Llegamos a ustedes gracias a:



Columnas de opinión

5 habilidades necesarias para un analista de SOC

Por: Rick Howard, CSO de Palo Alto Networks.

[13/06/2014] La construcción de un centro de operaciones de seguridad (SOC, por sus siglas en inglés) desde cero -o el remozamiento de uno de bajo rendimiento-, es un reto desalentador de liderazgo. De todas las tareas en las que tiene que pensar, encontrar y contratar a un grupo de analistas de SOC con el conjunto de habilidades adecuado tiene que ser una prioridad.

Estas personas son la última línea de defensa; si un adversario cibernético burla a sus analistas de SOC, no hay nadie más en la organización que pueda encontrarlos. Puede comprar y desplegar todas las últimas y mejores herramientas para su pila de seguridad, pero si no tiene la gente adecuada para ejecutarlas y analizar los datos que generan, es una pérdida de tiempo.

Necesita personas cualificadas para que le den sentido a todo esto y esta gente tiene que tener experiencia y sentirse apasionada por lo que hacen. Como es de esperar, estas personas pueden ser escasas, así que vamos a darle un vistazo a lo que hace que un analista de SOC sea de primera categoría.

¿Valen la pena las certificaciones de seguridad?

En la última década, nuestros programas de la universidad y de certificación profesional han aumentado para satisfacer la demanda de expertos capacitados en seguridad cibernética. Esto es algo muy bueno con una gran advertencia. Esta situación ha inundado el espacio de trabajo con aspirantes, quienes piensan que recibir una certificación de seguridad cibernética de algún programa de buena reputación o un grado de aseguramiento de la información de una institución acreditada, los califica para sentarse en un SOC y defender la empresa. Eso no puede estar más lejos de la verdad.

La experiencia me ha demostrado que pasar un examen de certificación u obtener un título en seguridad de la información, simplemente muestra que un empleado potencial ha pasado bien la prueba o tiene la determinación de completar un programa de grado. Los sustitutos de la riqueza de la experiencia de los analistas de SOC tampoco tienen que ser buenos en su trabajo.

No me malinterpreten. Los programas de certificación pueden ser una pieza importante de la educación completa de un practicante en ciberseguridad. Los grados de aseguramiento de la información son un buen lugar para empezar, si quiere ser un profesional de la seguridad cibernética. Pero para un analista SOC, no son suficientes por sí mismos.

Las certificaciones no son en lo absoluto lo primero que deben conseguir los aspirantes a posibles analistas de SOC si se está pensando en una carrera en la seguridad cibernética, y un grado de seguridad de la información no tiene la suficiente profundidad en los conceptos básicos de la informática para ser de utilidad en un SOC. Necesita más habilidades.

Un par de certificaciones que en mi opinión deben perseguir los analistas SOC son CISSP y muchos de los cursos que se ofrecen en el plan de estudios SANS.

Los analistas del SOC necesitan pasión

Con el fin de encontrar a los buenos analistas del SOC, es necesario buscar la pasión. Los analistas de SOC tienen que entender profundamente cómo nivelar las computadoras y las redes de trabajo en los niveles de ceros y unos, y poder convertir el código en herramientas útiles para el análisis. Tienen que amar estas cosas y ser capaces de explicar lo que saben para todo tipo de público: compañeros frikis, gerentes de TI y la alta dirección.

Si no tienen una máquina Linux de algún tipo ejecutándose o siendo utilizada para sus propias necesidades de computación en casa, no están calificados. En otras palabras, tienen que tener un conocimiento básico de la informática, la pasión por el oficio y la capacidad de explicar lo que saben a cualquiera que quiera escuchar. Pero aún con todo eso, no están listos para ser analistas del SOC.

Los analistas de SOC necesitan experiencia

También deberán haber pasado un tiempo en las trincheras de TI. Un camino de carrera para mi analista de SOC soñado incluye pasar tiempo en la mesa de ayuda de TI, gestión de servidores del centro de datos, y, por último, la gestión de uno o más dispositivos de seguridad; preferentemente todos ellos.

