[28/10/2021] Todas las organizaciones quieren mantener al día los conocimientos de ciberseguridad de sus empleados, pero para muchas, el costo de las formaciones formales avanzadas puede romper el presupuesto. En el Instituto SANS, por ejemplo, considerado por muchos como el estándar de oro para la formación profesional, los cursos pueden costar más de cinco mil dólares por persona. En conferencias de alto nivel como Black Hat, incluso las sesiones de uno o dos días pueden llegar a costar cerca de cuatro mil dólares.
Pero esas no son las únicas opciones que existen. De hecho, según los expertos, hay muchas formas de mejorar los conocimientos de seguridad sin arruinarse. Sus sugerencias se dividen en dos grandes categorías: hacer uso de sus propios recursos internos para garantizar que los conocimientos de ciberseguridad se comparten en toda la organización, y encontrar recursos externos de bajo costo, ya sea como complemento o como parte de sus esfuerzos internos.
Cómo la formación interna puede aportar
Cuando preguntamos a los profesionales de la ciberseguridad dónde encontrar formación de bajo costo o gratuita, una respuesta surgió una y otra vez: buscar dentro. Es casi seguro que su propia organización tiene una gran cantidad de conocimientos sobre seguridad, y sus empleados pueden ayudar a formar y educar a sus compañeros de trabajo.
"El primer recurso que cualquier empresa debería buscar es su propia gente", señala Attila Tomaschek, experto en privacidad digital de ProPrivacy. "Los expertos internos en ciberseguridad pueden ofrecer una visión increíblemente valiosa sobre en qué debe consistir un régimen de formación eficaz, así como dirigir las sesiones de formación y responder a las preguntas de los participantes. Adoptar este enfoque puede ser inmensamente productivo y rentable al mismo tiempo".
Para algunos, la idea de que la formación interna sea gratuita o de bajo costo puede hacer saltar las alarmas de la contabilidad. Al fin y al cabo, sus empleados no son gratis: usted les paga y el tiempo que tienen que dedicar a su trabajo es finito. Pero al desplegar recursos internos, se evitan los costos iniciales de pagar costosas sesiones o cursos de formación. Y cultivar una cultura de formación en seguridad interna tiene otros beneficios, tanto tangibles como intangibles.
Programas de formación formal. Hay una amplia gama de formas de implementar la formación y la transferencia de conocimientos internamente, dependiendo del tamaño y la capacidad de su empresa. En MongoDB, un programa interno de "campeones de seguridad" impregna todos los departamentos de la empresa, comenta la CISO, Lena Smart. Los campeones se ofrecen como voluntarios para participar y "son el conducto a través del cual las unidades de negocio pueden discutir las necesidades, problemas y peticiones de seguridad", explica. Los campeones asisten a reuniones de seguridad mensuales, ayudan a educar a sus equipos en cuestiones de seguridad, y se espera que dediquen dos horas a la semana a aprender más sobre los problemas de seguridad actuales.
El costo es difícil de cuantificar, comenta Smart, pero cree que la inversión merece la pena. "Por ejemplo, el hecho de que un ingeniero de seguridad ofrezca una presentación sobre las mejores prácticas de seguridad de la red aporta valor a los campeones, al tiempo que facilita el trabajo del ingeniero, ya que es probable que los campeones compartan y apliquen lo que han aprendido durante esa sesión". El programa cuenta con la aprobación de los altos ejecutivos y ahora tiene un empleado a tiempo completo a cargo de él.
Dicho esto, MongoDB es una empresa bastante grande, con unos 2.900 empleados; obviamente, una tienda pequeña o una startup no podría soportar un programa como éste. Pero hablamos con otros profesionales de la informática que describieron formas menos formales en las que los empleados de empresas con menos recursos pueden ayudar a mantener las habilidades de los demás al día.
Sesiones de conocimiento. Deepak Gupta, cofundador y CTO de LoginRadius, describe cómo abordó este problema en los primeros días de su empresa: "Teníamos un equipo pequeño y poco experimentado, y era esencial que aprendieran y crecieran. Si el equipo carecía de algunas habilidades específicas, solíamos hacer sesiones semanales para superar esa carencia de conocimientos específicos. La clave es que el equipo debe estar dispuesto a aprender y adaptarse. Tuvimos éxito construyendo el equipo con este enfoque".
