Los acertijos y adivinanzas ayudan a los profesionales de InfoSec a resolver …


Un investigador comparte las lecciones inesperadas aprendidas en años de crear acertijos y acertijos para sus colegas de seguridad cibernética.

Los profesionales de seguridad abordan problemas difíciles todos los días, desde investigaciones de incumplimiento hasta problemas técnicos especializados y desarrollo de estrategias y políticas. Un investigador descubrió que la clave para mantener y mejorar estas habilidades críticas de resolución de problemas puede ser resolver regularmente diferentes tipos de rompecabezas.

Cuando el líder de investigación de PwC British isles, Matt Wixey, comenzó a compartir acertijos y acertijos con un pequeño grupo de colegas técnicos, no tenía la intención de que se convirtiera en algo más que una práctica casual. Sin embargo, cuando comenzó a crear sus propios acertijos, los desafíos personalizados ganaron una especie de «seguimiento de culto» dentro de la empresa y poco a poco se fueron formalizando y estructurando con el tiempo.

Dos años después, el equipo de 300 profesionales de seguridad cibernética de PwC se ha unido lentamente para resolverlos. Los desafíos de Wixey, que ahora incluyen desafíos técnicos, así como rompecabezas de lógica, juegos de palabras y matemáticas. Los colegas han agregado incentivos para terminar primero: los premios van desde pequeños premios por desafíos menores hasta recompensas más grandes por rompecabezas de varios días o aquellos que forman parte de los eventos de la compañía.

Pero hay otro beneficio: si bien los acertijos son divertidos, muchas de las personas que los hacen dicen que han notado una mejora en las habilidades de resolución de problemas que usan en sus roles cotidianos.

«A medida que hacía más y más de estos acertijos, haciéndolos desde cero, me hizo pensar en cómo resolvemos los problemas y cómo se puede aplicar a la seguridad», dice Wixey, quien separa los acertijos en cuatro categorías: juegos de palabras y críptico, lógica. , matemática y probabilidad, y técnica.

Cuando crea estos desafíos, trata de tener en cuenta una variedad de personas y habilidades. Si un acertijo técnico se centra en las pruebas de penetración, por ejemplo, incluye a personas de la unidad de negocio al exigir que el pentester reciba aportes de los equipos de respuesta a incidentes o inteligencia de amenazas. A veces, el rompecabezas es un ejercicio estándar de capturar la bandera en el que los participantes tienen que descifrar o comprometer algo. Otras veces, hace que el rompecabezas sea un poco más complejo.

«Hace años, hice un rompecabezas de tres partes donde la gente tenía que resolver problemas para obtener la ubicación del &#39día de ausencia&#39», dice, refiriéndose a un retiro de la compañía. El desafío involucraba acertijos de juegos de palabras, conocimiento del código morse y diferentes tipos de esteganografía, incluyendo imagen y esteganografía de ajedrez.

Wixey descubrió que las personas tienen el mayor éxito con los acertijos matemáticos y de probabilidad Sin embargo, el juego de palabras y los acertijos crípticos son los más populares. La clave para crear un desafío exitoso es hacerlo accesible. «No quieres que (la gente) lo vea y piense: &#39Ni siquiera sé por dónde empezar con esto&#39», dice. Los rompecabezas deben parecer fáciles de resolver, incluso si son difíciles de resolver.

Cómo resolver problemas agudiza las habilidades

La práctica de abordar desafíos como estos a lo largo del tiempo puede abordar los sesgos en la resolución de problemas y las falacias lógicas, al tiempo que fomenta el pensamiento lateral y la curiosidad en los expertos en ciberseguridad.

«Cuando resuelves problemas regularmente, te das cuenta de cómo puede cambiar tu perspectiva de las cosas», explica Wixey. Hay varios elementos relacionados con la resolución de problemas que pueden abordarse en los acertijos: supuestos desafiantes, por ejemplo, o «submetas», lo que significa no pensar en la solución remaining sino concentrarse en los pasos y evitar los «agujeros de conejo» en el camino.

Trabajar para resolver acertijos complejos también aborda el sesgo egoísta, que ocurre cuando las personas se convencen a sí mismas de que están tomando decisiones lógicas cuando no lo están. Los empleados de la unidad de negocio cibernético de PwC dicen que los acertijos y los acertijos los han ayudado a mantener claras las habilidades de resolución de problemas y consideran el panorama standard cuando enfrentan problemas de ciberseguridad en sus trabajos.

Las personas que son buenas para resolver problemas tienden a probar sus propias suposiciones, dice Wixey, y están abiertas a cambiar sus creencias. El creador de un acertijo o acertijo jugará con las personas que tienen una construcción dominante sobre algo, un sesgo o una perspectiva del mundo, y las personas que son fuertes para resolver problemas son conscientes de que tienen prejuicios y piensan más allá de ellos.

Para las organizaciones que desean implementar un programa como este, aconseja comenzar con acertijos y acertijos preexistentes. «Es realmente difícil tratar de diseñar rompecabezas para un grupo de personas realmente inteligentes e intentar asegurarse de que esos rompecabezas se resuelvan en un plazo razonable», dice. «Eso es algo con lo que todavía lucho día a día». Él aconseja usar diferentes formatos para ampliar el atractivo y generar inclusividad de mentes técnicas y no técnicas por igual, lo que aumenta la colaboración entre personas que generalmente no trabajan juntas.

Wixey compartirá más acertijos, acertijos y observaciones hechas mientras crea esta iniciativa en su próxima charla de Black Hat United states «Rompiendo cerebros, resolviendo problemas: lecciones aprendidas de dos años de armar acertijos y acertijos para profesionales de Infosec«el jueves 6 de agosto.

Contenido relacionado:

Regístrese ahora para el Black Hat United states totalmente virtual de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio internet de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Kelly Sheridan es la Editora de particular de Dark Reading through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente informó para InformationWeek, donde cubrió Microsoft, y Insurance & Technologies, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia first