II.

La ciberseguridad como profesión

La ciberseguridad ha formado parte de muchas profesiones y también ha surgido como una profesión en sí misma. Veamos con más detalle algunas posibles vocaciones.

Hoy en día, el trabajo de la ciberseguridad incluye todo tipo de roles y tareas, con diferentes combinaciones de aspectos como la privacidad, el desarrollo, la seguridad física y las auditorías.

Profesiones corporativas

En el pasado, las organizaciones de alta seguridad (como las de defensa o inteligencia), así como las que procesan transacciones de alto valor (el sector de los servicios financieros, las bolsas de valores y los procesadores de tarjetas de pago) se centraron primero en la seguridad de sus sistemas. Por ello, esos sectores prestaron atención, sobre todo, a los controles internos de su empresa para salvaguardar la información.

En los años sesenta, el creciente uso comercial de los ordenadores (como los mainframes de IBM) creó la necesidad de realizar controles y auditorías de las tecnologías de la información. Esto dio lugar a una profesión centrada en el control y las auditorías, que sigue formando parte del trabajo diario de muchos profesionales en las empresas y organizaciones actuales.

Note

En 1969 se constituyó la Asociación de Auditores de Procesamiento Electrónico de Datos (EDPAA) en Los Ángeles, California (Estados Unidos). Esta asociación, que ahora se denomina ISACA, es una de las organizaciones que ofrecen formación y certificaciones de ciberseguridad como CISA, CISM y CSX-P para los profesionales de este campo.

Tradicionalmente, los expertos en seguridad corporativa (que consiste en medidas de protección, simulacros y sistemas de cierre o bloqueo) consideraban la ciberseguridad como una pequeña parte de su profesión, o ni siquiera eso. Se pensaba que la seguridad informática estaba vinculada únicamente a los servicios informáticos internos: los ordenadores, los mainframes y las redes.

Poco a poco, los sistemas de seguridad física se fueron conectando a redes y las medidas de control de la seguridad física (como puertas y cerraduras) no bastaban para proteger la información frente al acceso externo a través de Internet.

Hoy en día, los responsables de seguridad de las empresas y organizaciones prestan atención a la seguridad de la información, ya que los procesos digitales constituyen una parte mucho más importante de sus operaciones. Además, la informática se ha incorporado a la seguridad de la información. Es decir, ahora se emplea para proteger la información, tanto en papel como en formato digital.

Antes, la seguridad informática y la seguridad de la información (lo que más tarde se denominó ciberseguridad) eran dos profesiones diferentes. Pero, con la convergencia digital, esas ocupaciones empezaron a cambiar y a fusionarse. No obstante, siguen existiendo los roles tradicionales (los de director de seguridad corporativa y director de seguridad informática).

Note

Con la entrada en vigor del RGPD en el 2018, las empresas tuvieron que nombrar delegados de protección de datos (DPD), encargados de determinar y detallar las prácticas para proteger la privacidad de sus empleados y clientes. La privacidad requiere controles de seguridad, de modo que los profesionales de la seguridad y la privacidad colaboran estrechamente para lograr un objetivo común.

Aunque algunas funciones (como la del DPD) están muy extendidas, cada empresa y cada sector tiene sus propios roles. Además, cada rol o algunas de sus tareas se pueden externalizar a un consultor de una empresa de servicios profesionales, por lo que ha surgido un sector que ya ha alcanzado un tamaño considerable: el de las consultorías de ciberseguridad.

Personas con diferentes roles de ciberseguridad
Personas con diferentes roles de ciberseguridad

Roles de ciberseguridad habituales en las organizaciones

Director de Seguridad de la Información (CISO, de Chief Information Security Officer)

Normalmente, los CISO son responsables de definir la cultura y los procesos de seguridad y de dirigir las operaciones y funciones de seguridad de la información. Los CISO hacen de mediadores entre la empresa, la dirección, los proveedores, las autoridades y los profesionales técnicos de la ciberseguridad.

