Innovar en ciberseguridad desde las personas (II) El rol de la criminología
Autor: Marcelo Ruano Serna
Resumen:
En un artículo anterior se introdujo el concepto de innovación y se exploraron algunas de las tendencias que interactúan en el futuro del trabajo. Continuando en esa línea en el presente artículo introduciremos el perfil profesional que ofrece la criminología y las sinergias que se pueden crear entre estos profesionales y personal técnico en el campo de la ciberseguridad en este contexto de incertidumbre y grandes cambios a nivel laboral.
En primer lugar, se introducirá la disciplina. Posteriormente, se desarrollarán los conocimientos, competencias y habilidades de los que disponen este tipo de profesionales. Se explorará la utilidad de los mismos en el ámbito de la ciberseguridad. Para finalizar, se esbozarán brevemente algunas de las áreas de la ciberseguridad donde, con la debida formación, los graduados y graduadas en criminología podrían aportar más valor
Palabras clave: Criminología, Innovación, Ciberseguridad
Innovar en ciberseguridad desde las personas.
En un anterior artículo se realizó una introducción al concepto de innovación con la promesa de continuar profundizando en ese tema. La idea de esta serie de artículos es destacar el rol fundamental que jugamos las personas en la innovación, ya que por el momento seguimos manteniendo el monopolio de la misma.
Una forma de innovar desde las personas es mediante la gestión del conocimiento y del talento y mediante la contratación de perfiles profesionales diferentes. De este modo surgen sinergias que permiten crear productos o servicios o mejorar los ya existentes. Si se juntan personas talentosas de diferentes disciplinas en un mismo espacio pueden surgir nuevas ideas que sirvan de base para la innovación.
En el presente texto vamos a sacar a la luz un perfil profesional poco conocido en el ámbito de la ciberseguridad y en la empresa privada. Esta profesión desconocida, no es otra que la criminología.
En las siguientes líneas explicaremos un poco en que consiste esta disciplina y los conocimientos que poseen los graduados en esta ciencia.
¿Qué es la criminología?
Definición
Antonio García-Pablos de Molina uno de los padres de la moderna criminología española define la criminología de la siguiente forma: La criminología es una ciencia empírica e interdisciplinaria que se ocupa del delito, del delincuente, la víctima y el control social del comportamiento delictivo; y que trata de suministrar una información válida, asegurada sobre la génesis y la dinámica del problema criminal y sus variables; sobre los programas y estrategias de prevención eficaz del delito y sobre las técnicas de intervención positiva en el hombre delincuente. (García-Pablos de Molina, 1989).
Han pasado más de 40 años y se han formulado numerosas definiciones nuevas sobre esta disciplina científica. La sociedad y el fenómeno criminal también han variado enormemente en cuanto a su tipología y métodos. En estos años se han creado numerosos programas de intervención y de prevención delictiva.
No obstante, en lo esencial esta definición de la criminología sigue siendo muy válida para los fenómenos delictivos actuales. Especialmente por el objeto de la misma. La criminología aplicada al ámbito ciber continúa ocupándose del ciberdelincuente, la víctima(s) y el control social del comportamiento delictivo.
Por otra parte, de la definición clásica de la criminología me gustaría destacar un habilidad extremadamente valiosa. Como bien aparecía recogida como elemento clave de esta ciencia la interdisciplinariedad.
La criminología bebe de varias fuentes y esto convierte a los graduados en esta disciplina en profesionales muy versátiles con una amplia visión del mundo y con gran facilidad para reinventarse.
Formación generalista en un mundo hiperespecializado: nadando a contracorriente
Tener una formación profesional “generalista” suele verse como algo negativo en el mundo empresarial. Esto se debe a que tradicionalmente en las últimas décadas los perfiles profesionales más exitosos y demandados eran perfiles muy especializados en un campo concreto.
Sin embargo, como ya se dijo en el primer artículo sobre está temática actualmente nos hallamos ante un cambio de paradigma, el trabajo del futuro requerirá otras habilidades y competencias más allá de la hiperespecialización.
