Un enfoque estratégico para las operaciones de Cyber Security

Hoy en día, toda conversación acerca de seguridad cibernética a nivel empresarial parece derivar de forma inevitable en una conversación sobre tecnología. Desde protección perimetral hasta respuesta a incidentes, con gestión de vulnerabilidad, cifrado, detección de intrusos, prevención de pérdida de datos, plataformas de ingreso, integración de inteligencia ante amenazas y muchas más entre ellas, la tecnología es parte central de la protección de redes, sistemas y datos contra ataques cibernéticos. Aunque en realidad la seguridad cibernética requiere más que sólo implementar soluciones de tecnología. En palabras de Walt Disney, se necesitan personas para convertir los sueños en realidad.

El principal desafío en las operaciones de seguridad cibernética hoy en día es el desafío de la fuerza laboral; reclutar, capacitar, desarrollar, asesorar, gestionar y retener a los profesionales de seguridad de TI que conforman el equipo de operaciones. El problema no es solamente tener muy poco personal calificado en seguridad cibernética dentro de la plantilla laboral: la gestión del cargo de operaciones de seguridad cibernética dentro de las empresas frecuentemente no recibe la prioridad administrativa que merece. Este problema requiere de atención en muchas compañías. No atender satisfactoriamente este problema puede tener un gran impacto sobre la eficacia del programa de seguridad.

Son formidables la complejidad y los requisitos de todo el cargo de operaciones de seguridad cibernética, pero sin suficientes operadores bien capacitados, competentes y bien administrados, la promesa que trae consigo la tecnología seguirá siendo sólo un sueño.

OPERACIONES DE CYBER SECURITY: EL PRINCIPAL IMPULSOR DEL PROGRAMA

Las operaciones de seguridad cibernética consisten en las actividades diarias de implementación, configuración, ajuste, gestión y monitoreo de dispositivos de seguridad y en responder a las alertas que éstos emiten cuando se detecta un incidente potencial. Las operaciones son distintas a otras funciones de seguridad empresarial en el sentido de que el personal de operaciones realiza el trabajo práctico en teclados, consolas y equipos para implementar y operar, gestionar y monitorear directamente los dispositivos de seguridad. Las operaciones es a donde llega “el momento de la verdad”.

Diversos factores clave hacen que el desafío de la fuerza laboral de operaciones de seguridad sea difícil a la vez que persistente, estos factores incluyen:

• Las operaciones de seguridad cibernética son un campo oculto e inherentemente complejo que requiere de experiencia en tecnologías de seguridad de TI y TI, redes, sistemas y vulnerabilidades de redes, así como de un entendimiento de las políticas de TI y seguridad cibernética de la organización. Los operadores de seguridad cibernética necesitan tener el conocimiento acerca de cómo son explotadas las vulnerabilidades de TI, las tácticas de los hackers, cómo ingresan paquetes maliciosos en las redes y una amplia variedad de temas técnicos de seguridad adicionales.
• El ritmo de las operaciones de seguridad cibernética y el volumen de datos en el ambiente operacional son elevados y requieren atención las 24 horas del día y los 7 días de la semana (por ejemplo: registros de monitoreo de tráfico, vulnerabilidades, imágenes y configuraciones de los dispositivos, registros de datos de acceso de los usuarios, listas de control de accesos; simplemente la seguridad relacionada con los accesos puede generar muchos gigabytes al día en una empresa de tamaño medio).
• Los sofisticados perpetradores de amenazas mejoran continuamente en su campo, por lo que se requiere que quienes defienden hagan lo mismo.
• Hay una escasez generalizada de personal en la fuerza laboral que posee la experiencia, capacitación y cualidades necesarias para cumplir con la demanda. Esta brecha se hizo evidente en la década de 1990 cuando las empresas comenzaron a depender del Internet para sus modelos de negocios, reconociendo únicamente después la importancia de la seguridad cibernética. Desde entonces está brecha sólo se ha ampliado, ya que las necesidades de las empresas han sobrepasado la capacidad de la sociedad para producir suficientes operadores de seguridad cibernética calificados a través de la educación y la experiencia laboral.

