Avances en ciberseguridad: nueva regulación y formación necesaria en Andorra

La ciberseguretat en Andorra ha incrementado su regulación con la Ley 22/2022, que establece medidas para proteger las redes y sistemas de información. Se busca fortalecer la seguridad nacional mediante el incremento de medidas técnicas y organizativas en empresas. La formación de profesionales en ciberseguridad es clave, destacando la creación de un Postgrado en la Universitat d'Andorra.
Retrato de un profesional en ciberseguridad con fondo blanco
La ciberseguridad es esencial para proteger la infraestructura tecnológica de Andorra.

Estando inmersos desde hace tiempo en un aumento de la regulación en materia de ciberseguridad, Andorra ha dado un paso significativo con la aprobación de la Llei 22/2022, del 9 de junio, que establece medidas para la seguridad de las redes y sistemas de información. Esta normativa sienta las bases de una regulación necesaria y, sobre todo, define dos grupos de empresas con distintos niveles de afectación: las entidades importantes y las esenciales.

La legislación establece la obligación de adoptar medidas técnicas y organizativas proporcionadas al riesgo, con el objetivo de incrementar los niveles de seguridad. Si todas las entidades logran elevar su nivel de protección, se mejora la seguridad colectiva de todo el país. Este enfoque es conocido como el principio de inmunidad de grupo aplicado al ámbito tecnológico.

El objetivo de la ciberseguridad nacional

El propósito principal de esta ley no es únicamente proteger a las empresas de forma aislada para su beneficio privado, sino salvaguardar la seguridad nacional y la economía en su conjunto. En un ecosistema digital y en un país de las dimensiones de Andorra, el efecto de la ciberseguridad puede considerarse sistémico.

La creciente preocupación por la seguridad digital, evidenciada por el aumento de regulaciones, impulsa a invertir más en este ámbito para elevar los niveles de protección. Para madurar en ciberseguridad, es esencial actuar en tres áreas: las personas, los procesos y las herramientas tecnológicas.

Ámbitos de actuación en ciberseguridad

El primer ámbito que suele venir a la mente es el de las herramientas, es decir, la tecnología. Esto incluye los elementos técnicos que ejecutan o controlan, como los instrumentos que permiten autenticar usuarios, los sistemas de monitoreo y detección de ataques, o las tecnologías de automatización para responder de manera rápida y estructurada.

El segundo ámbito son los métodos o procesos, los cuales definen las reglas del juego: el cómo, el cuándo y el porqué. Aunque se disponga de las mejores herramientas, sin un método adecuado no sirven de nada. Los marcos, políticas, procedimientos y planes de respuesta son tan imprescindibles como las herramientas más avanzadas, ya que delinean la estrategia de seguridad, identifican riesgos y establecen medidas a seguir.

La importancia de las personas en la seguridad

Finalmente, el tercer ámbito se centra en las personas. La seguridad comienza y termina con los individuos. En este contexto, se evalúa la concienciación y la organización humana. Es crucial formar a los usuarios sobre los riesgos, dado que se han convertido en el principal objetivo de los ataques.

Un error común es destinar la mayor parte del presupuesto a las herramientas, descuidando los métodos y las personas que deben utilizarlas o evadir los engaños. La verdadera madurez en ciberseguridad crece cuando las tres áreas avanzan al mismo ritmo.

La formación en ciberseguridad como solución

Entre los tres ámbitos de actuación, se destaca el de las personas desde la perspectiva operativa. Actualmente, Andorra enfrenta una falta de perfiles especializados en ciberseguridad. Las razones son evidentes: una creciente demanda interna, impulsada en parte por la regulación, una feroz competencia del teletrabajo internacional, la escasez de atracción de talento y la falta de oferta local de formación especializada.

Este último aspecto ha llevado a crear un Postgrado en Ciberseguridad, cuya primera edición comenzará en octubre en la Universidad de Andorra. La creación de este postgrado responde a varias razones: la demanda real de profesionales no cubierta, un aumento previsto en esta demanda, la posibilidad de estudiar sin salir del país, y la continuidad del Grado en Informática de la UdA. Además, será una oportunidad para establecer contactos con compañeros, profesores de renombre e instituciones, facilitando así el ingreso al mundo de la ciberseguridad.

Si se desea que la inmunidad colectiva en materia de ciberseguridad crezca y que el país sea un lugar más seguro tecnológicamente, es fundamental formar a los estudiantes para que puedan desempeñar su labor como profesionales en las empresas locales, que son necesarias para el desarrollo del sector.