Profesional o responsable de seguridad de la información / ciberseguridad / seguridad informática

Estos profesionales se encargan de los procesos de seguridad cotidianos, trabajan en proyectos relacionados con la seguridad y coordinan la actuación ante los incidentes de seguridad. También elaboran políticas y pautas para formar al personal. Convierten las políticas y los principios en tareas concretas dentro de la organización.

Profesional o responsable de seguridad

Los responsables de seguridad prestan servicios de seguridad más tradicionales, como el control del acceso físico, aunque estas labores son cada vez más digitales. Los responsables de seguridad proporcionan al personal un tipo de seguridad tangible, al tiempo que mantienen la ciberseguridad del propio servicio.

Auditor de sistemas de información

Los profesionales de la auditoría ponen a prueba los controles de seguridad (físicos y digitales) y ofrecen recomendaciones para mejorarlos. A veces utilizan herramientas especiales, como instrumentos de análisis, para probar configuraciones reales. Los auditores aportan opiniones independientes y objetivas para ayudar a otros a determinar las prácticas adecuadas.

Consultores

Los consultores también participan en la contratación, la formación, la orientación o cualquier otro tipo de apoyo a estos roles. Los consultores suelen tener experiencia en alguno de los puestos anteriores.

El hackeo ético: de afición a vocación

Como aprendimos en el capítulo 1, los hackers pueden tener sombreros de diferentes colores. Ahora, los de sombrero blanco y otros aficionados a la ciberseguridad ética pueden convertir su pasión en una profesión.

En los puestos corporativos, suele haber una gran carga de trabajo y muchas reuniones con compañeros y clientes internos o externos. Esto deja poco espacio para explorar o probar ideas creativas (hacks), salvo que sean soluciones que aporten un valor inmediato. Muy pocas organizaciones pueden permitirse contratar a investigadores a tiempo completo, excepto las instituciones de investigación financiadas por Gobiernos.

Sin embargo, como el mercado de la ciberseguridad ha crecido y ofrece oportunidades laborales en todo el mundo, ha surgido una modalidad de trabajo e investigación que se realiza totalmente a distancia, un nicho en el que los aficionados e investigadores más especializados —los llamados hackers éticos— pueden ganarse la vida.

Bug bounties

Varias plataformas de crowdsourcing (o externalización abierta) como HackerOne, YesWeHack e Intigriti proporcionan a los hackers un método para obtener ingresos con sus hacks o dedicarse a la caza de errores. Cualquiera puede unirse a estas plataformas de forma más o menos anónima y buscar organizaciones que ofrezcan los llamados bug bounties (programas de recompensas por fallos). A través de estos programas, las organizaciones pueden proporcionar su producto, servicio o aplicación, o bien un fragmento de código, para que lo prueben. Si alguno de los hackers de la plataforma encuentra una vulnerabilidad en el software, se le paga una recompensa en función de la calidad y la gravedad del hallazgo.

Algunos consideran esta opción como una profesión ideal para el futuro: se puede trabajar desde cualquier lugar, en cualquier momento y obteniendo una buena remuneración. Pero también ha sido objeto de críticas. En primer lugar, muy pocos hackers éticos consiguen ganar un buen sueldo a largo plazo. Algunas empresas piensan, erróneamente, que pueden sustituir las pruebas sistemáticas por bug bounties, pero los resultados que se obtienen con estos programas suelen ser oportunistas y poco metódicos.

Note

Todas las empresas y organizaciones deberían contar con un programa propio de revelación de vulnerabilidades. En cambio, los programas de bug bounties no suelen ser necesarios. Los programas de revelación de vulnerabilidades definen las formas en que los investigadores pueden comunicar de manera segura los detalles de una vulnerabilidad y cómo gestionarlos y solucionarlos internamente. Por el contrario, se pueden ofrecer programas de bug bounties si se considera que las ventajas compensan los posibles gastos monetarios y el tiempo que se necesita para gestionarlos.

Además, según algunos estudios, las plataformas de bug bounties aplican contratos de confidencialidad para comprar el silencio de los cazarrecompensas con posibles pagos. Esto permite a algunas corporaciones silenciar a los hackers que descubren las vulnerabilidades de seguridad más graves sin arreglarlas. Pero esta práctica deja a los usuarios del software expuestos a posibles infracciones de seguridad de sus datos.