El desafío de la fuerza laboral de operaciones de seguridad cibernética tiene una relación directa con la eficacia del programa de seguridad cibernética en general. Para responder a este desafío, es necesario un método estratégico de cuatro componentes.

Uno: Estructurar la Fuerza Laboral de forma Estratégica

Estructurar la fuerza laboral de forma estratégica significa identificar y empatar habilidades específicas con necesidades bien definidas. Significa elaborar un presupuesto para el personal y la planeación de su desarrollo profesional. Y esto significa hacer una revisión minuciosa de las necesidades operacionales de seguridad cibernética de la empresa a la luz de negocios internos y estrategias de TI, así como de la evolución de la tecnología y las amenazas.

Definir Funciones: El primer paso para la mayoría de las empresas es definir funciones. Idealmente esto debe hacerse de forma minuciosa y específica. Un buen punto de partida para muchas organizaciones es el método de tabula rasa: comenzar con una hoja en blanco y enfocarse en identificar las necesidades de las operaciones de seguridad cibernética, en gran medida de forma independiente a las funciones y habilidades del personal actual.

Las preguntas fundamentales que deben responderse incluyen: ¿Qué funciones son necesarias?, ¿Qué habilidades se requieren para llevarlas a cabo?, ¿Cómo se deben de distribuir estas funciones y habilidades en las funciones y personas?, ¿Qué funciones pueden subcontratarse y cuáles es necesario conservar de forma interna? ¿Qué tanta capacidad es necesaria en cada función? y ¿Qué niveles de experiencia específicos se ajustan mejor a la estrategia?

Esta labor debe llevarse a cabo de forma colaborativa con Recursos Humanos, TI, los líderes de la línea de negocios y otros, según se requiera. Lineamientos tales como el National Cybersecurity Workforce Framework (Marco Nacional para Trabajadores de la Seguridad Cibernética), publicado por el National Institute of Standards and Technology “NIST” (Instituto Nacional de Estándares y Tecnología), pueden ser de ayuda durante esta actividad. Ofrece una taxonomía y un léxico comunes para describir todo el trabajo y las competencias de los trabajadores en el ámbito de la seguridad cibernética.

Reclutamiento: Con aproximadamente 200 colegios y universidades certificados por la NSA como Centros Nacionales de Excelencia Académica en Educación para el Aseguramiento de Información, en el mercado laboral se está comenzando a observar un aumento mensurable en los universitarios graduados con títulos en el campo de la cibernética. Los cursos, tareas, proyectos de investigación, ejercicios y otras experiencias académicas de nivel universitario proporcionan una base muy necesaria para la fuerza laboral de operaciones de seguridad cibernética. Sin embargo, no hay sustitutos para la experiencia y ésta solo puede acumularse con el paso del tiempo. Muchas compañías han descubierto que pueden contratar universitarios graduados en niveles de licenciatura o maestría que tienen el conocimiento teórico pero poca o nula experiencia operacional. Es mucho más difícil encontrar operadores de seguridad cibernética con experiencia.

El método de reclutamiento y la estrategia de fuerza laboral más amplia deben atender esta realidad. Un enfoque sólido es el reconocer que toda nueva contratación, especialmente las contrataciones para operaciones de seguridad cibernética, carecerán de experiencia y necesitarán crecer profesionalmente con el paso del tiempo. Lograr este crecimiento profesional en toda la fuerza laboral debe ser el enfoque de la estrategia de desarrollo profesional. Con un programa tal, los conocimientos y experiencia deseados se construyen de forma deliberada y estratégica dentro de la fuerza laboral de operaciones de seguridad cibernética a través de un periodo de varios años. Esto se logra de mejor manera con planeación previa y no dejando las cosas a la suerte en el turbulento entorno de las operaciones de seguridad cibernética del día a día. Más adelante, en la subsección “Capacitación y Desarrollo del Personal”, se comenta más al respecto.

Existen otras razones por las que el desarrollo profesional debe incluir condiciones para continuar la educación. Un enfoque para ayudar al individuo a avanzar de forma profesional, si se logra correctamente, normalmente aumenta la afiliación del empleado con la empresa y favorece la retención. Además, muchas de las certificaciones reconocidas en el campo de la seguridad cibernética, al igual que en otros campos, requieren educación y capacitación continua para mantener la certificación. Incluir determinaciones de trayectorias profesionales en la estrategia de desarrollo de la fuerza laboral también puede mejorar la motivación y la retención.

En un campo en el que los trabajadores calificados tienen una alta demanda, la remuneración es un factor importante para atraer y retener al personal. Es esencial una continua investigación de mercado acerca de las tendencias de remuneración.

La fiabilidad del personal es otro punto importante a considerar para el personal de operaciones de seguridad cibernética. El personal de operaciones de seguridad cibernética, como custodios y administradores de los datos y sistemas de la compañía, literalmente pueden tener en sus manos las “llaves del reino”, la más valiosa información corporativa. Hemos visto noticias de historias de trabajadores fiables de TI que divulgaron información gubernamental altamente clasificada y esto debería hacer que todas las empresas se den cuenta de que la integridad y fiabilidad de su personal de TI tiene una importancia crucial.

Dos: Establecer Estándares de Desempeño

Para lograr una capacidad operacional de alto desempeño, establecer un circuito cerrado de estructura en la forma de “establecer el estándar/capacitar hasta alcanzar el estándar/ evaluar hasta alcanzar el estándar” es una práctica bien establecida en muchos sectores de la industria. Existe una necesidad de establecer estándares de desempeño para los profesionales de la seguridad cibernética. Esto debe empatarse con las habilidades y capacidades de conocimiento descritas en el Marco Nacional para Trabajadores de la Seguridad Cibernética, pero necesita ir más allá del Marco en términos de especificidad.

Con estándares formalmente definidos y preparados, es momento de implementar un programa de evaluación regular. Las habilidades de los practicantes de operaciones de seguridad cibernética deben medirse de forma regular para asegurarse de que están cumpliendo con el estándar. Esto puede integrarse en el trabajo diario y existen herramientas tecnológicas disponibles para ayudar en esto.

Tres: Capacitación y Desarrollo del Personal

Además de lo que ya hemos comentado previamente, los cambios continuos en el ámbito tecnológico requieren que este limitado conjunto de personal vuelva a capacitarse no sólo en cuanto a tecnología, sino en cuanto a técnicas de amenaza, métodos y vectores, así como cambios relacionados en la política de la organización.

Los requisitos de capacitación para el personal de operaciones de seguridad cibernética deben incluir otras capacitaciones de competencias que sustenten las operaciones actuales y el crecimiento futuro. Una capacidad que muchas organizaciones han desarrollado de forma interna o que se encuentra disponible a través de diversas organizaciones de capacitación en seguridad cibernética son los campos virtuales cibernéticos que ofrecen excelentes oportunidades de capacitación en un entorno de redes representativo. Sin embargo, estas capacidades y oportunidades de capacitación tienen un costo que las organizaciones y los líderes de seguridad cibernética deben identificar, planear y presupuestar como parte de su estrategia general. Como mínimo, esto incluye capacitación de personal de operaciones de seguridad cibernética en términos de:

• Las redes y sistemas de TI empresariales de la organización que sostienen el modelo de negocios
• Tecnología específica relacionada con la arquitectura de los controles de seguridad de la organización
• Cambios en las técnicas, vectores y métodos de amenaza de seguridad cibernética dirigidos contra la empresa

Cuatro: Evaluar el Desempeño en Comparación con el Estándar

Los gerentes deben trabajar con el personal nuevo y el ya existente para desarrollar una puntuación o evaluación anual de la competencia en cuanto a seguridad cibernética para garantizar que estén evaluados y sean capaces en las tareas específicas que corresponden a su función. Una descripción detallada para cada función debe identificar los conocimientos, habilidades y capacidades necesarios.

Las pruebas de validación del desempeño deben usarse para evaluar la completa eficacia de las soluciones en tecnología de la organización y el desempeño humano asociado. Este tipo de pruebas pueden identificar brechas o puntos débiles en la implementación de controles de seguridad cibernética y en las operaciones de seguridad cibernética, y si se implementa adecuadamente, puede mejorar las capacidades del personal mediante el aprendizaje práctico en un entorno con adversarios simulado.