16 habilidades de seguridad crítica que necesitamos

16 habilidades de seguridad crítica que necesitamos

Pongámonos en situación

Seguramente este tema sobre seguridad es trillado para muchos, por lo [aparentemente] obvio del tema, a estas alturas.

Contamos con herramientas que seguramente dominamos. Esa es la parte tecnológica.

Pero no debemos dejar de lado que el ser humano ha desarrollado la tecnología con base en hechos científicos, como herramienta, para ayudarse en lo repetido, en lo meramente operativo y no pensante [bueno, otro tema son los continuos avances en inteligencia artificial].

 

 

Entendamos primero el concepto de habilidad

El concepto de habilidad se refiere a una capacidad y disposición para algo; hace referencia a la maña, el talento, la pericia o la aptitud para desarrollar alguna tarea. Es una aptitud innata.

En 1993 la División de Salud Mental de la Organización Mundial de la Salud (OMS) lanzó la Iniciativa Internacional para la Educación en Habilidades para la Vida en las Escuelas.

El propósito de esta actuación era difundir mundialmente la enseñanza de un grupo genérico de diez destrezas psicosociales, consideradas relevantes en la promoción de la competencia psicosocial de niñas, niños y jóvenes.

  1. Autoconocimiento
  2. Empatía
  3. Comunicación asertiva
  4. Relaciones interpersonales
  5. Toma de decisiones
  6. Solución de problemas y conflictos
  7. Pensamiento creativo
  8. Pensamiento crítico
  9. Manejo de emociones y sentimientos
  10. Manejo de tensiones y estrés

Estas diez habilidades psicosociales no son materia nueva. En cierta forma, son tan antiguas como la propia humanidad, porque todas tienen que ver con la manera en que manejamos las relaciones con nosotros mismos, con las demás personas y con el entorno social.

Es más, el Foro Económico Mundial en 2016, propuso en su artículo, 10 habilidades que se necesita para prosperar en la Cuarta Revolución Industrial, que hacia el 2020, se requerirán las siguientes habilidades:

  1. Solución de problemas complejos.
  2. Pensamiento crítico.
  3. Creatividad.
  4. Administración de personal.
  5. Coordinar a otros para trabajar en un fin común.
  6. Inteligencia emocional.
  7. Juicio y toma de decisiones.
  8. Orientado al servicio.
  9. Negociación.
  10. Flexibilidad cognitiva.

Y otro artículo, más reciente, Las habilidades más importantes del mañana, según cinco líderes mundiales, las siguientes habilidades adicionales:

  1. Habilidades blandas, como el trabajo en equipo, conocimiento de las herramientas digitales, la comprensión de las reglas y las regulaciones, la responsabilidad y el compromiso son las más relevantes.
  2. Explotar los torrentes de información que se generan a diario con una fuerte dosis de empatía.
  3. Habilidades que las computadoras nunca llegarán a dominar, y grandes maestros para enseñarlas.
  4. Olvidar el aprendizaje de memoria, y centrarse en habilidades transferibles como: pensamiento crítico, adaptabilidad, resolución de problemas, entre otras.
  5. Un espíritu emprendedor, y las habilidades para saber cómo aplicarlo.

Resulta importante considerar esto de la cuarta revolución industrial porque, en palabras del presidente ejecutivo de WEF, Klaus Schwab, cambiará “no sólo lo que hacemos sino lo que somos”, dado que “afectará nuestra identidad” en múltiples formas.

Más aún esta revolución se manifestará en nuestro sentido de privacidad, noción de propiedad, patrones de consumo, así como en la forma en la que cultivamos nuestro conocimiento e interactuamos con las personas.

Schwab está convencido que “[…] en el futuro, el talento, más que el capital, representará el factor crítico de la producción”.

Ciertamente son de importancia las habilidades consideradas en estos artículos.

Veamos, entonces, sabemos qué hacer en cuanto a seguridad

Pensamos que sabemos todo sobre el tema. Nuestras certificaciones en seguridad, riesgos, continuidad, y otras más, nos acreditan, y nuestra experiencia en dichos campos nos avala. ¿No acabamos de certificarnos en Hacking Ético? -y seguramente ya nos consideramos hackers.

Bueno, no es así para todos, aunque parezca [o debería], y a ellos va dirigido esta contribución.

Mucho tiene que ver [y empezar] con reconocer [sinceramente] nuestras propias fortalezas y debilidades, nuestro propio accionar, nuestras costumbres.

No es raro que el ecosistema en que nos desenvolvemos también juega un papel importante en esto, ya que muchas veces nos arrastra –y nos dejamos arrastrar.

Pero, ¿cómo empezamos a hacer las cosas?

Preguntémonos, por ejemplo:

  1. ¿Cuántas veces no hemos hecho nuestra tarea previa antes de realizar la instalación, implementación, personalización, configuración de un servicio?
    1. ¿Hemos analizado la real necesidad para el negocio, de algún cambio o de una nueva implementación?
    2. ¿Hemos entendido a cabalidad la envergadura del cambio requerido?
    3. ¿Hemos analizado los pre-requisitos?
    4. ¿Hemos identificado todos los datos involucrados y contamos con los correctos y necesarios?
    5. ¿Hemos evaluado los pormenores de nuestras acciones y planeado la ejecución de la tarea?
    6. ¿Hemos evaluado los riesgos antes, durante, y después de la ejecución planeada?
    7. ¿Hemos asegurado que contamos con lo necesario antes de empezar la tarea?
    8. ¿Contamos con mecanismos de remediación/recuperación/reversión realmente probados?
  2. ¿Cuántas veces hemos ingresado valores por defecto?
    1. Y no nos hemos preocupado de analizar y evaluar antes cómo se vería afectada nuestra seguridad, que tanto cuidamos, por estos valores.
    2. Por apuro/cansancio [u otra excusa de su preferencia, mi estimado lector].
    3. Por desconocimiento y por no tener a quién preguntar [o no querer preguntar por vergüenza].
    4. Y los dejamos así, sin evaluar cómo se ve afectada nuestra seguridad, que ya descuidamos, por nuestra acción.
  3. ¿Cuántas veces nos limitamos a las pocas opciones que el proveedor ha implementado en la herramienta [antigua o nueva]?, y sobre las que nos ha capacitado, ambas cosas por puro cumplimiento, pero luego no buscamos o aprendemos más allá [con lo que desperdiciamos la herramienta]
  4. ¿Cuántas veces nos limitamos a una determinada plataforma, y no entendemos que nuestro conocimiento es aplicable a otras, por igual? ¿O sólo llegamos a manejar información?

Y, ¿entendemos realmente en dónde y cómo debemos enfocar la seguridad?

  1. ¿Cuáles son las características únicas del negocio, mercados, clientes, infraestructura, industria?
    1. Todos estos aspectos informan la política de seguridad y cada empresa tiene problemas diferentes.
    2. Antes de comenzar a adquirir herramientas, ¿quién entiende de seguridad en la empresa?
  2. ¿Reconocemos que las habilidades de gestión de proyectos centradas en la seguridad son extremadamente importantes?
    1. Necesitamos descubrir cómo integrar las diferentes soluciones de seguridad que hemos identificado como necesarias, con el resto de los sistemas, agregar capacitación, mantenimiento, actualizaciones, por nombrar algunas.
    2. Y todo esto, ¿cuánto tiempo tomará, sujeto a qué presupuesto, considerando qué resultados?
  3. Las empresas están aprovechando DEVOPS y la automatización para poder gestionar el panorama de amenazas. Recordemos que DEVOPS es una forma de pensar y un enfoque para el desarrollo de software y los procesos de lanzamiento, no una categoría de producto o certificación específica.
    1. ¿Qué debemos considerar para implementar DEVOPS o cualquier otra opción, apoyando la agilidad y flexibilidad?
    2. ¿De qué manera, si aceptamos lo anterior, impacta en nuestra TI [bimodal]?
  4. ¿Estamos empleando en realidad un pensamiento crítico para [realmente] evolucionar?
    1. ¿Ya actualizamos nuestro FODA situacional?
    2. ¿Contamos con un real FODA estratégico? ¿o sólo nos enfocamos en debilidades?
    3. ¿Ya identificamos lo que verdaderamente necesita el negocio para prosperar, y la seguridad relacionada?
    4. ¿Conocemos y entendemos realmente nuestro ecosistema?
    5. ¿Ya actualizamos nuestro análisis de brecha?
    6. ¿Ya hemos puesto en marcha nuestra estrategia para cerrar la brecha?

No olvidemos identificar primero lo que debemos mejorar, cuál es la mejora, qué buscamos obtener con la mejora, cuándo realizarla, con qué recursos y capacidades contamos para llevarla a cabo, el cómo la llevaremos a cabo, quién será responsable de llevarla a cabo, y quién será responsable de los resultados para el negocio

