[31/03/2021] Según el informe Global Digital Trust Insights 2021 de PwC, el 51% de los ejecutivos que respondieron a la encuesta dijeron que planean añadir personal de seguridad a tiempo completo en el próximo año, y el 22% aumentará su personal en un 5% o más.
Los equipos de las empresas siguen necesitando analistas e ingenieros de seguridad, así como probadores de penetración, todas ellas funciones básicas en muchos departamentos de seguridad. Ahora, sin embargo, las organizaciones buscan ampliar sus filas de seguridad con otros puestos, crear nuevas funciones y añadir nuevos títulos.
A continuación, los expertos ofrecen su opinión sobre ocho funciones que consideran clave para la seguridad informática en 2021.
Ingeniero de gestión de identidades y accesos
Los líderes de seguridad empresarial se centran cada vez más en el desarrollo de prácticas sólidas de gestión de identidades y accesos (IAM), un enfoque alimentado por los altos niveles continuos de acceso remoto, la demanda de trabajar desde cualquier lugar y en cualquier momento, y la expansión de los entornos multicloud.
De hecho, el informe 2020 State of Identity Security in the Cloud (Estado de la Seguridad de la Identidad en la Nube) de la Cloud Security Alliance, descubrió que el 94% de los líderes empresariales que respondieron consideraron la gestión de privilegios y permisos para la identidad humana como una prioridad alta o extremadamente alta, y el 77% la consideraron alta o extremadamente alta para las máquinas.
Por lo tanto, los responsables de seguridad están creando funciones especializadas y dándoles títulos como ingeniero de IAM o analista de IAM.
Jeff Weber, director ejecutivo de la empresa de contratación de personal Robert Half Technology, espera que la demanda de estos especialistas siga creciendo.
"En los próximos meses, la demanda se verá impulsada por la incorporación de los requisitos de seguridad dentro del ciclo de vida de las aplicaciones", afirma, y añade que su empresa está viendo cómo los CISOs mejoran la capacitación de los miembros del personal que han demostrado una sólida capacidad analítica y de resolución de problemas, con la experiencia técnica necesaria para desempeñar estas funciones.
Gestor de riesgos de terceros
Los CISO han visto cómo las amenazas llegan a sus operaciones a través de socios y proveedores, lo que les ha llevado a prestar más atención a los riesgos asociados a terceros. Esto, a su vez, ha dado lugar a funciones centradas exclusivamente en esta cuestión, según líderes de seguridad, reclutadores y asesores ejecutivos.
Benoit-Kurtz, por ejemplo, tiene en su equipo un analista de IS que se ocupa tanto de los riesgos internos como de la gestión de los riesgos de terceros, ya que las competencias necesarias para ambos son prácticamente las mismas. Sin embargo, espera necesitar a alguien que gestione los riesgos de terceros a tiempo completo, a medida que aumenten las exigencias y la complejidad del trabajo.
Los títulos de estas funciones varían, al igual que si se trata de un puesto a tiempo completo o de nuevas responsabilidades añadidas a puestos ya existentes en el equipo de seguridad. En cualquier caso, los expertos afirman que la función se centra en lo mismo: revisar las políticas y procedimientos de seguridad de terceros, y hacer cumplir las normas establecidas según los contratos.
"Tiene que asegurarse de que está gestionando ese riesgo y de que [como equipo de seguridad] entiende las responsabilidades de los proveedores", señala Annalea Ilg, CISO de la empresa de gestión de servicios de TI, Involta.
Ingeniero de seguridad DevSecOps
"Las aplicaciones siguen siendo el eslabón más débil en la prevención de las brechas", sostiene Owanate Bestman, director de Bestman Solutions, una firma de contratación de profesionales de tecnología y seguridad con sede en Londres. "DevSecOps es la metodología más aclamada hoy en día para solucionar esto. Se demandan candidatos con experiencia en DevSecOps".
Dice que los líderes de seguridad quieren ingenieros de seguridad de aplicaciones con una sólida comprensión de la metodología DevOps, conocimiento de las herramientas de canalización DevOps, la capacidad de trabajar con los equipos de desarrollo (o experiencia real haciéndolo), un fuerte conocimiento de los riesgos de las aplicaciones web y, por supuesto, calificaciones de seguridad.
Teniendo en cuenta esta lista, no es de extrañar que la demanda supere a la oferta, anota Sushila Nair, vicepresidenta y líder de la oferta de seguridad de NTT DATA Services, y miembro de la junta directiva del capítulo de ISACA Greater Washington, D.C.
"El DevSecOps no es nuevo, pero es difícil conseguir ingenieros de seguridad de aplicaciones que puedan integrarse en sus equipos de Scrum", sostiene Nair, y añade que el reto es encontrar talento con la combinación adecuada de conocimientos de seguridad y experiencia en el desarrollo de aplicaciones.
Cazador de amenazas
La complejidad y sofisticación de las amenazas que bombardean a las organizaciones hoy en día hacen que los CISOs se dediquen a identificarlas y contrarrestarlas.
"Necesitamos personas que sean casi como un gestor de amenazas de los analistas de seguridad, que examinen todas las herramientas de análisis de amenazas, los registros de los firewalls y otras herramientas de supervisión; personas que entiendan cuáles son las amenazas y puedan comunicarlo a los implicados", señala Southard. "Deberían ser capaces de mirar un registro y mirar una alerta, y detectar algo sospechoso y detectar algún patrón de comportamiento que no es normal, saber si es un falso positivo o un incidente preocupante, y si indica un riesgo que es una emergencia o algo que es menor".