Por otra parte, como ocurre con muchos otros negocios de plataformas, también hay críticas en torno al posible incumplimiento de la legislación laboral, que en muchos países obliga a los empresarios a hacerse cargo de sus empleados. Los hackers que se dedican a cazar recompensas de bug bounties, técnicamente, son sus propios jefes, por lo que es difícil proteger los derechos de los trabajadores a través de esas plataformas.

Ejemplo

Consulta esta entrevista a un hacker de bug bounties.

Trabajos de seguridad ofensivos y defensivos

En el contexto de las tareas de seguridad ofensivas y defensivas, el equipo rojo es quien ejecuta los ataques para poner a prueba las medidas de control, mientras que el equipo azul es el grupo que se defiende de esas acciones.

Las pruebas de penetración (abreviadas como pentesting) son un tipo de pruebas de exploración de un sistema, una aplicación, un servicio, un servidor, una red, un dispositivo o incluso un vehículo (como un avión o un coche) relacionadas con acciones ilegales. El equipo rojo trata de atacar entidades más grandes, por ejemplo, toda una corporación.

A diferencia de las recompensas por detectar fallos, para este tipo de pruebas se determinan un objetivo, un alcance, un cliente, unos criterios de éxito y una remuneración. Algunas organizaciones pueden tener pentesters en nómina, pero lo más frecuente es que estas tareas se subcontraten a empresas especializadas en ese ámbito. La diferencia entre el hackeo oportunista y el pentesting es que los pentesters proporcionan seguridad y siguen un enfoque sistemático, con el que tratan de cubrir la mayoría de los posibles métodos de ataque.

Ejemplos de roles de los equipos rojo/azul

Miembros de los equipos rojo y azul
Miembros de los equipos rojo y azul

Rojo: Pentester técnico

Los pentesters utilizan herramientas de ataque ofensivas, comerciales y propias, para poner a prueba el objetivo o recopilar información de él. Identifican los puntos débiles de la configuración, más que las nuevas vulnerabilidades del software. Piensan como un hacker de sombrero negro, pero utilizan el hackeo para hacer el bien. Los pentesters elaboran recomendaciones para otros profesionales técnicos de la ciberseguridad sobre cómo solucionar los puntos débiles detectados.

Rojo: Miembro del equipo rojo

Los miembros del equipo rojo son testers con una amplia variedad de habilidades, desde el pentesting tradicional hasta la elusión de controles físicos y el uso de métodos de ingeniería social. Estos profesionales trabajan en un equipo que posee un conjunto diverso de competencias. Los miembros del equipo rojo someten a pruebas las medidas de defensa, experimentando de forma creativa con diversas combinaciones, para identificar nuevos puntos débiles.

Miembros de los equipos rojo y azul
Miembros de los equipos rojo y azul

Azul: Arquitecto de informática/ciberseguridad

Los arquitectos de seguridad diseñan e implementan estructuras para los servicios informáticos, de forma muy parecida a sus homólogos del sector de la construcción. Los arquitectos de seguridad planifican una estructura para las redes y los servicios relacionados con la seguridad e incluso deciden qué servicios se subcontratan a un proveedor, si no se prestan internamente.

Los arquitectos de seguridad determinan cómo se identifica o autoriza cada cuenta de usuario y cada ordenador (IAM) y cómo se registran los diferentes eventos. Un arquitecto de seguridad puede centrarse en un área determinada (como la IAM, la red o los servicios en la nube) o diseñar la arquitectura de toda la empresa.

Azul: Analista/profesional de centro de operaciones de seguridad (SOC)

El centro de operaciones de seguridad (SOC) es una función con la que la organización supervisa de forma centralizada la mayoría de los registros y eventos de su entorno informático. El SOC tiene sus propios instrumentos y servicios especiales, que recogen y correlacionan una enorme cantidad de entradas de registro o eventos desencadenados por reglas establecidas.