  1. ¿Hemos incrementado nuestras destrezas programando, enfocados en la automatización?
    1. ¿Aprendimos nuevos lenguajes de programación?
    2. ¿Ya nos habituamos al entorno de línea de comando (CLI)?
  2. ¿Ya aprendimos a utilizar las soluciones de seguridad que se han implementado?
    1. ¿Sabemos ya por qué falló nuestra reciente implementación de DLP o SIEM, u otras opciones?
    2. ¿Seguimos dependiendo del proveedor del servicio para los incidentes? ¿o seguimos llamando a todo ‘problemas’?
    3. ¿Reconocemos dónde erramos, y por qué erramos? Sí, nosotros erramos. La tecnología falla, y se puede corregir. ¿Podemos decir lo mismo nosotros?
  3. ¿Entendemos que la experiencia ganada no se puede perder?
    1. ¿Cómo garantizamos la permanencia del personal clave relacionado con la seguridad?
    2. ¿Cómo aseguramos que el conocimiento adquirido [en la empresa] no se vaya con el personal [junto con su experiencia]?
    3. ¿Hemos desarrollado alguna forma de gestión del conocimiento?
  4. ¿Estamos en capacidad de realizar una autopsia o investigación forense después de un, digamos, ‘incidente’?
    1. ¿Nos interesa, pero no tenemos tiempo o recursos o competencias?
    2. Luego de nuestro análisis y evaluación de vulnerabilidades, utilizando nuestro recientemente adquirido conocimiento en hackeo ético, ¿se nos pasó algo? Claro, sino, no hubiera ‘incidente’.
    3. ¿No sería bueno aplicar nuestros conocimientos de hacking para apoyar a cerrar la brecha? Cierto, eso lo hace otro especialista ¿o no pensamos así?
  5. ¿Cómo están de maduras nuestras habilidades blandas?
    1. Serían útiles para determinar posibles amenazas internas a la organización ¿no creen?
    2. Serían útiles para entender el comportamiento de los usuarios frente a los esquemas / perfiles de seguridad que se implementan
  6. ¿Hemos identificado que un punto importante en este tema de seguridad, así como en muchos otros, es la pasión por lo que se hace?
  7. ¿Reconocemos si somos capaces de afrontar la implementación de distintas normativas de seguridad, consolidarlas, y ser eficiente en la implementación de los controles, sin afectar las metas de negocio?
  8. ¿Reconocemos que aún nos falta recorrer mucho en cuanto a seguridad?
    1. Verdadera proactividad
    2. Verdadera previsión [anticipación]
    3. Verdadera innovación
    4. Lidiar con nuestra rigidez cognitiva en ciberseguridad
    5. Planeamiento consciente y consistente de la seguridad
    6. Controlar realmente, monitorizar y tomar acción rápida y efectiva ante cualquier incidente
    7. Valorar lo importante para el negocio, en cuanto a la seguridad
    8. Asegurar que el alineamiento / articulación entre el negocio y la tecnología sea real y efectivo, considerando la seguridad
    9. Establecer correctamente los factores críticos de éxito, sus indicadores clave de rendimiento y las métricas asociadas, en cantidad y propiedad correctas
    10. Evitar postergar lo importante
    11. Reducir las ‘emergencias’
    12. Adoptar la seguridad y la calidad como una forma de vida
    13. Implementar correctamente marcos de trabajo, gobierno, estándares, buenas prácticas
    14. Respetar políticas, normas, procedimientos
    15. Madurar procesos, personas, y tecnología –cierto, también la empresa en su conjunto
    16. Pruebas reales, orientadas, contextuales, personalizadas, controladas, completas
    17. Automatización al máximo, identificando las posibilidades reales de nuestra plataforma tecnológica, y utilizándola al máximo con apoyo de nuestras destrezas
    18. Aprender de nuestra experiencia
    19. Asegurar lo aprendido
    20. Mejora continua –incluyéndonos a nosotros mismos
    21. Gestionar el conocimiento
    22. Muchos otros

Conclusiones

Sí, la seguridad parte del sentido común; es un compromiso, es algo que se adopta, se interioriza.

Reconozcamos que, en la seguridad, sí intervienen las habilidades tratadas, no sólo se trata de capacitarse [o certificarse].

Es y debe ser parte integral de la cultura del lugar de trabajo.

Es fácil encontrarnos con un ‘problema’ y decir que, con una nueva tecnología o herramienta, lo resolvemos. Esto es una falacia. ¿No será que encontramos un incidente [que es, además, repetitivo] y, dadas diferentes, digamos, situaciones, optamos por lo más fácil –y decimos que ‘transferimos’ el riesgo? Hagamos nuestra tarea primero, y bien.

Y sí, Deming con su PDCA está presente, incluso en la seguridad.

Una buena persona de seguridad tendrá una gran pasión por compartir, aprender y hacer crecer sus conocimientos todo el tiempo.

¿Coinciden conmigo en que las destrezas y habilidades antes presentadas tienen mérito de ser consideradas? ¿Y han considerado desde qué edades deben ser incorporadas en nuestro ADN? Interesante ver el resultado en unos años.

¿Me comentas?