. o Líder/jefe de ciberseguridad. o Administrador de seguridad. Partiendo de los anteriores roles, se visualiza que los conocimientos más requeridos en las ofertas son: ✓ Conocimiento en equipos de red. 32 ✓ Conocimiento en configuración e instalación de consolas de antivirus. ✓ Conocimiento en administración de políticas de firewall. ✓ Conocimiento en listas de control de acceso. ✓ Conocimiento en configuración de VPNs. ✓ Conocimiento en buenas prácticas en atención de incidentes. ✓ Conocimiento en implementación de controles de SGSI. ✓ Conocimiento en gestión de riesgos. ✓ Conocimientos en directorio activo, DNS y DHCP. ✓ Conocimiento en gestión de backups. ✓ Conocimientos en identificación y remediación de vulnerabilidades. ✓ Conocimientos en administración de usuarios y permisos. ✓ Conocimientos en gestión e implementación de proyectos. ✓ Conocimiento en manejo de elementos en la nube. Por último, para hacer más específico el perfilamiento de este tipo de funciones y roles, se toma como guía una matriz de planes carrera internos, obtenida de una importante compañía líder en el sector y presente en varios países. En ella, especifica los cursos que deben cumplir los empleados dentro de las líneas de ciberseguridad de blue team, red team y vulnerabilidades, en los roles de analista nivel I, analista nivel II, consultor analista senior y consultor especialista junior. Tabla 5 Planes de carrera en ciberseguridad en la compañía. Fuente:Elaboración propia basada en documento interno de la compañia. C o m p e te n c ia Nombre del curso o certificación Blue Team Red Team Vulnerabilities A n a li s ta N iv e l I y I I C o n s u lt o r A n a li s ta S r C o n s u lt o r E s p e c ia li s ta J r A n a li s ta N iv e l I y I I C o n s u lt o r A n a li s ta S r C o n s u lt o r E s p e c ia li s ta J r A n a li s ta N iv e l I y I I C o n s u lt o r A n a li s ta S r C o n s u lt o r E s p e c ia li s ta J r H a b il id a d e s p e rs o n a le s Aprende a escribir los 20 tipos de textos básicos Escucha activa, empatía y asertividad Excel Completo: De principiante a avanzado Scrum Master/ Owner Inteligencia Emocional en Relaciones Personales y Laborales G e s ti ó n y G o b ie rn o Introducción a la Gestión de Servicios ITIL V4 ITIL® Foundation Certificate (V3 o V4) ISO/IEC 27001 ISO/IEC 27001 Internal Auditor ISO/IEC 27001 33 Lead Auditor Gestión de incidentes Cyber security Incident handling and response PCI DSS ISO/IEC 31000 CISSP Certified Information Systems Security Professional V u ln e ra b il i- d a d e s Burpsuite: The basics Burpsuite: Intruder, repeater y extender Burpsuite: Other modules Tenable Certificate Introducction Tenable Certificate Sales Learning Path VM ò OT N e tw o rk in g Aprende Redes desde Cero Curso de direccionamiento IP y Subnetting Fundamentos Networking Networking - OSI/TCP Model Nmap Wireshak & Tshark Protocolos y Puertos Cisco CCNA 200-301 S is te m a s o p e ra ti v o s Linux básico Comandos linux Comandos Powershell Kali linux: Beginners S e g u ri d a d T I, S IE M y a n á li s is f o re n s e Análisis de Malware Ataques Web Introducción a Ciberamenazas actuales Análisis Forense Splunk Fundamentals 1 Splunk Fundamentals 2 Qradar Exabean Network Security Expert - NSE1 Network Security Expert - NSE2 Network Security Expert - NSE3 Network Security Expert - NSE4 Network Security Expert - NSE5 Network Security Expert - NSE6 Network Security Architect Training FortiAnalyzer Palo Alto Firewall PCNSE Training Ethical Hacking Essentials (EHE) Seguridad informática IHE:Certified Incident Handling Engineer Splunk Certified Power User Splunk Enterprise Certified Admin CSA: Certified Cyber Security Analyst Computer Hacking Forensic Investigator (CHFI) PTE: Certified Penetration Testing Engineer Certified Ethical Hacking (CEH) D a rk t ra c e Threat Visualizer Part 1 - Familiarization 34 Threat Visualizer Part 2 - Investigation Threat visualizer Administration Cyber Analyst Part 1 Advanced Analysis Cyber Analyst Part 2 Model Optimization Antigena Network Cyber Engineer C lo u d S e c u ri ty Amazon Web Services AWS Technical Professional Accreditation AWS Cloud Economics Accreditation AWS Partner: Foundations AWS Partner: Migrating to AWS AWS Partner: Advanced Migrating to AWS (Technical) AWS Partner: Security Governance at Scale AWS Partner: Well-Architected Best Practices AWS PSO: Security Best Practices AWS PSO: Cloud Adoption Framework Security Engineering on AWS AWS Certified Security - Specialty AWS Certified Cloud Practitioner - (CLF-C01) AWS Certified Solutions Architect – Associate (SAA-C02)