¿Qué habilidades deberían desarrollar los futuros profesionales en seguridad TI?

Cuando algunos profesionales conectan temas de la física con las capacidades de ataque hacia una organización, por ejemplo el uso de la palabra vector (en vectores de ataque), cuando alguien conecta o hace paralelos en temas del arte de la guerra con la defensa activa de las organizaciones, cuando alguien compara una fase del Cyber Kill Chain, con el beachhead del Día D de WWII, cuando hablamos de envenenamiento (algo que afecta biológicamente), con el envenenamiento por un ataque de inyección o malware, cuando alguien habla de mutaciones (usado en genética o biología) para hablar de RASP (Runtime Application Self-Protection), es cierta allí una flexibilidad cognitiva. Muy evidente en varios de los consultores y directores de seguridad que he conocido.

Pero alguien que demuestra rigidez cognitiva en ciberseguridad, es más sencillo de detectar, y pasa con frecuencia en ciertos profesionales al presentárseles, solo por nombrar algunos ejemplos, un reto con NGFW de marca CP, pero señalan que solo conocen de NGFW marca PA y por lo tanto no se atreve a implementarlo, revisarlo o auditarlo. Cuando un supuesto ingeniero de red dice que solo conoce routers y switches JNP, pero que CSC no, por lo tanto no se anima a participar en un proyecto de seguridad con este alcance; cuando un experto afirma conocer de TCP/IP, pero requerimos revisar DNP3 o Modbus en tecnologías ABB o Scheneider Electric (de la esfera Operations Technology) y se pone pálido; o dicen ser Ethical Hacker, pero cuando aparece la oportunidad de un hacking a un elemento de firmware o hardware, una placa electrónica, un dispositivo PLC, expresa la excusa que no son ingenieros electrónicos.

No me imagino a un adversario diciendo, es que yo solo hago ataques DDoS a servidores con UNIX, pero no Windows. No me imagino a un adversario informático diciendo, es que yo solo hago toolkits para secuestro de cuentas (account takeover) de bancos pero no de comercio electrónico, yo solo robo datos de tarjetas VISA pero no AMEX, en fin.

El pensamiento crítico como solución alternativa

La otra habilidad que destaco es “el pensamiento crítico”, que consiste en usar lógica y razonamiento para identificar las fortalezas y debilidades de posibles soluciones alternativas, conclusiones o enfoques presentados hacia los problemas; en este caso el problema al que nos enfrentamos son los riesgos a los sistemas y redes de datos.

Hay quienes abusan al identificar solo las debilidades, cuando usan su pensamiento crítico, pero no destacan nada positivo, o insisten en sus discursos de que hay que ver las cosas de otra manera o desaprender, pero en la práctica no lo hacen, siguen con los mismos frameworks, soluciones, tecnologías, proveedores y directivas de hace 5 o más años.

Manifiestan que es necesario perturbar el estado en el que se encuentran las cosas en el contexto organizacional o en los procesos de la seguridad, pero no se atreven a sugerirlo en un comité o junta directiva, o lo hacen y no saben cómo argumentarlo para soportar las metas de negocio, no muestran pragmatismo ni frugalidad para con esos cambios disruptivos y lograr anticiparse a las amenazas, sobre todo cuando se cuenta con presupuesto y tiempo limitado.

Las capacidades y elementos para resolver problemas nuevos, confusos en entornos reales y complejos, es la última habilidad que destaco, llamada “aportar soluciones a problemas complejos”. Definitivamente afrontar la implementación de distintas normativas de seguridad, consolidarlas, y ser eficiente en la implementación de los controles, sin afectar las metas de negocio, es un problema complejo; estar respondiendo a un incidente de alto impacto es un asunto complejo y más cuando se requiere respuesta técnica, legal y administrativa.

La satisfacción al enfrentar un problema complejo y vencerlo, cuando el factor tiempo es crítico, es innegable en los profesionales de seguridad, son nuestras gestas. Nos enfrentamos con múltiples elementos e interacciones (soluciones tecnológicas, áreas, personas, servicios, controles, procedimientos, reglas, proveedores, sucursales, etc), y no podemos dividir ni abstraer esos elementos como quisiéramos; aun así, encontrar alternativas de solución que funcionan, es la habilidad altamente deseable en los profesionales de seguridad de la información para hoy y los próximos años. Y eso no se logra con certificaciones, ni lo enseñan en postgrados, ni leyendo libros de HBR.

Y de estas habilidades, ¿en cuál consideras eres más débil, y más fuerte?

Imagen: @CPOA, distribuida con licencia Creative Commons BY-SA 2.0

Déjanos un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

SUSCRÍBASE A NUESTRO NEWSLETTER