Cómo están cambiando los roles de ciberseguridad y qué esperar de nuevas contrataciones

A nivel mundial, las empresas están tratando con el impacto de los constantes cambios tecnológicos y la necesidad de mantenerse al día con la evolución continua de las capacidades de ciberseguridad. Esto afecta directamente a las personas que ya están empleadas en la industria, así como a las habilidades que se buscan para contratar a nuevo personal de respuesta de incidentes, gobernanza, riesgo y cumplimiento y análisis de Centro de Operaciones de Ciberseguridad (SOC, de sus siglas inglesas).

La IA y la automatización impulsan el cambio en algunas funciones

La experimentada jefa de TI y ciberseguridad, Sameera Bandara, le dice a CSO que uno de los factores más importantes que impulsan un cambio en las habilidades que las empresas buscan en los profesionales de la ciberseguridad, especialmente en los últimos dos años, es la creciente prevalencia de la inteligencia artificial y las herramientas de automatización. De hecho, el informe Tines Voice of the SOC encontró que nueve de cada 10 equipos de seguridad están automatizando al menos parte de su trabajo.

"Proveedores como Microsoft y otros proveedores de seguridad como Splunk y CrowdStrike, básicamente han introducido IA en sus conjuntos de herramientas, lo que luego elimina la necesidad de que, digamos, un analista de seguridad tenga un cierto conjunto de habilidades, porque en lugar de tener que hacer en los patios difíciles, básicamente pueden conseguir la herramienta para hacerlo por ellos", dice Bandara. Algunas de esas habilidades a las que se refiere son las de codificación y secuencias de comandos. "Las cosas que antes necesitaban un script de Python ahora se pueden consultar utilizando lenguaje natural gracias a que los proveedores integran la IA en sus herramientas", afirma.

David Vaughn, analista senior de ciberseguridad de Datacom, ha experimentado este cambio de primera mano y describe cómo su función ha cambiado "significativamente" en los últimos dos años. "En el pasado, mi trabajo se centraba en identificar y responder a los ciberataques", expresa. "Con Datacom operando a la vanguardia de la ciberseguridad, mi función ha avanzado para incorporar una búsqueda de amenazas más proactiva. Ahora dedico una cantidad significativa de tiempo a buscar activamente amenazas a nuestra organización, tanto interna como externamente; implementando casos de uso de anomalías y basados ??en el comportamiento. en comparación con casos de uso más estándar basados ??en firmas; y más automatización con la introducción de la plataforma de orquestación, automatización y respuesta de seguridad (SOAR).

Vaughn añade que el acceso a nuevas herramientas de automatización también ha significado una reducción en los tiempos de clasificación y respuesta, así como una oportunidad cada vez mayor de centrarse en responsabilidades más estratégicas y complejas. "Hemos visto cómo la naturaleza de la industria cambia de un enfoque reactivo a uno proactivo y esto debería reflejarse a nivel personal. Ya no espero a que ocurran amenazas para tomar medidas", dice.

Algunas de las habilidades específicas que Vaughn cree que ha tenido que adquirir en los últimos años para mantenerse al día con los cambios en su función incluyen aprender a realizar consultas, crear informes y utilizar manuales; nuevos lenguajes de consulta como Sentinel KQL para crear reglas de detección efectivas; nuevas tácticas y técnicas que utilizan los actores de amenazas; y la introducción cada vez mayor de herramientas de inteligencia artificial.

La automatización ha permitido al director técnico analista de Darktrace APAC, Oakley Cox, alejarse de las tareas mundanas. Para él, el trabajo es tradicionalmente una toma de decisiones muy binaria y basada en el conocimiento, y muy repetitiva. "Pero ahora, al aprovechar la IA, tiene ese contexto y comprensión más amplios y toma esa decisión por usted. Luego, le permite a usted, como analista humano, dar un paso atrás desde el lado del conocimiento y, en cambio, centrarse en las pruebas de hipótesis e investigar métodos con menos alertas. centrarse únicamente en alertas importantes".

Cómo está evolucionando el papel del especialista de GRC

Como ocurre con la aparición de cualquier tecnología nueva, existen ventajas y desventajas. Bandara advierte que, si bien la IA se puede utilizar para el bien, también se puede utilizar para crear nuevos ataques y mayores riesgos, algo que todos los profesionales de la ciberseguridad deben conocer. "Si tienes un especialista en gobernanza, riesgos y cumplimiento y tiene un proyecto particular que llega a su bandeja de entrada para realizar una evaluación de riesgos, anteriormente no habrían tenido que considerar los riesgos basados ??en IA. Por ejemplo, si un empleado está utilizando una plataforma abierta de inteligencia artificial para generar una oferta o que alguien copie y pegue la propiedad intelectual de la empresa en ChatGPT", afirma.

A raíz de estas nuevas consideraciones, el director ejecutivo de ciberseguridad de KordaMentha, Tony Vizza, cree que los especialistas de GRC (Gobernanza, Riesgo y Cumplimiento) desempeñan cada vez más un papel de asesoramiento a las empresas. "Creo que cada vez hay más conciencia de que el mundo de la ciberseguridad se parece mucho a la medicina porque si no estás bien, vas al médico de cabecera... pero el médico de cabecera no será la persona que lo sepa todo, te enviarán a un especialista o mandarte a que te hagan una exploración o un análisis de sangre", dice. "Su trabajo realmente es el de consultor, por así decirlo, que coordina las diferentes especialidades de la medicina, y luego regresa con los resultados y dice que esto es lo que hay que hacer... sin embargo, dentro del ámbito de la medicina, hay una Todo un ecosistema de personas que se especializan en diferentes áreas... estamos viendo en el mundo de la ciberseguridad que es exactamente lo mismo".

Vizza explica que en el pasado, las personas que trabajaban en GRC normalmente eran llamadas por personas muy técnicas que decían "no entiendes la tecnología", mientras que la gente de GRC decía "no entiendes la tecnología". arreglarlo todo". "Creo que estamos empezando a ver que en realidad se necesitan ambos".

Los especialistas de GRC deben estar equipados con ciertos conocimientos jurídicos para poder asesorar con éxito a las organizaciones sobre el diseño de planes y marcos de gobernanza y las mejores prácticas de ciberseguridad, por ejemplo. Al reconocer esta necesidad, Vizza, un especialista en GRC, está terminando sus estudios de derecho. "En los últimos años, desde esta perspectiva, hemos visto el requisito de que es necesario comprender el espacio regulatorio, más allá de 'es una cuestión de la Ley de Privacidad'. Hay que explicar cuando se trabaja con organizaciones. específicamente cómo les afectará si sufren una violación de datos", dice. "No es necesario ser abogado, pero sí tener suficiente conocimiento y estar realmente en ese panorama legal y regulatorio".

El personal de respuesta a incidentes ahora necesita buenas habilidades de comunicación

No sólo se espera que los especialistas de GRC brinden sus consejos. Los equipos de respuesta a incidentes, normalmente valorados por sus habilidades técnicas, se encuentran cada vez más interactuando directamente con los clientes. Según David Ulcigrai, investigador senior de análisis forense digital y respuesta a incidentes de CyberCX, se requiere que los respondedores de incidentes repasen sus habilidades de comunicación oral y escrita. "Lo que estamos notando es que el cliente no necesariamente quiere esperar a que alguien revise un correo electrónico o revise un informe antes de enviarlo, y eso es lo que solía ser, veníamos a hacer la investigación, encontrábamos algunos resultados y al final les entregábamos un informe escrito", afirma.

"Ahora, el cliente está más involucrado y quiere saber más durante ese proceso, por lo que todos tienen que responder, todos tienen que estar disponibles para levantar el teléfono y tener una conversación. Mi experiencia era muy técnica y la gente técnica no lo es. necesariamente los mejores comunicadores para simplificar las cosas. Pero es una habilidad que se aprende, así que en eso estamos tratando de centrarnos ahora".

Qué deben tener en cuenta los CISO a la hora de contratar

Cuando busca nuevos empleados, Ulcigrai, cuya experiencia se encuentra en aeródromos militares, dice que siempre está buscando personas técnicas con capacidad de aprender. "No necesariamente me importa de qué corriente técnica vienes... siempre y cuando esté en algún lugar de ese ámbito cibernético o técnico, especialmente en la respuesta a incidentes... pero ahora también me interesa saber cuándo habla la gente". para mí, simplemente escuchar lo que dicen y si son capaces de explicarme el tema de una manera que pueda entenderlo, porque eso se está volviendo más importante a partir de esa pieza de comunicación", dice. "Sabes, hace cinco o seis años habría elegido a ese experto técnico. Ahora, si tuviera un puesto y tuviera a alguien que quizás no sea tan fuerte técnicamente pero que pueda comunicarse, probablemente elegiría este último".

Corien Vermaak, directora de ciberseguridad de Cisco Australia y Nueva Zelanda, está de acuerdo en que contratar personas con habilidades interpersonales además de técnicas es cada vez más favorable. "Yo buscaría a un ingeniero o analista que pueda guiar a las partes interesadas en un viaje sobre lo que está sucediendo con esta infracción, en lugar de entrar en un profundo agujero de discusiones técnicas y perderlas porque recuerde... a veces los ingenieros que trabajan en ello ven que el analista pasa a primer plano y tiene que informar sobre los datos".

Estos profesionales tienen que comunicar los desafíos, el planteamiento del problema, también tienen que comunicar y formular planes, dice Vermaak, por lo que necesitan tener ese pensamiento crítico, planificación, resolución de problemas, comunicación y redacción técnica de los que carece la industria. "Por lo tanto, cualquiera que pueda demostrarme que tiene riqueza en sus habilidades interpersonales en torno a las calificaciones técnicas o académicas siempre obtendrá una clasificación más alta en un proceso de entrevista".

La capacitación cruzada se ha vuelto más importante en el sector cibernético, particularmente mientras continúa afectado a nivel mundial por la actual escasez de habilidades . "Debido a que no tenemos la cantidad correcta de recursos, veo que los líderes son muy creativos [en la forma de reclutar]. En mi equipo, hago lo mismo porque hay muchos campos diferentes que pueden enriquecer un rol. Realmente pienso fuera de lo común cuando miro a un candidato. Veo eso mucho en toda la industria", dice Vermaak. 

En última instancia, la narrativa sobre cómo las empresas contratan ciberprofesionales está cambiando; Ya no se trata sólo de las habilidades que ya poseen sino también de cuán abiertos están a aprender otras nuevas. "Quiero atraer a personas con una noción altruista que quiera luchar contra el crimen, pero de una manera no sangrienta, que quiera ser parte de la solución, que quiera pensar críticamente y resolver problemas", dice Vermaak. "Porque una vez que encuentras a esas personas, el resto realmente no importa. Sabes que invertirán en habilidades y se desarrollarán, y eso es a lo que nos enfrentamos".