No es necesario ser un experto en tecnología para convertirse en un profesional de la ciberseguridad


La atención al detalle, la creatividad y la perseverancia son rasgos clave para un buen hacker de sombrero blanco. Estos puestos tienen una gran demanda.

Karen Roby de TechRepublic habló con Ning Wang, CEO de Offensive Security, sobre lo que se necesita para convertirse en un profesional de la ciberseguridad. La siguiente es una transcripción editada de su conversación.

Karen Roby: Ning, comencemos con el estado de la ciberseguridad ¿Dónde estamos en términos de la cantidad de profesionales para cubrir estos roles que son necesarios para mantener seguras a las empresas?

VER: Política de respuesta a incidentes de seguridad (TechRepublic Quality)

Ning Wang: Creo que estamos en muy mal estado. No importa qué fuente mire, hay muchas más vacantes de trabajo para ciberseguridad que personas calificadas para cubrirlas. Y he trabajado en otras empresas de seguridad antes de Offensive Protection, y sé de primera mano que es muy difícil contratar a esas personas. Y ese es el hecho al que nos enfrentamos, y hay muchas empresas que están tratando de abordarlo, organizaciones y gobiernos, y creo que vamos a ver avances, pero no será de la noche a la mañana. Y creo que el problema empeorará antes de mejorar.

Karen Roby: La desafortunada realidad, Ning, y yo sabemos que has estado en el mundo de la tecnología durante mucho tiempo y has trabajado con tantos tipos diferentes de personas, y creo que eso es lo interesante es que no tienes que tener experiencia en tecnología para tener éxito en ciberseguridad. Entonces, ¿qué tipo de persona buscas? ¿Qué tipo de persona y conjunto de habilidades necesita la gente para entrar en el campo y tener éxito?

Ning Wang: Esa es una muy buena pregunta. Puede pensar que debe tener mucha experiencia en tecnología para entrar en seguridad. Y nuevamente, sé de primera mano que ese no es el caso. ¿Qué se necesita para ser un gran profesional en ciberseguridad? Y creo que a partir de mi observación y el trabajo con la gente y la interacción con la gente, necesitan una mente creativa, una mente curiosa, tienes que tener curiosidad por las cosas. Tienes que tener la perseverancia para pasar. No puedes simplemente rendirte fácilmente. Lo llamamos esforzarse más, pero tienes que tener eso. Tienes que tener atención a los detalles porque estás leyendo muchos scripts y códigos los estamos escribiendo. Entonces, si no prestas atención a los detalles, te tomará mucho más tiempo y tiene que ser tu pasión. Desafortunadamente, no puedes hacer esto solo por un trabajo. No puedes simplemente seguir un libro de jugadas y luego pensar que podrás hacerlo.

Esas son algunas de las habilidades clave o los rasgos de una persona. Y luego, incluso si tiene todo eso, no hay atajos. Si observa a todas las personas excelentes en ciberseguridad, al igual que todos los demás campos, esa regla de las 10,000 horas también se aplica aquí, está bien. Tienes que hacer el trabajo duro y es necesario que seas realmente bueno en eso. Y así, por ejemplo, sabemos que en nuestra empresa tenemos a alguien que estudió filosofía. Sin experiencia en TI, enseñó karate y luego se interesó en la ciberseguridad. Y ese es el trasfondo en el que comenzó y es muy bueno hoy y todavía trabaja en OffSec. Y tenemos otro empleado que es uno de nuestros principales expertos en seguridad en la empresa. Trabajó en la sala de correo durante muchos años y dijo: No quiero hacerlo por el resto de mi vida, y quiero averiguar qué es lo que quiero hacer, y luego escuché sobre ciberseguridad y siguió su camino de manera constante y una cosa a la vez, y ahora es un gran experto.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

No es que necesite toda la experiencia en TI, pero lo que sí necesita, debe tener una mente curiosa. Tienes que estar dispuesto a dedicar horas, tienes que perseverar, tienes que prestar atención a los detalles. Y con el tiempo aprendes, desarrollas la sabiduría, el reconocimiento de patrones, y así es como te vuelves realmente bueno en ciberseguridad.

Karen Roby: Si. No puedes escapar de la regla de las 10.000 horas, no hay forma de esquivarla, Ning. Sabes, siempre estamos tratando de ir un paso por delante de los delincuentes, los piratas informáticos que pueden causar mucho daño a las empresas y sus sistemas. Entonces, ¿qué hacen las empresas? Quiero decir, están desesperados por cubrir estos puestos. Están compitiendo con otras empresas para conseguir este talento.