Los analistas de SOC se encargan de crear y definir un conjunto de reglas utilizando esos instrumentos para identificar eventos sospechosos y, si es necesario, inician el proceso de investigación. Este equipo de emergencias (lo que se denomina nivel 1) suele permanecer activo las 24 horas, todos los días del año. Los analistas de SOC pueden derivar las investigaciones más complejas al nivel 2, que puede contar con profesionales más experimentados en el análisis forense digital, el arte de encontrar pruebas electrónicas de posibles infracciones de seguridad.

Seguridad durante el desarrollo

El desarrollo de la ciberseguridad no es solo para los profesionales de la ciberseguridad, sino también para todos los que trabajan en el ámbito de la informática. Técnicamente, todo funciona a base de código. El código es un conjunto de instrucciones legibles por el ser humano que se escribe (desarrolla) y luego se compila para crear un objeto que pueda ejecutar la máquina. Ese ejecutable se somete a las pruebas de un desarrollador. A continuación, el ejecutable se lleva a un entorno operativo (OPS), donde interactúa con otros programas, servidores y servicios.

Todas estas fases pueden dar lugar a fallos de seguridad debidos a errores o al propio diseño. Por eso es importante verificar la seguridad del propio código, de los componentes y de sus interacciones desde el principio del proceso. A diferencia del pentesting —que se centra en encontrar puntos débiles después de la fase de producción del código—, las actividades de seguridad más eficaces se realizan, cada vez más, antes o durante el desarrollo.

Ejemplos de roles de seguridad del desarrollo

Desarrollador de seguridad

Los desarrolladores de seguridad se centran en los servicios fundamentales para la ciberseguridad, como los servicios de identificación y autorización.

Campeón de seguridad (en un proyecto de desarrollo)

Los campeones de seguridad suelen ser desarrolladores sénior especializados en técnicas de programación segura. Son mentores y formadores de desarrolladores y otros miembros del equipo del proyecto. Se cercioran de que las pruebas de seguridad y otras actividades relacionadas con la seguridad (por ejemplo, las revisiones de código) se realicen según lo previsto.

La ciberseguridad: una vocación para el futuro

Ahora más que nunca, la demanda de profesionales de la ciberseguridad está aumentando de forma drástica en numerosos sectores. Debido a la transformación digital de nuestra vida cotidiana y nuestro trabajo, estas competencias son cada vez más necesarias en todo tipo de ámbitos. La principal preocupación para los Gobiernos, las empresas y los ciudadanos es que la digitalización y las tecnologías emergentes avancen más rápido que nuestra capacidad de formar a los profesionales de ciberseguridad cualificados que se necesitan para proteger nuestra vida en línea.

En su estudio anual del 2020, (ISC)², una organización internacional sin ánimo de lucro formada por profesionales de la ciberseguridad, estimó que Europa tenía un déficit de mano de obra de más de 168 000 puestos de trabajo que no puede cubrir con profesionales de ciberseguridad cualificados. En todo el mundo, esta cifra supera los tres millones. La demanda, en comparación con la oferta de trabajadores, se ha reducido a partir del 2020 debido a la recesión económica provocada por la COVID-19, pero sigue siendo alta y es probable que vuelva a crecer rápidamente.

Hay más de 500 universidades e instituciones académicas de toda Europa que ofrecen certificaciones y títulos para los profesionales de la ciberseguridad. Pese a ello, la demanda es cada vez mayor y supera con creces la oferta. Una solución para ayudar a cerrar esta brecha es que los empresarios y los trabajadores encuentren formas de reciclar las competencias en el trabajo o mediante formación continua. Completar este curso es una buena manera de emprender este camino. Para obtener más información sobre dónde adquirir más conocimientos sobre ciberseguridad, visita el sitio web de Digital SkillUp.

Part summary

Al finalizar el capítulo 5, deberías ser capaz de:

  • Comprender de qué manera las tecnologías emergentes pueden dar lugar a nuevas oportunidades, pero también riesgos, en materia de ciberseguridad.

  • Hablar de algunas implicaciones de la ciberseguridad de cara a los próximos años.

  • Entender a qué tipo de trabajos pueden acceder los profesionales de la ciberseguridad.

You reached the end of the course!

Correct answers

0%

Exercises completed

0/0