Ventajas de los profesionales con una base generalista
Tener una formación de base generalista es interesante por varias razones:
- Amplitud de miras: Muchos de los problemas a los que las empresas han de enfrentarse tienen múltiples aristas y un único enfoque es incapaz de comprenderlo en su totalidad. Por ejemplo, el caso de un ransomware que encripte los datos de una empresa y pida un rescate. Para el personal de IT o de respuesta a incidentes será un problema técnico a resolver (analizar el malware, restablecer los sistemas y las copias de seguridad, atribuir el ataque etc). El contable de la empresa lo considerará un problema económico. Desde una perspectiva del personal de comunicación se tratará de un daño reputacional. Sin embargo para el delegado de protección de datoses un problema legal. Este mismo problema, para los directivos de la empresa supone tener que tomar decisiones vitales para la continuidad o incluso la supervivencia del negocio en un entorno de alta incertidumbre. Un perfil procedente de la criminología en un equipo multidisciplinar puede contribuir a integrar las diferentes visiones del mismo incidente y analizarlo globalmente.
- Versatilidad y multitasking: Se trata de un perfil versátil por disponer de una formación procedente de varias disciplinas. Permite desempeñar diversas tareas en diferentes departamentos dentro de una empresa.
- Especialización y facilidad para reinventarse: La tendencia indica que el trabajo del futuro no será para toda la vida. Los profesionales desempeñaremos diferentes puestos de trabajo y habremos de estar reinventándonos constantemente. Los criminólogos y criminólogas en ese sentido partimos de una buena base, nuestros conocimientos procedentes de varias disciplinas nos permiten poder profundizar en ellas y reinventarnos más rápidamente que otros profesionales.
Disciplinas y asignaturas que se estudian en criminología:
Actualmente más de 20 universidades españolas ofrecen esta titulación. La criminología es una ciencia autónoma pero esta compuesta por varias disciplinas que la nutren con su metodología y conocimientos. Como es lógico, existen discrepancias entre los planes de estudio en algunas de las asignaturas y especializaciones cursadas en las diferentes universidades. No obstante, las asignaturas por lo general se engloban dentro de las siguientes grandes áreas:
- Derecho.
- Psicología.
- Sociología y ciencias políticas.
- Estadística, metodología y análisis de datos.
- Teorías criminológicas.
- Informática.
Criminológos/as como juristas vs criminólogos/as analistas
Durante los primeros años como título de grado los estudios de criminología estaban prácticamente orientados a formar a profesionales en activo (miembros de ffccsee, abogados penalistas, peritos etc) y se hallaba prácticamente monopolizado por los departamentos de derecho público de las universidades, especialmente penal. Los estudios estaban enfocados en formar a criminólogos/as con un fuerte componente jurídico. La mayoría de salidas profesionales estaban relacionadas con el ámbito público o el tercer sector.
Con el paso de los años la demografía en las aulas ha cambiado y aunque sigue existiendo una gran primacía del derecho en muchas universidades se ha ido progresando e introduciendo asignaturas de carácter más analítico. Dejando un poco de lado el enfoque más clásico u ortodoxo de la criminología, sobre el que existe multitud de información, nos centraremos en un perfil mucho más innovador y adecuado a los nuevos tiempos. El rol del profesional criminólogo/a como analista.
El criminólogo/a como analista o miembro de un equipo de análisis
: Un enfoque relativamente nuevo y un perfil profesional que tradicionalmente no se suele dar a conocer en las universidades. Tiene un fuerte componente tecnológico, interdisciplinar y de trabajo en equipo. Este enfoque pertenecería a la llamada criminología corporativa o empresarial que conocen muy bien nuestras compañeras del área de criminología .
En él se podrían incluir puestos de trabajo relativamente recientes como la prevención de pérdidas, prevención del fraude y el blanqueo de capitales, la protección de la reputación y marca corporativa, el análisis geográfico del delito, la ciberinteligencia o la ciberseguridad. En este caso el perfil procedente de la criminología interactúa con profesionales procedentes de otras disciplinas cuyos conocimientos tradicionalmente se habían considerado alejados de la misma. Por ejemplo, ingenieros informáticos, economistas, contables, personal logístico o de tienda en el sector retail, analistas de datos, estadísticos/as etc. (Puedes encontrar más información acerca de las salidas profesionales de la criminología aquí )
Entiendo el rol del criminólogo/a como analista, permite crear sinergias muy interesantes entre disciplinas que habían mantenido poco contacto previamente. Contar con un criminólogo/a como miembro de un equipo de analistas procedente de múltiples campos del saber con un objetivo común ha sido poco explotado hasta la fecha. En este contexto, partiendo desde una verdadera innovación desde las personas permitiría a estos profesionales alcanzar su verdadero potencial y ofrecer un valor añadido muy destacable en el sector privado. Ante un mundo con problemas cada vez más complejos e inabarcables por una única disciplina contar con un perfil profesional que ofrezca un enfoque fresco, diferente e integrador resulta de gran utilidad.