Jason Vigh, director de ciberseguridad de 1898 & Co, afirma que su empresa también utiliza este tipo de presentaciones semiformales para formar a los trabajadores. "Estos 'almuerzos y aprendizajes' crean un foro abierto de colaboración sobre diversos temas de ciberseguridad", sostiene. "Esto permite no solo que los miembros de nivel senior compartan sus experiencias, sino también que los miembros de nivel junior discutan su investigación personal sobre diversos temas y soliciten la opinión de los empleados más experimentados para validar los conceptos que pueden haber estado investigando o aprendiendo".
Tutoría individualizada. En esta línea, nuestros expertos instaron a las empresas a aprovechar las oportunidades de emparejar a los empleados senior con los junior para ayudar a transferir las habilidades entre generaciones en la empresa. "Hemos hecho un seguimiento del trabajo tanto formal como informal con grandes resultados", comenta Marlys Rodgers, CISO de CSAA Insurance Group. "El año pasado, incorporamos un recurso no técnico de nuestra área de servicios, y ahora está dirigiendo nuestras campañas de phishing, métricas y análisis de datos. Ahora nos centramos en las rotaciones de trabajo y las prácticas para aprovechar nuestros recursos experimentados y sus conocimientos, y el resultado son manos adicionales para ayudar mientras se aprende en el trabajo".
Presentar y contextualizar los contenidos disponibles públicamente. Hay una gran variedad de contenidos centrados en la seguridad disponibles de forma gratuita, desde publicaciones en blogs hasta seminarios web y podcasts. Gran parte de ese material podría ser útil tanto para el personal técnico como para el no técnico, y corresponde a los expertos internos en seguridad informática separar el grano de la paja.
"He estado compartiendo podcasts con mis empleados", comenta Sebastian Schaeffer, CTO y propietario de dofollow.io. Es especialmente fan de Unsupervised Learning, con el experto en infoseguridad Daniel Miessler; y de Darknet Diaries, presentado por el profesional de la ciberseguridad, Jack Rhysider. Pero subraya que hacer uso de ese material implica algo más que compartir un enlace. "Usted, como experto en TI, tiene que ayudar a contextualizar el contenido y ayudar a la gente a extraer los puntos principales", señala. "Pero es totalmente posible inculcar las mejores prácticas de ciberseguridad a las personas sin formación en TI, simplemente proporcionándoles acceso a las conversaciones con los principales expertos".
Buscar fuera las pepitas de sabiduría
Tal y como deja claro Schaeffer, va a tener que sacar información y recursos del mundo exterior para mejorar realmente su departamento de TI y mantener a su base de empleados actualizada en materia de ciberseguridad.
El mundo en general está lleno de recursos a los que puede recurrir, si sabe dónde buscar.
Cursos en línea. Hay un montón de recursos gratuitos y de bajo costo, y varios sitios y cursos fueron mencionados repetidamente por los expertos con los que hablamos.
Estas ofertas pueden integrarse en los programas de formación en ciberseguridad que se imparten internamente, ofreciendo cursos bien diseñados a los empleados, sin que ello suponga una gran merma en los presupuestos departamentales o requiera que alguien de la empresa dedique tiempo a desarrollar un curso desde cero.
Jordan Muariello, CSO de Critical Start, afirma que su empresa utiliza tanto Udemy como edX para formar a sus empleados. "El curso Harvard CS-50x Intro to Computer Science en edX es una gran introducción a los fundamentos de la programación", comenta. "Además, el instructor José Portilla de Pierian Data Inc. tiene sus cursos de Python en Udemy a un precio muy asequible. Ambos cursos son esenciales a medida que progresamos los analistas para poder realizar análisis de código, y eventualmente aprender a revertir el software en su camino hacia el análisis de malware".
