Print
Email

Parent Category: Noticias

Por Jyoti Acharya* 

Los hackers y los grupos de hacking parecen intrigantes para el hombre común. Estas palabras evocan imágenes de un grupo de personas nerd reunidas en un sótano y conspirando para robar información y dinero a las personas y organizaciones.

Pero hackear no está limitado a robar y destruir, y no todos los hackers tienen la intención de causar daño. De hecho, los hackers ‘éticos’ ayudan a organizaciones y agencias de gobierno a encontrar brechas en sus sistemas de seguridad, para que éstos se puedan arreglar. Ayudan a la organización en la implementación de controles de seguridad robustos para impedir ataques potenciales. 

La creciente brecha entre el suministro y la demanda de ‘hackers éticos’

Es difícil encontrar profesionales de ciberseguridad que tengan amplio conocimiento tecnológico y habilidades específicas en asesoría de seguridad y riesgo. En el estudio de seguridad de Intel, el 71% de las empresas reportan que la escasez en competencias de ciberseguridad les causa daños directos y medibles. Por otra parte, las mentes jóvenes y apasionadas que demuestran aptitud en esta área no siempre pueden encontrar un entorno constructivo para perseguir su pasión y podrían ser influenciadas para pasarse al lado oscuro de la práctica.

Buscando a los hackers adecuados

Las organizaciones podrían contratar hackers que hayan trabajado con el propósito de traspasar la seguridad de organizaciones en el pasado (conocidos como Black Hatters o Hackers del lado oscuro). Éstos podrían demostrar tener amplias habilidades, ya que tienen experiencia del mundo real jugando en la ofensiva. Hay una enorme diferencia entre las personas que han aprendido a defender un sistema y las personas que tienen experiencia violando un sistema. Pero, aunque suena convincente, esta táctica tiene varios defectos. Después de todo, la confianza sería una gran preocupación. ¿Qué sucede si el ex-hacker se comporta de una manera no ética? Entonces la pregunta persiste, ¿es ésta la mejor forma de proteger la organización?

Otra opción sería entrenar al grupo existente de expertos de TI en su organización. La principal desventaja de este método es que a estos empleados les podría faltar la pasión para prosperar como profesionales de seguridad. También, entrenar a los empleados toma tiempo y dinero, se requiere de una cantidad significativa de tiempo, exposición a la industria de seguridad y experiencia de trabajo antes que puedan convertirse en un recurso valioso para la organización. Aunque este enfoque parece viable a largo plazo, consume mucho tiempo y no puede aplicarse cuando hay una necesidad inmediata.

Crowdsourcing es una tendencia creciente en la industria, la cual requiere que el sistema sea revisado  por cientos de profesionales de seguridad en todo el mundo. Recientemente, varias organizaciones se están uniendo a plataformas de Crowdsourcing como HackerOne y Bugcrowd para administrar sus programas de divulgación responsable. Ésta es una manera inteligente para detectar vulnerabilidades y administrar los programas de divulgación responsable, pero solo funciona si se tiene implementada una fuerte estrategia de administración de información de seguridad y habilidades de ejecución establecidas.

Concursos de hacking – una disrupción popular

Considerando que el hacking ético es una capacidad de nicho dónde la actitud y aptitud correcta es más importante que una calificación académica, los procesos de selección convencionales guiados por asesoramientos escritos estándar y entrevistas personales con candidatos de una serie de universidades acreditadas, no ofrecen los resultados esperados.

En nuestra experiencia, la opción más prometedora sería la contratación gamificada. Este formato imita los retos de vida real al construir varias situaciones enfocadas en demostrar rasgos específicos de personalidad que en otras instancias serían difíciles de reconocer. Introducir ‘elementos de juego’ puede darle a los reclutadores la oportunidad de evaluar los perfiles completos de los candidatos y ayudarles a determinar su impulso por la innovación, su capacidad de resolver problemas y de desempeñarse bajo presión.

En TCS, el 5.6% de las contrataciones en las universidades ocurre a través de la contratación gamificada y se espera que este número incremente mucho más en los próximos años. Un ejemplo de una iniciativa exitosa es HackQuest, un concurso de hackeo ético. En la última edición del concurso participaron más de 4,500 estudiantes de 609 instituciones de la India. Luego de una emocionante competencia que duró seis horas, 19 hackers éticos aseguraron su lugar en la final y al resolver un reto de hacking al momento, 18 de los estudiantes recibieron ofertas en la unidad de Ciberseguridad de TCS. HackQuest nos ayudó a identificar de manera exitosa a los estudiantes que tenían la aptitud y actitud que estábamos buscando.

Como la educación y las políticas convencionales no están satisfaciendo nuestra creciente demanda de profesionales de seguridad, necesitamos medidas no convencionales. Y HackQuest demostró el hecho de que la próxima generación definitivamente tiene el talento. Las empresas deben identificar, nutrir y canalizar este talento. Las organizaciones están moviéndose rápidamente hacia este nuevo modo de contratación, y está claro que aquellos que no lo hacen estarán próximamente en desventaja.

*Asesor de Administración de Vulnerabilidad en la práctica de Ciberseguridad de TCS y Santosh Mishra, Analista de Seguridad en la práctica de Ciberseguridad de TCS

seguridadcc
© Derechos reservados 2013 :: Ser.Com SA de CV :: Ciudad de México