Una vez que han visto todos los problemas que pueden enfrentar desde esas posiciones, estarán en contexto cuando un adversario comience a abrirse paso bajo la cadena de destrucción en su red. Entenderán el impacto de su red cuando un espía cibernético pasa todos los controles para atacar a su CEO. Entenderán lo que se tiene que hacer cuando el hactivista intenta destruir su reputación comercial, al aprovechar un error de programación en un sitio web público. E intuitivamente comprenderán lo que el criminal cibernético debe hacer para robar números de tarjetas de crédito de sus clientes. Sin ese bagaje de TI, no podrán comprender lo que están viendo a medida que aparezcan los incidentes en el SOC.

Top 5 de las habilidades del analista del SOC principiante

Con todo esto en mente, aquí están mis cinco habilidades requeridas en un analista SOC de nivel de entrada:

  1.  Fuerte comprensión de la ciencia básica en computación: algoritmos, estructuras de datos, bases de datos, sistemas operativos, redes y desarrollo de herramientas (no software de calidad para la producción, sino herramientas que puedan ayudarle a hacer cosas).
  2. Fuerte comprensión de las operaciones de TI: Mesa de ayuda, gestión de endpoints y administración de servidores.
  3. Capacidad fuerte para comunicarse: escribir con claridad y hablar con autoridad a diferentes tipos de público (líderes empresariales y techies).
  4. Fuerte comprensión de las motivaciones del adversario: la ciberdelincuencia, el hacktivismo cibernético, la guerra cibernética, el espionaje cibernético y la diferencia entre la propaganda cibernética y el ciberterrorismo.
  5. Fuerte comprensión de los conceptos de operaciones de seguridad: Medidas de seguridad, gestión de BYOD, protección de pérdida de datos, las amenazas internas, matar análisis de la cadena, la evaluación de riesgos y las métricas de seguridad.

Top 5 de las especialidades para los analistas senior del SOC

Si va a contratar a una persona de mayor jerarquía, aquí están algunas de las especialidades que debe buscar:

  1.  Fuerte comprensión de la gestión de la vulnerabilidad: ¿Cuáles son las vulnerabilidades?, ¿cómo las encontramos, y cómo podemos mitigarlas?
  2. Fuerte comprensión de códigos maliciosos: Habilidades de ingeniería reversible; tácticas prácticas, técnicas y procedimientos de las motivaciones comunes (véase más arriba)
  3. Fuerte comprensión de las técnicas básicas de visualización; especialmente Big Data.
  4. Fuerte comprensión de técnicas de inteligencia básica aplicada a la cibernética.
  5. Fuerte comprensión de importantes lenguas extranjeras: (Primer Nivel: Chino, ruso, árabe y coreano- Segundo Nivel: japonés, alemán, francés, portugués y español).

La habilidad que es más difícil de encontrar en un analista potencial del SOC es la capacidad de comunicarse: escribir o presentar inteligencia procesable derivada de la información en bruto que tienen a su alcance. Sé que esto no es intuitivo. Acabo de describir el conjunto de habilidades técnicas complejas que un analista del SOC necesita tener para ser exitoso. Entonces, dije la habilidad más difícil de encontrar es la capacidad de escribir oraciones. A primera vista, estas dos cosas no parecen ir de la mano, pero es verdad.

Es difícil relacionar el impacto de un evento de seguridad con un líder de negocios, líder del gobierno o un aficionado a la tecnología, si el analista del SOC no puede transformar la información que tienen en algo que le importe al público. Ellos pueden ser los ingenieros más inteligentes del planeta, pero eso carece de importancia si no pueden traducir los términos geeks en algo que el CISO pueda utilizar para determinar si deben dedicar recursos para resolver el problema. Puede ser que tengan una carrera lucrativa como un criminal cibernético, pero fracasarán como analistas de SOC.

Rick Howard, CSO (EE.UU.)