Nair también mencionó la caza de amenazas como una función clave, y dijo: "Necesitamos conocimientos prácticos de análisis. SolarWinds y otros ataques avanzados han impulsado el reconocimiento de que necesitamos cazar a los atacantes. Con los ataques silenciosos y persistentes, las herramientas a menudo no nos alertan, por lo que necesitamos saber cómo cazar a los intrusos en nuestra red".
Analista de riesgos de vulnerabilidad
Del mismo modo, Southard ve la necesidad de personas que puedan rastrear y gestionar las vulnerabilidades dentro de la empresa. "Eso es poner las botas en el suelo para arreglar cualquier vulnerabilidad".
Dice que identificó la necesidad de este rol a mediados del 2020, como la confluencia del continuo acceso remoto a los sistemas corporativos desde varios dispositivos, la lista constante de vulnerabilidades a las que hacer frente, y el creciente número de amenazas a las que se enfrentan las organizaciones.
Southard reconoce que la mayoría de los equipos de seguridad, incluido el suyo, cuentan con personal que se ocupa de las vulnerabilidades. Pero, dice, ese trabajo a veces va detrás de otras prioridades.
Así que creó un nuevo puesto a principios del 2021 para garantizar mejor la atención a la gestión de las vulnerabilidades, viendo la adición como un paso de primera clase que da a alguien el tiempo y la autoridad para hacer de este trabajo una prioridad, e incluso trabajar con los proveedores para remediar los problemas según las normas establecidas por su organización.
"Garantizará que el tratamiento de las vulnerabilidades tenga prioridad y mostrará a otros, como los reguladores, que nos tomamos en serio la corrección de estas vulnerabilidades", añade.
Arquitecto de seguridad en la nube
Esta es una de las funciones más demandadas, según los responsables de seguridad, los reclutadores y los consultores.
"Gran parte de las aptitudes que se buscan están motivadas por la normativa: garantizar que la empresa aprovecha las ventajas de las plataformas en la nube, al tiempo que mitiga los riesgos normativos y de cumplimiento", afirma Bestman.
Dice que los directores de contratación quieren personas que tengan experiencia trabajando con una plataforma en la nube e, idealmente, alguien con formación o certificación específica para la plataforma. También quieren personas que conozcan bien los protocolos de seguridad.
"Se trata de tener la capacidad de desarrollar planes de seguridad para la arquitectura de la nube, sabiendo qué herramientas de seguridad se necesitan para proteger el patrimonio de la nube", comenta Nair, añadiendo que las mejores personas en estos puestos pueden evaluar las herramientas teniendo en cuenta las implicaciones financieras de sus elecciones, así como el impacto en la seguridad.
Es mucho pedir, pero Bestman dice que ve que el número de arquitectos de seguridad con experiencia en la nube está creciendo, y que cada vez más de ellos obtienen certificaciones en la nube para aumentar su valor en el mercado.
Gestor de respuesta a incidentes
En el 2020, Southard incorporó a su departamento un gestor de respuesta a incidentes. Dice que los equipos de seguridad, incluido el suyo, necesitan al menos un miembro del personal que se encargue de estar al día sobre la mejor manera de gestionar todo tipo de incidentes, y que esté preparado para actuar si ocurre algo.
Su nuevo gestor de respuesta a incidentes -un trabajo que a veces se denomina analista de respuesta a incidentes- ha pasado los últimos 17 años trabajando en puestos similares. Esa experiencia era importante para Southard. "Queremos a alguien que haya vivido un incidente", señala.
Southard dice que creó el puesto para garantizar que el departamento de seguridad pueda responder lo más rápidamente posible, y pueda coordinar todas las diversas tareas que podrían entrar en juego.
"Esto nos da un punto de contacto para clasificar, reunir a la gente y averiguar el tipo de incidente que es", explica, y añade que estos gestores deben saber cómo manejar incidentes que van desde los cortes del sistema telefónico, hasta una brecha que expone información personal identificable, y los diferentes niveles de preocupación que requieren estos incidentes.
CISO
El puesto de CISO no es nuevo, pero tampoco es una función universal.
El estudio Prioridades de Seguridad 2020 de IDG descubrió que solo el 42% de las pequeñas y medianas empresas contaban con un CISO, un CSO u otro alto ejecutivo de seguridad, en comparación con el 80% de las organizaciones empresariales.
E incluso algunas de las organizaciones más grandes todavía no tienen un puesto de ciberseguridad de nivel C. Un estudio del proveedor de seguridad Bitglass, por ejemplo, encontró que el 38% de la lista Fortune 500 del 2019 no tenía un CISO, y entre ellos solo el 16% tenía otro ejecutivo (como un vicepresidente de seguridad) que figuraba como responsable de la estrategia de ciberseguridad.
Eso es un error, dicen los expertos.
Incluso cuando una organización está comprometida con la seguridad, el papel del CISO es fundamental para "gestionar de forma ascendente y transversal, y marcar la pauta en la cima". Es fundamental para que una organización sea capaz de obtener una verdadera profundidad en la estrategia de defensa", señala Stephenie Southard, CISO de BCU, una cooperativa de crédito en Vernon Hills, Ill.
Como funcionario, el CISO está posicionado para trabajar con la C-suite en la estrategia y, por lo tanto, es más probable que tenga éxito en la definición e implementación de la postura de seguridad que está alineada con el riesgo de la organización. Un CISO, con la influencia del título ejecutivo, también está mejor posicionado para conseguir que otros se adhieran a los requisitos de seguridad.
"No tener un CISO en su organización, incluso si es un CISO virtual que lo hace a tiempo parcial, establece el tono equivocado", añade Stephanie Benoit-Kurtz, directora de ciberseguridad en Station Casinos (un puesto que depende de un CISO) y directora de la facultad de programas de ciberseguridad en la Universidad de Phoenix.
Basado en el artículo de Mary K. Pratt (CSO) y editado por CIO Perú