<Podemos_ayudarte/>

¿Qué estás buscando?

Club CISO

Persona trabajando frente a dos monitores con código en pantalla, en un entorno de oficina oscura, ilustrando la labor de un profesional de ciberseguridad dentro del marco europeo de competencias ECSF.
<Blog CISO/>

¿Qué es el ECSF y por qué debería importarnos?

Lo único permanente es el cambio, cada vez somos más conscientes de ello creando nuevos términos que reflejen nuestra realidad, como el ya bien conocido entornos VUCA, prácticamente obsoleto y que está siendo sustituido por BANI, que también caerá con el tiempo en desuso.

Como parte de esta realidad, el campo de la Ciberseguridad es un claro ejemplo de la evolución constante: amenazas por unas cada vez más sofisticadas, transformación digital aceleradas apostando por tecnologías emergentes o cambios regulatorios exigiendo estándares más ambiciosos. La adaptación exitosa a los nuevos retos que han llegado y los que vendrán, hacen más evidente la necesidad de definir claramente los perfiles profesionales que la sustentan.

En este contexto, el European Cybersecurity Skills Framework (ECSF), desarrollado por ENISA, se presenta como una herramienta clave para armonizar conocimientos, capacidades y habilidades (KSA, Knowledge, Skills and abilities) en Europa desde una perspectiva holística del entorno, considerando qué profesionales demandan las empresas, qué habilidades tienen los perfiles del sector y cómo desarrollar las competencias para afrontar ese gap entre las partes.

Ilustración comparativa del ECSF mostrando a tres actores: organizaciones, proveedores educativos y usuarios. Se destacan las preguntas clave: organizaciones preguntan '¿Qué competencias deben tener nuestros trabajadores?', proveedores educativos '¿Qué deberían incluir nuestras formaciones?' y usuarios '¿Qué habilidades y conocimientos necesito?'. Fuente: INCIBE 2024.

Ilustración 1: ECSF en Organizaciones, Proveedores educativos y Usuarios (INCIBE, 2024)

¿Qué es el ECSF?

El ECSF es un marco que identifica 12 perfiles profesionales esenciales en ciberseguridad, describiendo sus funciones, conocimientos, habilidades y herramientas. Su objetivo es facilitar la comprensión y el desarrollo de la ciberseguridad para todos los actores del proceso y aplicable en todos los sectores.

Rueda de mejora continua de ciberseguridad del ECSF con 12 perfiles profesionales: Plan (CISO, Legal y Cumplimiento, Risk Manager, Arquitecto), Implementar (Implementador, Educador), Operar (Incident Responder, Forense Digital, Especialista en Inteligencia de Amenazas), Mejorar (Tester de penetración, Auditor, Investigador en ciberseguridad). Fuente: ENISA.

Ilustración 2: Los 12 perfiles del ECSF (ENISA, 2022)

¿Por qué es relevante?

Definir roles de ciberseguridad con precisión es un reto común para CISOs y responsables de RRHH. El ECSF ofrece una estructura clara para hacerlo de forma coherente y alineada con estándares europeos, aportando el siguiente valor:

  • Claridad en roles: Evita solapamientos y ambigüedades facilitando la planificación de los recursos y sus planes de carrera.
  • Mejora en selección y formación: Permite identificar brechas de talento y crear programas de formación en consecuencia que de cobertura a las necesidades de habilidades emergentes.
  • Alineación con políticas europeas: Crea una taxonomía para alinear estándares de cada industria, apoyando iniciativas como NIS2 o DORA.
  • Movilidad laboral: Facilita la interoperabilidad entre países europeos.
¿Qué puedes esperar del ECSF?

Además de los 12 perfiles nombrados anteriormente, de cada uno de ellos se especifica una serie de componentes que facilitan su mapeo con los organigramas corporativos de cada organización, identificándose las competencias clave y grado de dominio que debe de tener cada puesto:

Tabla de componentes de cada rol ECSF según ENISA 2022: incluye título del perfil, títulos alternativos, declaración de resumen, misión, entregables, tareas principales, habilidades clave, conocimientos esenciales y e-competencias conectadas al marco europeo EN16234-1 e-CF.

Tabla 1: Componentes de cada rol ECSF (ENISA, 2022)

Pasos clave
  1. Identificar necesidades internas: ¿Qué objetivos de ciberseguridad son prioritarios para la organización?
  2. Seleccionar perfiles del ECSF: Teniendo en cuenta los componentes, ¿Qué roles cubren esas necesidades? ¿Requieren adaptaciones para implementarlo en el entorno empresarial?
  3. Aplicar en procesos de RRHH: Desde la selección en caso de incorporar nuevos perfiles al área de Ciberseguridad como evaluando e impulsando el desarrollo profesional de los equipos existentes.
  4. Revisar periódicamente: Como parte de cualquier mejora continua, analizar las tendencias y ajustar según evolución tecnológica y organizativa.
Conclusión

El ECSF no es solo un marco técnico, sino una herramienta estratégica para construir y retener equipos de ciberseguridad más eficaces y preparados para los desafíos actuales.

Trabajos citados

ENISA. 2022. User Manual: European Cybersecurity Skills Framework (ECSF). [En línea] 19 de Septiembre de 2022. https://www.enisa.europa.eu/sites/default/files/publications/European%20Cybersecurity%20Skills%20Framework%20User%20Manual.pdf.

INCIBE. 2024. Marco Europeo de Habilidades de Ciberseguridad (ECSF) ENISA. [En línea] 2 de Julio de 2024. https://www.youtube.com/watch?v=oKFIrF6ULD4.

 

Silvia Rámila

Govertis, parte de Telefónica Tech

Por

Entradas relacionadas