[04/09/2020] El equipo de seguridad de su empresa tiene encomendada una misión crítica: proteger los sistemas, los recursos y los usuarios de la suplantación de identidad, los ataques de rasomware, los ataques de denegación de servicio, el robo de datos, la infección por malware y otros ataques diversos. Mantenerse al tanto de las amenazas emergentes y en evolución requiere una vigilancia constante y, lo que es más importante, un equipo bien capacitado.
Contar con un equipo de seguridad dedicado es esencial en estos tiempos peligrosos, observa Dimitrios Pavlakis, analista de la industria de la seguridad de la empresa de investigación tecnológica ABI Research. "Invertir en consultores externos o en servicios de seguridad gestionados está bien, pero un equipo interno de seguridad de TI que tenga los conocimientos necesarios para manejar el nuevo horizonte de amenazas emergentes es absolutamente obligatorio", anota.
No hay una bala de plata cuando se trata de capacitar a los equipos de seguridad, señala Jason Jury, asociado principal y gerente de aprendizaje y desarrollo de ciberseguridad en la empresa de consultoría de gestión y TI, Booz Allen Hamilton. "Antes de comenzar el viaje para encontrar un proveedor de formación, es necesario hacer un inventario de las habilidades, funciones y niveles de competencia existentes de su personal", aconseja. "Esto le ayudará a identificar las lagunas en el negocio y le permitirá identificar estratégicamente los resultados de aprendizaje esperados".
Lanzándose a la búsqueda de proveedores de entrenamiento en seguridad
Los proveedores de capacitación en materia de ciberseguridad pueden desempeñar un papel importante para poner al día a los empleados sobre las últimas amenazas y contramedidas. "Los servicios de formación son inestimables", comenta Edith Santos, directora de respuesta a incidentes forenses digitales globales de la empresa de telecomunicaciones NTT. "Pueden significar la diferencia entre estar preparados o no estarlo en absoluto para responder a un incidente".
Además de la educación y la instrucción, un proveedor de formación puede aportar nuevos conocimientos y perspectivas a los equipos de seguridad que se han vuelto miopes y complacientes con el tiempo. "Un tercero que se especializa en entrenamiento de seguridad tiene un conocimiento colectivo recogido de su base de clientes", explica Theresa Lanowitz, ex analista de Gartner, ahora jefa de evangelización en AT&T Cybersecurity. "Este conocimiento colectivo y las mejores prácticas resultantes permiten a un tercero ayudar a guiar a una empresa con cómo entrenar, cuándo entrenar, cómo recompensar el buen comportamiento, y cómo desalentar el mal comportamiento", añade.
Antes de iniciar la búsqueda de un proveedor de formación, es importante identificar y comprender plenamente las necesidades y objetivos precisos del equipo de seguridad. "Una vez establecida esta línea de base, documente los tipos de habilidades y certificaciones que le gustaría alcanzar con el entrenamiento", señala Jury.
Michelle Tran, especialista en investigación sobre seguridad y gestión de riesgos del Info-Tech Research Group, aconseja limitar las búsquedas a los proveedores de formación recomendados o examinados por las organizaciones asociadas a las mejores prácticas de ciberseguridad. Recomienda que se recurra al Center for Internet Security (CIS), al National Institute of Standards and Technology (NIST), al National Initiative for Cybersecurity Education (NICE) y al National Initiative for Cybersecurity Careers and Studies (NICCS), en busca de candidatos.
Tran también sugiere que se busquen recomendaciones de proveedores entre colegas y socios comerciales. "Esto no solo le ahorrará tiempo en la preselección de proveedores, sino que también puede proporcionarle una referencia externa capaz de hablar con franqueza sobre su experiencia", sostiene.
Tran cree que una buena reputación es el atributo más importante que hay que buscar en un proveedor de formación. "Al final del día, querrá tener la seguridad de que el contenido y los conocimientos que se transfieren a su equipo, se enseñan de una fuente fiable y de buena reputación", explica. "Esto puede significar que el contenido actualizado sigue pautas y normas reconocidas, que se cuenta con instructores experimentados con la pericia técnica necesaria para impartir una capacitación de calidad, y que se cuenta con la aprobación de las organizaciones de la industria".
Modelos de capacitación en materia de seguridad
Otra consideración importante al examinar a los proveedores es elegir el método de entrenamiento más apropiado para los individuos de su equipo. "Para algunos, eso es entrenamiento en línea, ya sea con licencia de un tercero o de producción propia", señala Lanowitz. "Para otros, es entrenamiento en el salón de clases".
