¿Qué provoca la falta de competencias en la ciberseguridad?
La opinión de un experto sobre porqué faltan competencias en ciberseguridad y cómo identificar y formar a la siguiente generación de profesionales.
Las principales razones por las que sigue siendo difícil contratar a profesionales de seguridad tienen que ver con la naturaleza multidisciplinaria de la seguridad en general y con la falta de competencias para la nube específicamente en el mercado. Esta es la opinión de nuestro experto sobre porqué persiste esta falta de competencias y sobre cómo identificar y formar a la siguiente generación de profesionales en ciberseguridad.
A pesar de lo que la ficción sugiere, es raro que dos genios de la programación participen en un combate cibernético mano a mano uno contra el otro desde la comodidad de sus estaciones de trabajo. (Aunque sí sucede, de vez en cuando).
La ciberseguridad en la era de la nube es, de hecho, distinguidamente simple, al menos en concepto. En realidad, la ciberseguridad es una función de administración que protege la confidencialidad, integridad y disponibilidad (CIA, por sus siglas en inglés) de los datos de una empresa mediante el desarrollo, la comunicación y el perfeccionamiento de políticas que rigen la manera en que se usa la tecnología y se accede a esta.
Si se aplican bien, estas políticas evitan los riesgos cibernéticos de escalar a algo parecido a un escenario estilo Hollywood. Y lo hacen garantizando que no se ahorre dinero cuando la organización busca, por ejemplo, ciclos de lanzamiento de productos más cortos o una forma más eficiente de trabajo remoto.
Entender esto es clave para apreciar la naturaleza de la tan comentada falta de competencias en la ciberseguridad, que sigue siendo una preocupación para los líderes de TI.
Esta escasez de talento no es un desafío nuevo. Pero cuando el 43 % de las organizaciones todavía informa que la competencia por el talento de seguridad dificulta contratar y retener al personal, es momento de que abordemos la falta de aptitudes en la ciberseguridad desde un punto de vista diferente.
El 43 % de las organizaciones todavía informa que la competencia por el talento de seguridad dificulta contratar y retener al personal
Por qué existe, y persiste, la falta de competencias en la ciberseguridad
La falta de competencias en la ciberseguridad existe y persiste porque las aptitudes que buscan las empresas son polifacéticas, tienen mucha demanda y van más allá de lo técnico. Desde la seguridad física hasta la creación e implementación de políticas, y los desafíos que acompañan al hecho de dirigir a personas, los datos de la seguridad van mucho más allá del dominio técnico.
La tecnología cambia, pero la gente sigue siendo la misma. La herramienta principal que usamos para dirigir a la gente es la política. Las violaciones significativas a la seguridad son provocadas de forma consistente por errores humanos (cuando no se siguen las pautas apropiadas de refuerzo de sistemas) o por malicia (el uso intencional del acceso como empleado de alto rango existente para alterar a la CIA) y no por una falta de técnica aislada. Un ejemplo de esto de hace algunos años, y una de las mayores violaciones en la historia reciente, fue el hackeo de Experian, que expuso la PII de más de 143 millones de americanos, debido a que los servidores no se parchearon durante tres o cuatro meses. Sí, esto es un defecto técnico, pero la Apache Foundation ya había lanzado una corrección que podría haberse implementado fácilmente y podría haberse evitado el hackeo si la política de TI de la empresa hubiera requerido intervalos de aplicación de parches más cortos.
Con el surgimiento frecuente de nuevas tecnologías en línea, hay una necesidad constante de retener y mantener las capacidades técnicas de un equipo. Para estar al día con el ritmo rápido del cambio, los ingenieros suelen especializarse mucho en sus áreas de experiencia, concentrándose en una o dos disciplinas técnicas, como el conocimiento de un SO específico, las redes o la programación. En la mayoría de las empresas, estos conjuntos de aptitudes especializadas se han agrupado tradicionalmente en equipos según el tipo de aptitudes. Esto, a su vez, se refleja en las empresas, en donde hay departamentos con capacidades especializadas y la mayoría del personal de TI tiene competencias singulares.