Soft Skills
A continuación, se enumeran algunas de las soft skills que poseen los graduados/as en criminología.
- Resolución de problemas.
- Pensamiento crítico.
- Curiosidad y creatividad.
- Trabajo en equipo.
- Multidisciplinariedad.
- Versatilidad y adaptación al cambio.
Sinergias y áreas de la ciberseguridad donde la criminología puede aportar valor
Para finalizar este artículo me gustaría introducir brevemente algunas de las áreas de la ciberseguridad donde, a mi juicio, un perfil criminológico podría aportar mucho valor. Teniendo en cuenta los tres tipos de prevención existentes en criminología se podría incidir en la prevención primaria (antes de que se produzca un ciberataque) y terciaria (una vez se ha producido). Las tareas y labores de la prevención secundaria (minimizar los daños cuando se están produciendo) son tareas de gran complejidad técnica donde entraría en juego los equipos de respuesta a incidentes.
Prevención primaria
- SOC y equipos dedicados al análisis de riesgos y amenazas. La detección identificación y análisis de amenazas es otro de los campos donde podría ser de gran utilidad este perfil profesional. En primer lugar, la criminología ofrece un enfoque fresco y diferente que permite ofrecer otra visión a la hora de analizar los indicadores de riesgos y amenazas. Sumado a ello, como ya se ha mencionado en otro artículo existen dinámicas y sesgos cognitivos grupales que contaminan los análisis. Generalmente, en este tipo de equipos de trabajos se busca personas procedentes del sector IT con especialización o certificaciones de ciberseguridad. En estos equipos analíticos, aunque se obtienen habilidades diferentes debido a la diferente especialización de sus miembros, el “background” no deja de ser similar ya que suelen proceder la mayoría de analistas del mismo ámbito de conocimiento. Disponer de una persona procedente de una disciplina totalmente diferente como el que ofrece la criminología, siempre con la debida formación puede permitir mayor riqueza en el análisis ayudar al equipo a reconocer sesgos cognitivos e identificar dinámicas grupales que puedan contaminar el análisis.
- Ciberinteligencia: Una defensa proactiva de la empresa y los trabajadores parte de conocer en profundidad la información existente en internet ya sea procedente de la propia empresa (sus redes sociales, web o declaraciones de sus trabajadores) y por terceros maliciosos (filtraciones de datos) o no maliciosos (noticias en prensa etc). Un ejemplo de esto consistiría en conocer previamente a un ciberataque la huella digital de la empresa o los trabajadores de más riesgo o con mayor exposición en internet. Desde una perspectiva criminológica se podría entender la Huella digital como parte de la prevención del ciberdelito utilizando la información obtenida para tomar decisiones destinadas a evitar que un ataque utilizando la ingeniería social tenga éxito.
Prevención terciaria
- Victimología: A día de hoy la gran mayoría de empresas y pymes ha sido víctima de algún ciberataque. Identificar y analizar el perfil de los empleados víctimas resulta de gran utilidad para detectar necesidades de formación o protección específicas. Por ejemplo, los datos demográficos, puesto de trabajo que desempeña la víctima, nivel de riesgo y exposición en internet.
- Ingeniería social: Muy relacionado con lo anterior. En este caso se trataría de conocer el “modus operandi” utilizado por los atacantes. Es decir, los métodos más empleados para manipular o engañar a los trabajadores de una empresa o empresas concretas. Por ejemplo, identificar si se trata de campañas de phishing genéricas o específicas, analizar el contenido de los emails fraudulentos (tanto de los que han tenido éxito como de los que no) para poder crear una base de datos donde analizar los mismos. Se podrían crear además temáticas y tipologías de phising sufridos en una empresa concreta. Un ejemplo de la composición de esta base de datos podría ser ofertas fraudulentas de productos o servicios de interés para la empresa, suplantación de proveedores, facturas falsas etc.
Marcelo Ruano- Graduado en Criminología y Seguridad
Bibliografía:
García-Pablos de Molina, A. (1989). La aportación de la Criminología. Eguzkilore: Cuaderno Del Instituto Vasco De Criminología, 3, 79-93. Recuperado de: https://addi.ehu.es/bitstream/handle/10810/26275/09%20-%20La%20aportacion%20de%20la%20criminologia.pdf?sequence=1&isAllowed=y