Ning Wang: Creo que ese es otro tipo de hecho desafortunado. No creo que haya una solución milagrosa para arreglar la postura de seguridad, el problema de seguridad de una organización o un gobierno. Seguridad, para ser bueno en eso, realmente se necesitan todos los que tienen acceso a sus sistemas y redes. Debe comenzar creando conciencia y educación typical con todos los miembros de su organización que tienen acceso. Y luego pensar que de alguna manera tienes suerte, nunca te golpearán. Creo que es una ilusión, le puede pasar a cualquiera. Entonces, conciencia y educación typical, pero para hacer eso, creo que necesito comenzar desde arriba. Eso significa que los miembros de la junta, los directores ejecutivos deben saber: hoy, hacer seguridad ya no es algo agradable, o un proyecto paralelo, una ocurrencia tardía, debe ser lo que se necesita para hacer negocios hoy. Entonces, necesitan dar el enfoque, la prioridad y los recursos y la inversión.

Y a partir de ahí, son todos los que están haciendo el trabajo, que su trabajo principal puede no ser la seguridad, ya sea un desarrollador, administrador de sistemas, ingenieros de pink, pero todos tienen algo que ver con la seguridad. De hecho, todos los que están haciendo el trabajo, deben pensar en cómo tener esa conciencia de mentalidad de seguridad. Y luego necesitas a los expertos en seguridad que monitoreen, que verifiquen, que hagan el pirateo proactivo para que el lado ofensivo sea para que puedas tratar de detectar tu debilidad antes de que los malos se aprovechen de ella. Siempre digo, una empresa, un gobierno u organización, su seguridad es tan buena como el eslabón más débil de su organización. Tienes que saber eso, ser consciente de eso. Y luego tienes que hacer todas estas cosas que no son sexys, pero son lo que se necesita. Es el parcheo de todos los sistemas que united states, el sistema operativo o todas las herramientas debe asegurarse de que los está parcheando a tiempo, especialmente sus sistemas críticos.

Y luego, la otra cosa es que creo que muchos de los sistemas son viejos y fueron diseñados sin la seguridad en mente para ser realmente mejores. Tienes que asumir que de alguna manera los malos entrarán, pero ¿cómo lo haces más difícil? Por lo tanto, incluso si ingresan, no pueden ingresar fácilmente a su área sensible para acceder a los datos. Eso requiere un diseño que tenga en cuenta la seguridad. Y entonces es necesario que todas esas personas, las personas de seguridad que saben, que están monitoreando en el lado de la defensa, en el lado de la ofensiva, controlen proactivamente a todos los demás, tengan la conciencia, y las personas hagan el trabajo y la seguridad sea parte de ella, para mejorar la postura de seguridad.

Karen Roby: Terminando aquí, Ning. Creo que volveré a lo que dijiste al principio, que lamentablemente las cosas van a empeorar antes de mejorar.

Ning Wang: Creo que ese es el caso. Creo que si piensas en los ciberdelincuentes, son increíblemente creativos. La seguridad es un problema de personas, no es un problema de sistema. Es la forma en que la gente hace el sistema, sigue los procesos o no, y ahí es donde los ciberdelincuentes se aprovechan de él, y luego obtienen acceso a cosas que no queremos que hagan. Por lo tanto, creo que debemos seguir así y debemos aumentar la conciencia, especialmente en el nivel de liderazgo outstanding. Y luego no, no va a ser de la noche a la mañana y sabemos que tenemos que hacer nuestro mejor esfuerzo, pero incluso cuando hacemos nuestro mejor esfuerzo, pueden suceder cosas que no queríamos. Por lo tanto, debemos pensar en cómo mitigar el riesgo para que, en caso de que ingresen, no puedan llegar al área más practical de su sistema y luego a su purple.

Ver también

20210702-whitehats-karen.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2021/07/02/b155623e-bfce-4e91-8ca1-36c8d00930d5/resize/770x/ca468c93bd821eb1ad33c5be07177203 /20210702-whitehats-karen.jpg

Karen Roby de TechRepublic habló con Ning Wang, CEO de Offensive Stability, sobre lo que se necesita para convertirse en un profesional de la ciberseguridad.

Imagen: Mackenzie Burke



Enlace a la noticia authentic