Recursos del proveedor. Lovisa Stenbäcken Stjernlöf es la responsable de prácticas de Okta en Devoteam Cloud Services, una consultora sueca. "Por supuesto, utilizamos los recursos de formación de los diferentes socios que revendemos", señala. "Pero eso también puede ser una estrategia para otros. Muchas empresas de productos ofrecen sus formaciones de forma gratuita, y suelen incluir también conocimientos más generales de ciberseguridad".
John Roman, presidente y director de operaciones de FoxPointe Solutions, coincide. "Empresas como ESET, Crowdstrike y Symantec ofrecen con frecuencia seminarios web gratuitos, y tratan temas relevantes y formación en torno a temas candentes de ciberseguridad", afirma. "Vigile estos sitios y aprovecha las oportunidades de aprendizaje adicionales".
Dicho esto, hace hincapié en que se acerque a estos recursos entendiendo que son parte de la estrategia de marketing del proveedor. "Como mejor práctica, siempre debe haber un proceso de investigación con los proveedores", anota. "Antes de invitar a un proveedor a presentar una sesión de formación, el CIO o CISO de una empresa debe examinar la presentación o los materiales para asegurarse de que el 95% es educativo y el 5% un argumento de venta".
Aprender de los errores de los demás. A menudo, las brechas de seguridad acaban convirtiéndose en un asunto de dominio público, especialmente si la empresa afectada pertenece a un sector muy regulado. Los informes publicados por los organismos reguladores sobre estas violaciones son un gran recurso para ayudar a su equipo de infoseguridad a entender los problemas de ciberseguridad del mundo real. "Al entender en qué han fallado otros, aprendemos de los acontecimientos en los que otros no han sido tan afortunados", señala Simon Backwell, director de seguridad de la información en Benefex, Ltd. "Lo mejor es que no hay ningún costo aparte del tiempo y el esfuerzo que las personas dedican a escuchar o leer estos recursos".
Encuentros y redes. Nuestro último consejo: no hay mayor fuente de conocimientos en materia de infoseguridad que sus compañeros profesionales. Eso significa que debería animar a sus empleados a establecer redes con profesionales de la ciberseguridad fuera de su empresa, y usted debería hacer lo mismo.
Adam Fard, fundador y jefe de diseño de Adam Fard Studio, le insta a buscar grupos de encuentro cerca de usted. "Aunque los grupos de encuentro están menos estructurados que las conferencias y las afiliaciones a grupos, ofrecen una excelente oportunidad para aprender y establecer contactos", afirma. Y añade: "Si no vive cerca de una gran ciudad con reuniones presenciales, hay clubes que organizan eventos virtuales para que no se pierda nada". Como las reuniones suelen ser gratuitas, ofrecen una magnífica oportunidad de aprender de profesionales experimentados de la ciberseguridad con un presupuesto reducido".
Al final, uno de los mayores beneficios que puedes obtener de su red profesional más amplia es la primicia sobre dónde encontrar más formaciones gratuitas o de bajo costo. "El año pasado uno de mis objetivos era encontrar un par de cursos de formación diferentes que mejoraran mi trabajo como defensor en el espacio de la detección", comenta Amanda Berlin, ingeniera principal de detección de incidentes en Blumira. "Por supuesto, hay miles de personas que se apuntan a las clases de BlackHat, así como a las de otras conferencias, pero éstas tenían un precio elevado. Fue durante esa búsqueda que encontré algunas otras conferencias, incluyendo el Wild West Hackin Fest, con sede en Dakota del Sur".
"Al principio tenía dudas: ¿cómo podían ser buenos los cursos si no cobraban una gran cantidad por ellos?", continúa. "Pero después de un tiempo, empecé a escuchar a otras personas del sector y sus experiencias de primera mano tomando otros cursos también. Hubo unos cuantos cursos específicos que se cruzaron en mi camino en forma de recomendaciones -incluyendo algunos de WWHF". Al final, quedó muy satisfecha: "Por el precio (entre 500 y 600 dólares cada uno) todos han ofrecido una gran cantidad de información y aprendizaje práctico". Y el hecho de que encontrara el camino hacia ellos da fe del poder de la comunidad.
Basado en el artículo de J.M. Porup (CSO) y editado por CIO Perú
Puede ver también: