Cuando se habla de ciberseguridad es común que empresas e instituciones gubernamentales asuman que basta con implementar políticas y soluciones de protección de la red para garantizar la ciberseguridad. Aunado a esto, la mayoría de las organizaciones busca contratar profesionales para realizar múltiples tareas, desde la gestión de firewalls, endpoints e IPS, hasta intentar realizar análisis de amenazas y dar respuesta a incidentes.

Esta práctica no solo es errónea, sino que deja ver la falta de entendimiento que existe respecto a la complejidad que implica la ciberseguridad. Ya que, si bien es necesario contar con soluciones de seguridad de la red que estén bien configurados, esto resulta insuficiente cuando las empresas están bajo ataque.

Pero se podrían preguntar, ¿por qué un administrador de seguridad no es el perfil adecuado para enfrentar un ciberataque? En este caso, lo primero que hay que aclarar es que la ciberseguridad se divide en dos mundos, la parte de gestión y las operaciones.

En la Administración de Ciberseguridad, se encuentran los especialistas responsables de establecer políticas de firewall, IPS o endpoint. Son quienes configuran los controles para cifrar comunicaciones, bloquear accesos a sitios peligrosos o restringir conexiones IP con ciertos países. Su trabajo es esencial para definir los requerimientos mínimos de seguridad con los que una empresa puede trabajar.

En el equipo de Operaciones de Ciberseguridad se ubican los profesionales entrenados para actuar cuando un atacante logra evadir las políticas establecidas (por los administradores de seguridad). El equipo de operaciones es experto en investigar indicadores de compromiso, firmas de malware y artefactos maliciosos, dominan marcos como MITRE ATT&CK y saben reconstruir la línea de tiempo de un ciberataque para contenerlo y erradicarlo.

Entonces, cuando un hacker logra superar las políticas de seguridad, en ese momento el administrador de seguridad ya no puede apoyar, debido a que ya cumplió su función de configurar las políticas de los dispositivos. Lo que sigue es librar una batalla donde se requiere identificar al intruso, contenerlo y expulsarlo, al mismo tiempo es necesario analizar la información para detectar las amenazas y responder con un plan de acción para minimizar el impacto. Para esto se necesitan los especialistas en operaciones de ciberseguridad, perfiles que piensan como hackers y conocen sus métodos.

Ahora bien, es importante señalar que los perfiles altamente especializados requeridos para integrar equipos de Operaciones de Ciberseguridad son escasos, no solo en México, sino a nivel mundial. Además, se trata de profesionales que suelen percibir ingresos elevados, lo que dificulta que muchas empresas e instituciones puedan incorporarlos de manera directa en sus plantillas.

En conclusión, un administrador de ciberseguridad no resulta suficiente para enfrentar un ciberataque, la opción adecuada es contar con especialistas en Operaciones de Ciberseguridad, capaces de investigar y contener incidentes avanzados. Y para aquellas organizaciones que no disponen de los recursos necesarios para integrarlos a su equipo local, la alternativa es recurrir a un MSSP que ofrezca servicios gestionados de detección y respuesta ante amenazas.

–Juan Alejandro Aguirre, Director de Soluciones de Ingeniería para América Latina en SonicWall.