Los profesionales de seguridad informática de hoy necesitan aprender rápidamente, comunicarse con mayor eficacia, saber más acerca de la empresa, y combinar las capacidades de un conjunto cada vez mejor de adversarios. Pero, hasta hace poco tiempo, todo lo necesario para sobrevivir en el campo era una dosis de fuerte visión para los técnicos y una inyección de creatividad para proteger la red, resolver la mayoría de problemas, y defenderse de los ataques.
Hoy no es así. El papel del profesional de la seguridad ha evolucionado más allá de la mera habilidad técnica, y ahora incluye ser consultor, educador, investigador y defensor de los datos.
Para comprender las características y los hábitos que más importan, nos pusimos en contacto con una serie de profesionales de la seguridad por teléfono, correo electrónico y redes sociales, quienes tienen éxito en sus respectivas áreas de campo.
Algo que salió a relucir en las entrevistas fue que el conocimiento sobre la seguridad por sí solo, es apenas el comienzo de las habilidades y hábitos que uno necesita para tener éxito.
Hábito efectivo 1: Comunicaciones
Como lo dijo Branden Williams, vicepresidente ejecutivo de Estrategia de Sysnet Global Solutions, es la capacidad de traducir “l33tsp34k a un P & L”. La comunicación interpersonal es crítica para los profesionales forenses y de la seguridad por una variedad de razones, la más poderosa es el interés propio. “Los buenos comunicadores ganan más promociones y más puestos de trabajo que los malos comunicadores. Podría ser el mejor técnico del mundo, pero si no puede mantener una conversación sobre lo que está haciendo con la gente de negocios, no le pedirán que regrese”, señala Brian Martin, fundador de Digital Trust con sede en Allentown PA.
Las comunicaciones, en términos generales, son un desafío entre los muchos sabores de profesionales de TI -no sólo de seguridad. “Mi suposición ha sido siempre que es porque pasamos nuestros años de escuela aprendiendo cosas y no nos preocupamos por otras personas. También hay una tendencia de que las personas con problemas de comunicación se centren en los desafíos técnicos, como una forma de compensarlos. Ya se trate de la lengua, las artes o la ciencia, las personas que son muy buenos en eso tienen, en muchos casos, sus habilidades interpersonales descuidadas”, anota Martin.
Hábito efectivo 2: Visión para los negocios
Cada vez más, el conociendo del negocio y la forma de lidiar a través de retos políticos es tan importante como la visión para los técnicos. Para los CSO es más importante en términos de ser capaces de persuadir a los líderes de negocios con el fin de obtener los recursos que necesitan para tener éxito, y compromiso con el liderazgo empresarial y la organización cuando sea necesario.
“Con el fin de ser un CISO efectivo, primero debe entender cómo su organización hace el dinero, y conocer las amenazas del mundo real que influyen en el éxito sostenido. No hay soluciones mágicas y no hay listas de control que se pueden implementar para reducir su perfil único de riesgo”, señala Boris Sverdlik, gerente de producto y seguridad de la plataforma en Tagged.
Un factor que es necesario para el éxito a largo plazo es el compromiso, que, en esencia, significa ser capaz de ayudar a la empresa a cumplir sus objetivos, manteniendo los riesgos dentro de los niveles de tolerancia aceptables. “Parte de la razón por la que creo que el compromiso es una habilidad tan importante para un profesional o CISO de seguridad, es que muchos de nosotros estamos capacitados para decirle ‘no’ a las nuevas iniciativas, sin tratar de hacer un camino para llegar al ‘sí'”, señala Williams.
Williams recordó una conversación reciente con un CISO de una gran empresa en la que proclamó que “inequívocamente” prohibió BYOD en su organización. Lo que el CISO no parece entender es que sucedía de todas formas, explica Williams, detrás de su conocimiento y del departamento de TI. “La gente encuentra formas de llevar ciertos elementos de trabajo a sus dispositivos personales a través de programas de intercambio en la nube como Dropbox y Evernote. La empresa claramente tenía una necesidad de algunos de estos servicios, pero su obstinación condujo a que sus usuarios le sacaran la vuelta”, añade.
Hábito efectivo 3: Creatividad
No es ningún secreto que el adversario es muy creativo y estos atacantes y profesionales de seguridad inteligentes, dinámicos, creativos y motivados necesitan coincidir con esas mismas habilidades.
Además de la defensa, la creatividad también ayuda a resolver problemas técnicos. Por ejemplo, Williams recuerda el momento en que un cliente estaba explorando un sistema móvil de punto de venta para utilizarlo fuera de su lugar principal de negocio. “El CISO nunca dijo abiertamente ‘no’, sino que trabajó a través de los requisitos de la empresa, encontró soluciones aceptables que cumplían los objetivos de seguridad de la empresa, aprobó algunos de los costos, y fue capaz de obtener una solución de trabajo”, añade Williams.
Este es un ejemplo de cómo los profesionales de seguridad creativos pueden mejorar sus relaciones con los otros accionistas de la empresa, o de menor riesgo, con mayor eficacia.
Hábito efectivo 4: Habilidades de análisis de causas/resolución de problemas
Según Martín de Digital Trust, las habilidades de resolución de problemas son necesarias, porque es imposible capacitarse en lo desconocido, y habrá muchas incógnitas para analizar en la carrera de seguridad típica.
