Existen diversos perfiles que se integran al equipo de TI para que sea el indicado en la empresa. Dependiendo de las necesidades así será el candidato a escoger.
CIO
El mes pasado presenté una cámara de los horrores, las peores personas que va a conocer en el área de seguridad de TI , muchos de ellos, sus amigos y, por desgracia, compañeros de trabajo. ¡Pero no me gusta hacer hincapié en lo negativo! Así que le pregunté a una serie de profesionales de TI acerca de la mejor gente, los que quiere a su lado para enfrentar los desafíos de seguridad más exigentes. Hay una serie de funciones importantes que cumplir y no estoy hablando sólo de títulos de trabajo: me refiero a actitudes y habilidades que rozan los súper poderes. Un equipo seguridad de TI es un deporte de equipo, así qué ¿a quién quiere en su equipo?
El hacker
En primer lugar, usted necesita a alguien en el interior con las habilidades y la mentalidad de los quien usted está tratando de mantener fuera.
“Las organizaciones deben contratar a un profesional de la seguridad con el conjunto de habilidades para realizar pruebas de penetración completas y que ponga a sus medidas de seguridad, procedimientos y procesos a prueba”, manifestó Destiny Bertucci, cabeza de SolarWinds.
Como complemento esta persona debe tener una curiosidad sana y es probablemente el primero en intentar retos de hackers en la DEFCON.
“Que son el compañero de equipo ideal, al momento de realizar evaluaciones de la seguridad de los sistemas de gestión de la información de manera simulada. Sus disparates ayudan a mejorar el rendimiento general del equipo de seguridad”, agregó Greg Hoffer, vicepresidente de ingeniería en Globalscape. Esto refiriéndose a que llama a esta persona como el sombrero blanco maravilla.
El cazador de recompensas
Algunas personas sólo tienen una pasión, buscar errores, hay que encontrarlos y canalizar esa pasión.
De acuerdo con Chris Schmidt, director de orientación en Codiscope el cazador de recompensas es la persona de su equipo que en realidad podría ganarse la vida simplemente estando sentado buscando errores de vez en cuando, pero viene a trabajar, ya que simplemente nunca es suficiente y sueña un día encontrar ese error del millón de dólares.
Aunado a esto Schmidt ellos han dominado el arte de encadenar exploits y puertas giratorias, pero lo más importante es que también han desarrollado una gran capacidad para prescribir soluciones que permiten la resolución rápida y eficaz de los errores que encuentran. Incluso contribuyen regularmente a la comunidad de código abierto y tienen una buena relación con algunos de los principales mantenedores de plataformas.
El músico
Dale Drew, CSO de Level 3 Communications, está en busca de músicos, y esto no es una metáfora. Él dice que los músicos pueden tomar mucha información, como grandes cantidades de metadatos de red y crear un proceso organizado para encontrar patrones de comportamiento anómalos.
“Tengo una rica historia de no contratar personal de seguridad. Incluso cuando había una buena cantidad en el mercado, hemos tendido a centrarnos en la experiencia técnica primero y luego a entrenarlos en seguridad”, recordó Drew
Courtney Tray, un nuevo miembro del equipo en la organización de la arquitectura de seguridad de Level 3, toca la flauta. Ella equivale pseudoprogramar a leer una pieza de música por primera vez: se escanea la pieza para asegurarse de que se ha capturado el significado, y después se estudia en profundidad para más detalles.
El ejecutor
Una gran parte de ser un pro de la seguridad implica decirle a la gente no: decirle los compañeros de trabajo que las aplicaciones que se desean ejecutar o los sitios web que les gusta son inseguros, que sus contraseñas son débiles, que necesitan cerrar la sesión, incluso si solo van a la recepción por un segundo. La mayoría de la gente no encuentra esta perspectiva muy divertida por lo que tiene que buscarse a un ejecutor que esté cómodo con eso.
“El ejecutor impone respeto entre sus pares. Son comunicadores carismáticos y excelentes, pueden discernir cuando la flexibilidad debe ser tomada en cuenta, y cómo aplicar esa flexibilidad sin poner en riesgo a la organización. Lo más importante, el ejecutor entiende y respeta la autoridad que ha recibido y no se le sube a la cabeza”, dijo Schmidt Codiscope.
El ninja de la seguridad de terceros
A veces sus enemigos pueden tener acceso a través de sus amigos, o al menos sus socios de negocios, a los cuales tiene a quienes le tiene que abrir su red a pesar de que usted no tiene control sobre sus prácticas de seguridad. “Las relaciones con terceras y cuartas partes son cada vez más una fuente de ataques informáticos, fallos del sistema, y exposición de datos que amenazan a las empresas”, dijo Scott Schneider, director de desarrollo de negocio de CyberGRX .
Inclusive para Schneider el ninja de seguridad de terceros entiende que este es uno de los lugares más difíciles de proteger para las empresas. El enfoque de no nuevos amigos del ninja en cuanto a las nuevas relaciones es similar a la forma en que se acercan a las terceras partes a la hora de hacer negocios.