La nube ha revolucionado este sistema de administración de recursos y personal de TI. Con la introducción de la nube, la industria de TI, finalmente, ha comenzado a actualizar la visión de una infraestructura ágil de la TI y las aplicaciones. Convertir un centro de datos en una "nube" implica agregar capas de abstracción denominadas API, a fin de permitir una automatización consistente y confiable. Piense en esto como agregar robots a la línea de ensamblaje de automóviles de Henry Ford.
Con esa automatización tipo robot, el personal de TI ha tenido que descubrir una serie de nuevas aptitudes para administrar esas API en la nube. Las nuevas formas de hacer las cosas de siempre no representan un problema para la mayoría de los profesionales de TI, pero la nube también ha impuesto una nueva alineación del personal de la empresa que divide los equipos tradicionalmente independientes en grupos multidisciplinarios más pequeños (equipos según la regla de las dos pizzas) que crean y administran las API antes mencionadas (que se necesitan para la automatización de la nube). Los equipos multidisciplinarios, a su vez, provocan un cambio de aptitudes especializadas a aptitudes más generalizadas.
El cambio de la gestión de un proyecto en cascada a uno ágil ha sido muy problemático. Ya sea que lo llame nube, DevOps o transformación digital, los drásticos cambios en la forma de gestionar los recursos de TI obligan al personal de TI existente a aprender formas completamente nuevas de administrar sus sistemas. Esto impulsa la demanda de esas nuevas aptitudes.
Los profesionales de la ciberseguridad ahora necesitan mantener un conjunto amplio de aptitudes en la nube, porque los datos de las empresas están más dispersos que nunca. Gracias a la estrategia multi-cloud, las aplicaciones de análisis de terceros y los diferentes departamentos que lanzan nuevas versiones de productos y herramientas, el límite de la computación de confianza (TCB) de la mayoría de las organizaciones ahora tiene una huella que va más allá de los centros de datos de TI en las instalaciones tradicionales. Una sola aplicación puede fácilmente incluir centros de datos múltiples administrados por diferentes proveedores en ubicaciones geográficas dispares con requisitos normativos gubernamentales diversos.
Empezando por el hecho de que es difícil encontrar y contratar personal de TI multidisciplinario, encontrar a alguien con el enfoque adicional en la seguridad es mucho más difícil.
es difícil encontrar y contratar personal de TI multidisciplinario, encontrar a alguien con el enfoque adicional en la seguridad es mucho más difícil.
Para ser considerado un profesional prometedor de la ciberseguridad según las normas actuales, primero hay que ser un generalista con conocimiento de la seguridad física y técnica. También se necesita, al menos, uno o dos dominios específicos de profunda experiencia en TI, pero normalmente más, lo que es difícil si se considera lo rápido que avanza la tecnología. Además, se debe ser un buen gerente con empatía por la forma en que la organización y su gente usan la tecnología para alcanzar sus metas.
La causa de la falta de competencias en ciberseguridad yace en este laberinto de requisitos: para convertirse en esa persona, se necesitan muchos años de experiencia aplicada, mucho más allá de cualquier educación formal (al igual que para convertirse en profesional de la nube). El recorrido es largo, y el resultado es que la falta de competencias se siente mucho más en la débil conexión entre el talento de seguridad de nivel inicial y el talento sénior.
Cerrar la brecha de capacidad, y de personalidad
En la mayoría de los presupuestos, no es realista contratar al profesional de seguridad perfecto. Y esperar a que uno se presente hace que la falta de competencias tenga mucha más importancia para numerosas organizaciones de la que realmente tiene.
En cambio, para fortalecer esa conexión desde el nivel inicial hasta la administración sénior, las organizaciones deben mejorar en lo que respecta a la detección y formación del talento adecuado.
El perfil ideal es una base sólida de fundamentos técnicos respaldados por una expectativa realista de experiencia práctica, tres años frente a 10, por ejemplo, en un área como el desarrollo de redes, sistemas operativos o software. Sin sacarlos de su camino hacia el desarrollo técnico, estos candidatos están bien posicionados como para recibir los aspectos de la política y gestión que implica un rol en ciberseguridad.
