La seguridad es obviamente uno de los temas tecnológicos más candentes de hoy en día, y aparentemente cada vez más candente por el momento. Así que para asegurarte de que tu equipo no sólo está al día, sino que también está preparado para asegurar y estabilizar tu entorno, ¿dónde deberías buscar en términos de habilidades de seguridad?
Pruebas de penetración
Sin duda, la prueba del bolígrafo es lo más importante que la mayoría de los equipos informáticos deberían tener, y muy pocos tienen. La idea detrás de este «hacker de sombrero blanco» es tener a alguien hábil en las formas en que los atacantes irán tras su código y su infraestructura, y que se aseguren de que no puedan hackear sus sistemas. Es una especie de prueba de presión para su entorno informático, y una forma de detectar los agujeros demasiado comunes que un atacante real utilizará para entrar y arruinarle. Pero tener un solo probador de penetración rara vez es suficiente – tienes que probar tu infraestructura externa, tu código de aplicación, tus sistemas internos – todo.
De hecho, en muchos casos, puede que no valga la pena contratar a probadores de bolígrafos dedicados. En su lugar, puede que quieras buscar a algunos de tus mejores y más brillantes – ingenieros de sistemas, codificadores, etc. – y apoyarlos con el tiempo y los recursos para que se capaciten en la prueba de plumas. Su conocimiento interno de su entorno puede darles una perspectiva valiosa, y su conocimiento institucional de su código y sistemas puede ayudarles a navegar por el a veces complejo entorno político que siempre acompaña a las pruebas de bolígrafo serias.
Expertos en seguridad de dominios
Si sus prácticas de contratación de TI incluyen algún tipo de términos de recursos humanos como «MCSE» o «RHCSA», entonces puede que quiera reconsiderar. Si bien esos términos pueden proporcionar un valioso punto de referencia, aunque sea mínimo, para el conocimiento del dominio técnico, rara vez incluyen una experiencia significativa en materia de seguridad. Está muy bien que su servidor de correo esté en funcionamiento, que es el nivel en el que se centran la mayoría de las certificaciones, pero no sirve de nada si el servidor no ha sido configurado para ser lo más seguro posible. Un problema aquí es que muchos, si no la mayoría, de los expertos en seguridad odian las certificaciones, rara vez las persiguen, y por lo tanto no logran pasar las puertas de RRHH que simplemente buscan un conjunto de acrónimos en los currículums.
En su lugar, asegúrense de que sus equipos incluyan algunos individuos que tengan experiencia real en la configuración de las tecnologías elegidas para operar en un entorno seguro y estable. En una entrevista, estas personas se diferenciarán por ser capaces de describir fácilmente media docena o más de las configuraciones erróneas de seguridad más comunes en los productos que apoyan – junto con las soluciones sugeridas. Esa es una persona que puede poner a trabajar de inmediato para que su entorno sea menos susceptible de ser atacado. Aquí hay un gran post sobre cuándo considerar certificaciones técnicas en el proceso de entrevista.
Auditoría
El problema con la seguridad es que siempre tiene un costo, ya sea en dinero, o en conveniencia y utilidad. Ambos costos significan que es muy probable que la gente comprometa la seguridad, que no es lo que usted quiere. Ahí es donde un auditor puede intervenir. Dependiendo de su especialidad, revisan rutinariamente cosas como las prácticas de codificación (y el código real), las configuraciones de la infraestructura, las prácticas de seguridad del usuario final y más. Ellos son los que detectan un problema de seguridad en ciernes. Todas las políticas de seguridad del mundo son inútiles si no se observan rigurosamente todos los días, y los auditores pueden ayudarle a entender dónde funcionan las políticas y dónde no. Los auditores incluso tienen sus propios grupos industriales, incluyendo ISACA, que pueden proporcionar seminarios y actualizaciones del momento, para ayudar a mantener a un Auditor de Seguridad de la Información educado, actualizado y relevante.
Pero eso no es todo
Por supuesto, hay otras funciones de seguridad de la información que suelen encontrarse sólo en las empresas consultoras o en empresas especialmente grandes o reguladas. Por ejemplo, los expertos en análisis forense digital son muy valiosos cuando se produce un intento de piratería informática, ya que pueden ayudar a identificar lo que se ha hecho, lo que se ha dañado y lo que se ha robado. Son una forma de aprender del error y hacerlo mejor la próxima vez, pero para la mayoría de las empresas pequeñas y medianas, tener uno en plantilla (por no hablar de un equipo) puede no ser práctico desde el punto de vista financiero.
Dicho esto, todo lo anterior ha evitado lo que quizás sea el papel de seguridad más importante dentro de cualquier organización: todos. Asegurarse de que todo su equipo de TI sea experto en seguridad – codificación segura, diseño de infraestructura segura, operaciones de TI seguras, etc. – es la forma en que usted estará seguro hoy y se mantendrá seguro a largo plazo. Cada vez que un desarrollador escribe una línea de código, un operador de router modifica un ajuste o un administrador de servidor cambia un elemento de configuración, deberían pensar: ¿Cómo afectará esto a nuestra seguridad? Y deberían ser capaces de responder con confianza y correctamente a esa pregunta. La seguridad, en otras palabras, no es algo que usted y algunas otras personas hacen; es algo que usted y toda su organización son. Todos, incluso el interno que sabe que no debe hacer clic en ese correo basura, puede contribuir a una organización más segura.
Una de las políticas de seguridad más importantes que su empresa puede adoptar es la formación y la educación. Aquí hay más consejos sobre cómo su equipo de TI puede crear una conciencia de seguridad en toda la empresa.
Y si su equipo necesita mejorar en seguridad, asegúrese de revisar este seminario web del experto en seguridad y autor, Troy Hunt.
Mira ahora: Redada de seguridad cibernética: Las 6 principales violaciones de 2016