Por su parte entienden que la seguridad de la empresa es sólo tan fuerte como su eslabón más débil y no están dispuestos a dejar que una persona ajena cause lagunas en la estrategia de gestión y seguridad de los datos de la compañía.
El angustiado de los datos
Sí, es angustiado y no guerrero. Los datos son un recurso fundamental en cualquier organización, y si no tiene a alguien haciendo hincapié sobre ellos a tiempo completo, se corre el riesgo de caer en el olvido.
“Cada equipo de seguridad TI de ensueño necesita alguien que siempre se preocupe de que las copias de seguridad y similares estén en su lugar. Sin el angustiado de los datos, las empresas corren el riesgo borrar accidentalmente datos o corrupción de aplicaciones, son mucho más vulnerables de lo que piensan”, acotó Nitin Donde, Fundador y CEO de Talena .
El experto de control de calidad
Dodi Glenn, vicepresidente de seguridad cibernética en PC Pitstop , externó que su equipo de seguridad de ensueño incluye alguien escalfado de un departamento diferente.
“Mi equipo de ensueño incluiría alguien que ha jugado el papel de ingeniero de control de calidad”, dijo. “Ellos entienden cómo implementar cambios en un entorno de prueba antes de ir directo a la producción. Muchos problemas pueden ser evitados tomándose un tiempo para hacer pruebas en un entorno organizado en primer lugar”, agregó.
El cazador
Joshua Douglas, director de estrategia en Raytheon Foreground Security, piensa que se necesita de alguien que no espere a que las amenazas vengan a él. Continúa que cazando amenazas es una forma totalmente proactiva de pensar.
Adicionalmente involucra tanto a cazadores humanos como a herramientas analíticas avanzadas. En lugar de adoptar el enfoque tradicional de esperar a una alarma automatizada o un evento para investigar las amenazas, los cazadores encuentran las amenazas antes de que las herramientas más comunes lo hagan. Su trabajo consiste en buscar pruebas de una violación de seguridad dentro de un entorno, utilizar esa evidencia para llevar a cabo una investigación forense a través de métodos analíticos rigurosos, y trabajar continuamente para identificar y erradicar las amenazas persistentes.
El equipo de élite
¿Qué se hace cuando las cosas van a pique? Usted querrá montar un grupo central con todas estas diferentes funciones, el personal de preseleccionados para representar
“Lo mejor de lo mejor en su organización”, dijo Schmidt Codiscope.
Este grupo trabaja en una variedad de cosas, pero en el desafortunado caso de que se produzca un incumplimiento, son la mejor esperanza para defender la infraestructura de su organización, así como para recoger las pruebas forenses necesarias para procesar a un atacante.
Brian D. Kelley, responsable de información de Portage County Information Technology Services , apuntó que este grupo debe tener un arsenal de armas y tácticas especiales para desplegar cuando la red de la empresa es atacada o violada por fuerzas clandestinas, moviéndose rápidamente para enfrentarse al enemigo y mitigar cualquier amenaza cibernética activa.
El visionario pragmático
¿Y a quién quiere usted de capitán en este equipo ideal? Gen Stevens, cofundador y CTO de ProtectWise , dice que el trabajo requiere de un líder con conexión a tierra que guíe a su equipo con un enfoque visionario y a la vez, ejecutable. Con años de sabiduría acumulada, son optimistas con un apetito riguroso por la innovación y la exploración, se centraron en conducir su equipo hacia adelante. Este tipo de líder evita el factor FUD, rechazando la idea de que los temores y las dudas se deben avivar para que su organización tenga ventaja. Más bien, con confianza se basan en el valor de sus años de sabiduría y su habilidad innata para intuir rápidamente soluciones para dirigir la innovación y llevar a su equipo hacia un futuro positivo .
El robot
Por último, Stephen Gates, jefe de análisis de inteligencia de investigación en NSFocus, concluyó que se debe redondear su equipo con un robot, y esto es sólo en parte una metáfora.
“En adición a su equipo de seres humanos, es necesario tener una seguridad automatizada, y no se puede tener eso sin un equipo de expertos en desarrollo y monitoreo de la tecnología detrás de ella para que siga funcionando sin problemas”, dijo Gates.
Aunado a eso, para mantener el ritmo de los agentes y nuevos vectores de amenazas creados para aprovechar las vulnerabilidades, se necesita que los servicios de inteligencia de amenazas automatizados proporcionen inteligencia en tiempo real para minimizar los riesgos y mejorar la seguridad global. Pero también es necesario un equipo de investigadores e ingenieros que trabaje todo el día para crear los servicios de inteligencia de amenazas utilizando datos de todo el mundo. Juntos, los seres humanos y máquinas conforman el robot.
En el futuro, nuestros compañeros de equipo pueden ser los mismos sistemas que tenemos como objetivo proteger.