Aunque la pandemia COVID-19 dejó de lado la capacitación en el aula para muchas organizaciones, es probable que el enfoque regrese eventualmente como un método de instrucción líder. Un beneficio importante que ofrece la capacitación en el aula, en comparación con otros enfoques, es la reducción de las distracciones. "En un aula física, es más fácil dejar todo fuera y concentrarse", señala Santos. "También hay más oportunidades de tener discusiones en tiempo real para intercambiar ideas y compartirlas", añade.
Aunque la formación en el aula sigue estando fuera del menú de muchas empresas, la formación en línea está cobrando impulso. "La formación en línea permite que más [alumnos] se unan a ella sin las limitaciones de las zonas horarias y la geolocalización", anota Isaac Painter, director de operaciones empresariales de seguridad de Adobe. El enfoque también permite que se imparta más formación en un plazo determinado, ya que elimina la mayoría de los requisitos de configuración y desplazamiento.
Adobe, señala Painter, se compromete a llevar la formación en línea en nuevas direcciones. "Hemos podido encontrar de forma creativa formas de que nuestros empleados se comprometan con la formación sobre seguridad a través de juegos, recompensas por la detección de errores, y eventos de captura de flags", afirma. Painter cree que estas prácticas animan a los empleados de la empresa a pensar de forma diferente cuando muestran su experiencia y sus habilidades únicas.
Los simposios, seminarios y otros eventos de seguridad ofrecidos por diversos grupos comerciales y empresas, presentan una oportunidad de capacitación del personal que a menudo se pasa por alto. "Eventos como el SANS pueden suponer un cambio para los miembros de los equipos que buscan fuentes adicionales de formación", indica Painter.
Jury está de acuerdo. "Para desarrollar su carrera, tienes que comprometerse a salir de su zona de confort y comprometerse con una comunidad separada de su empresa", explica. Muchas reuniones ofrecen desafíos prácticos o actividades basadas en misiones. "Esto proporciona una oportunidad de poner a prueba sus habilidades para ver cómo se clasificas con otros en la industria", Indica Jury. Además, los eventos del sector ofrecen a los miembros del equipo de seguridad una oportunidad única de relacionarse con colegas de otras empresas, lo que les permite compartir ideas y aprender cómo otras organizaciones han implementado con éxito las mejores prácticas de seguridad.
Si bien la instrucción formal es esencial, también es importante alentar a los miembros del equipo a que participen en algún tipo de autoformación. "La autoformación es realmente el lugar donde se puede identificar a los empleados que se dedican a su oficio", observa Jon Check, director principal de soluciones de protección cibernética de Raytheon Intelligence & Space. "Para ser un exitoso practicante cibernético, debes ser un aprendiz continuo y maníaco", afirma.
Check observa que se necesita una considerable disciplina para completar un curso cuando nadie está mirando, pero los empleados que logran esta hazaña suelen ser los que mejor se desempeñan. "La forma en que entrenan puede variar, pero hemos encontrado que los empleados que tienen su red doméstica para practicar y experimentar son a menudo los más comprometidos", señala.
Como un número creciente de organizaciones, Raytheon I&S está recurriendo a herramientas de auto-entrenamiento que incorporan la inteligencia artificial (IA). "El beneficio que la IA aporta a nuestra formación es una formación individualizada y adaptada en tiempo real", anota Check. "[La IA] también puede utilizarse para llevar el tipo de entrenamiento más apropiado a cada estudiante, rastreando sus patrones de respuesta y llevándoles el tipo de material adecuado -un video, un texto o una sesión interactiva con un entrenador- para trabajar en un desafío".
Encontrar el ajuste correcto
El entrenamiento de seguridad nunca debe ser visto como una solución de talla única y pre empaquetada. Múltiples factores deben influir en la estructura y el contenido de un programa de formación, incluyendo el tamaño de la empresa, el alcance y el modelo de amenaza, así como el nivel de habilidad actual del equipo de seguridad. "Lo que puede funcionar para una empresa, puede no funcionar para otra debido al tamaño, el presupuesto o la profundidad de sus equipos de seguridad", explica Painter.
Tran cree que la forma más fácil y rápida de impartir una instrucción completa en materia de seguridad a los miembros del personal en los distintos niveles de cualificación es adoptar un conjunto de directrices comunes. Sugiere el NICE Cybersecurity Workforce Framework, un modelo de formación y educación en ciberseguridad desarrollado por expertos gubernamentales, académicos y del sector privado. "Basándome en mi experiencia personal, he encontrado un número cada vez mayor de organizaciones que incorporan dicho marco en sus esfuerzos de contratación y desarrollo de los empleados", comenta Tran.
Mientras tanto, Pavlakis insta a los dirigentes a no perder el tiempo preocupándose por cargar al personal con instrucciones de seguridad que pueden no ser directamente pertinentes a sus tareas actuales. "En lo que a mí respecta, nunca se pueden tener demasiados conocimientos sobre ciberseguridad", señala.
John Edwards, CSO (EE.UU.)