“Nadie puede saber todo acerca de todo, y siempre hay algo nuevo, diferente o extraño que se presenta”, señala. Esta es la razón de su práctica. Martin busca candidatos que, además de poseer un buen nivel de competencia en materia de seguridad, tengan habilidades en resolución de problemas. “Ellos no saben cómo resolver un nuevo problema inmediatamente, pero lo descubrirán muy rápido. Este es esencialmente el corazón de la piratería; averiguar cosas nuevas. Sin la capacidad de pensar en sus huellas y descubrir material no encontrado, cómo van a responder a un cambio misterioso en una configuración de caja, o el último día cero”, se pregunta.
Curiosamente, cuando se trata de llegar a la causa raíz de los problemas e incidentes, las habilidades de comunicación y la visión para los negocios entran en juego y mejoran los resultados. “La diplomacia también puede ser eficaz en crisis o situaciones reaccionarias”, señala KC Yerrid, directora general de FisnNet Security. “Considere las barreras para la determinación de causa del rooteo de un incidente. Mediante la utilización de la diplomacia, se pueden reducir las motivaciones personales para distorsionar la verdad y proteger la seguridad del empleo o el ego, lo que resulta en una resolución más eficiente y el cambio de la caza de brujas de la meta del rooteo en un mecanismo de mejora de procesos de buena fe”, añade Yerrid.
Hábito eficaz 5: Consumo competente del conocimiento
Otro rasgo crítico mencionado entre los encuestados está aplacando el deseo constante de aprender cosas nuevas. Kelly Lum, técnica en seguridad de la información en Citi señala que se trata de mantenerse en la parte superior de las noticias y los cambios o avances de su campo, ya se trate de desarrollos de políticas, nuevas técnicas de explotación, clases de ataques, tecnología emergente, y otras tendencias.
La necesidad de una actitud de aprendizaje para toda la vida es clara en la superficie. En los últimos cinco años, la tecnología ha cambiado enormemente y también lo ha hecho la comprensión general de la industria sobre los adversarios que enfrenta. Para mantenerse al tanto de las últimas tecnologías, explotaciones, y tendencias de los ataques, es importante buscar en los libros, blogs, redes sociales y sitios de noticias a diario, y obtener certificaciones y asistir a una conferencia o dos cada año.
Sverdlik de Tagged añade que también es seguro revisar una serie de recursos de todos los días. “Yo personalmente leo Reddit, una lista completa de divulgación de correo electrónico, y muchos otros todos los días solo para estar al tanto de las tendencias y relacionarlas a mi organización”, añade.
Hábito efectiva 6: Colaborar activamente con los accionistas de la empresa
Los profesionales de seguridad eficaces siempre están buscando maneras de involucrar a las partes interesadas del negocio, ya sean del liderazgo empresarial o en equipos de TI y operaciones. “Sin un compromiso por adelantado, durante la definición de requerimientos, la seguridad será presionada para ser proactiva”, anota Tadd Axon, arquitecto TI en Softchoice con sede en Ontario Oakville. “La colaboración con los equipos de infraestructura y desarrollo desde el principio (en realidad convertirse en una parte interesada de un proyecto, y no solo en un observador), y durante la construcción y prueba de un sistema dado, otorga a todas las partes una mejor comprensión de los objetivos de negocio, y las razones técnicas, organizativas y otras de por qué se hacen ciertas elecciones para asegurar la funcionalidad”, añade.
Este nivel de compromiso temprano y persistente habilita la seguridad para argumentar adecuadamente contra ciertos cursos de acción y ofrecer alternativas más coherentes”, anota Axon.
Hábito efectivo 7: Ser un estudiante de ofensa y defensa
Cuando se trata de la seguridad de la información, un buen ataque a menudo significa una defensa eficaz. “Para entender su perfil de riesgo, debe comenzar a mirar a su organización desde una perspectiva de confrontación; esto requiere un conocimiento profundo de técnicas de ataque. Cuando hablamos de ofensas, nos estamos refiriendo a las técnicas utilizadas por los adversarios para explotar las vulnerabilidades de su organización ya sea con fines de lucro, ventaja competitiva o, peor aún, para empañar su reputación”, señala Sverdlik.
Si bien a los CISO generalmente no se les pide que conduzcan pruebas de penetración o aplicaciones de ingeniería inversa, tienen que entender los conceptos básicos de cómo operan los atacantes de hoy. “Muchas de las infracciones de hoy no son sofisticadas, emplean técnicas que se han utilizado una y otra vez, sin embargo, tienen éxito porque muchos profesionales de seguridad cumplen con una lista genérica, que puede o no puede reducir el riesgo. En mi experiencia, la mejor manera de entender cómo piensan los atacantes, es utilizar la gran cantidad de información disponible en la actualidad”, anota.
Si bien estos siete hábitos son ciertamente no inclusivos, los profesionales de seguridad y de TI creen que son esenciales para el éxito. A pesar de que el talento de seguridad es difícil de conseguir, todavía no hay lugar para la complacencia, no importa qué tan profundos sean los conocimientos técnicos de uno. “Por la forma en que el mundo se está reduciendo, si no está motivado y capaz, no servirá de mucho para la fuerza de trabajo. Es por eso que estas habilidades son tan esenciales, porque solo los jugadores del nivel A y B van a dar la talla. No hay espacio en un entorno competitivo para el nivel medio o bajo”, señala Martin de Digital Trust.
-George V. Hulme, CSO