Para fomentar este talento a largo plazo, las organizaciones deben priorizar la experiencia práctica respaldada por la capacitación y la orientación. Normalmente, las personas pierden las oportunidades de adquirir esta experiencia cuando no se piensa a tiempo acerca de la seguridad en el proceso de creación de aplicaciones y servicios nuevos. En cambio, el hecho de incluir a un especialista en seguridad con todas o la mayoría de las unidades de desarrollo multiplica las oportunidades de que el talento adquiera experiencia, en lugar de ser convocado para validar el trabajo de alguien después del hecho.
Cuando se necesita capacitación formal, siempre se debe dar preferencia a las sesiones al estilo de entrenamiento de campo que se desarrollan en torno a la tecnología aplicada. Eso acelera el proceso de aprendizaje mediante intentos y fracasos, pero en un ambiente de bajo riesgo.
Aprovechar la cultura para empoderar la "firewall humana"
Por último, la cultura de una organización debe contribuir a preparar para el éxito a sus profesionales de seguridad en desarrollo. La mayoría de los hackeos y violaciones de datos son el resultado de ataques de ingeniería social dirigidos al personal en general. Una "firewall humana" bien informada y comprometida está entre las defensas cibernéticas más sólidas de una organización. Quitar las barreras que existen entre sus especialistas y el resto de la organización permite que todos se sientan dueños de la seguridad. Hemos visto a exitosos profesionales de la seguridad cibernética volverse tan accesibles que los empleados sienten que pueden enviarles las novedades que reciben en el spam casi a diario. Nueve de cada diez veces, estas novedades no son útiles. Pero esa sensación de estar juntos en la primera línea de defensa de la empresa es muy valiosa desde el punto de vista cultural.
Desarrolle su propio unicornio y comience ahora
Proteger la empresa es cada vez más difícil. A medida que las empresas cambian a arquitecturas modernas, aplicaciones basadas en la nube y personal remoto, crecen las oportunidades para que se presenten agentes maliciosos e intercepten cualquier información confidencial que se transmita fuera de la red de una empresa.
Como hemos visto, en el caso de las empresas que buscan combatir esto, la falta de competencias en ciberseguridad es un desafío verdadero, pero no siempre de la manera en que uno imaginaría y no solo en lo que respecta a hacer varias cosas a la vez.
Aquellos que experimentan desafíos relacionados con el reclutamiento y la retención de la seguridad cibernética, probablemente, se encuentren en uno de los dos escenarios actuales. O bien tienen gerentes que entienden principalmente la política de seguridad, pero tienen un conocimiento más endeble de la tecnología subyacente, o tendrán maestros en tecnología que carecen de habilidades en el trato personal y luchan por establecer políticas efectivas.
Las organizaciones que no tienen este problema son las afortunadas que ya han encontrado, y pueden permitirse mantener, su unicornio con la experiencia técnica y las habilidades interpersonales de un gerente y comunicador eficaz.
Sin embargo, la mayoría de las empresas tendrán que desarrollar su propio unicornio identificando a una persona que cuente con la materia prima, disciplina técnica combinada con el deseo de resolver los desafíos interpersonales, y que ponga a disposición el tiempo y los recursos para fomentarla.
El nuevo escenario de la ciberseguridad
About the Authors
Instructor
Owen Winn
A former USAF Air Traffic Controller, Owen Winn has 25-years of technology industry experience with major focuses in cyber security, service provider networking, technical training, and cloud. For the last 10 years Owen has applied his passion for technology supporting Rackspace Hosting with cloud, data center infrastructure, and related technologies while occasionally offering new product introduction training to Cisco customers in support of ACI, SDN, and cloud technologies. Prior to Rackspace, he was a senior managing consultant with IBMs commercial security and privacy practice. He did anti hacking road shows for Microsoft and built large service provider infrastructures for NTT Comm in Japan. Owen currently lives with his wife and two dogs near Rackspace in San Antonio Texas.
Read more about Owen WinnRelated Topics