Todos sabemos que sentarse frente a un PowerPoint de 50 diapositivas bajo la apariencia de capacitación en seguridad es ineficaz. No hay azúcar que lo cubra. Cuando estaba en la universidad, estaba lleno de ecuaciones en una pizarra, esencialmente una presentación analógica de PowerPoint. No fue nada divertido y muestra cómo los métodos de entrenamiento no han evolucionado en lo más mínimo.
Cuando enseñas a adultos, es muy diferente a cómo trabajas con niños o estudiantes más jóvenes. Cuanto más experiencial sea el aprendizaje, mejor. Como ex-profesor, esto es algo que me apasionaba y aún me apasiona. Obtener su inteligencia cibernética solo de libros o presentaciones ya no será suficiente: la única forma en que podemos adelantarnos a los ciberdelincuentes es entrar en sus cabezas; aprende cómo actúan, cómo piensan, descubre sus métodos y motivaciones. Solo puedes lograr esto haciendo y cambiando tu forma de pensar.
¿Vamos a jugar un juego?
La capacitación práctica brinda a los profesionales de seguridad cibernética tanto en ciernes como existentes la oportunidad de practicar las habilidades que necesitan en un entorno simulado. Este tipo de capacitación les permite ganar experiencia en escenarios de la vida real sin poner en riesgo a una organización. Pueden probar sus habilidades, ver qué funciona y qué no, y aprender de sus errores. Esta experiencia es invaluable cuando se trata de lidiar con amenazas cibernéticas reales. Una forma de ayudar a proteger Nominet y mantenernos al tanto de los nuevos vectores de ataque y el comportamiento delictivo es un concepto relativamente nuevo conocido como equipo púrpura.
En un ejercicio de equipo morado, el equipo rojo está formado por expertos en seguridad ofensiva que intentan comprometer las medidas de seguridad cibernética de una organización. El equipo rojo ataca y el equipo azul defiende y bloquea. En este ejercicio, dos equipos de profesionales de seguridad cibernética altamente calificados compiten entre sí, con un circuito de retroalimentación crucial entre los dos.
Ha sido fantástico para nosotros. No solo para asegurar la organización, sino también para desarrollar las habilidades de nuestra gente. Introduce el concepto de amenazas nuevas o emergentes y la recopilación de inteligencia sobre lo que hacen los ciberdelincuentes y qué herramientas, técnicas y procesos siguen. Esto expone ese tipo de ideas y mentalidades antagónicas a mi equipo. Cuando construimos una serie de ataques simulados, puede identificar y comprender el problema y lo que debe hacer para detectarlo, mitigarlo y asegurarse de que tenemos los procesos, registros y análisis correctos en su lugar, y todo lo necesario para defender el negocio.
Obtener experiencia práctica de esta manera permite a los equipos de seguridad ser más conscientes del panorama de ataque más amplio, desarrollar nuevas habilidades y formas de pensar, y flexionar sus músculos analíticos. No se trata solo de la tecnología, también se trata de cómo nosotros, como defensores, pensamos como el atacante para tener la mejor forma de defensa.
La importancia de esto no se puede exagerar. Los ciberdelincuentes son cada vez más inteligentes y avanzados en sus tácticas, y constantemente encuentran nuevas formas de infiltrarse en nuestros sistemas. Para combatir esto, debemos ser capaces de anticiparnos a sus movimientos y pensar como ellos. Esta no es una tarea fácil, pero es necesaria si queremos proteger nuestra información y sistemas sensibles.
Ponte cognitivo con eso
DevSecOps es uno de los conjuntos de habilidades de seguridad más buscados en la actualidad y, para salir adelante, nosotros, como comunidad de seguridad, debemos mejorar nuestras habilidades. Es increíblemente difícil encontrar a estas personas, ya que debe tener la santísima trinidad de experiencia técnica para el puesto: desarrollo, seguridad y operaciones.
Una forma en la que busco aumentar estas habilidades dentro de mis equipos es centrarme en la ingeniería de detección con aprendizaje práctico. Por ejemplo, rastrear todo el ciclo de vida de una alerta desde el centro de detección hasta la acción que tomamos para resolverla. Todo el proceso de ingeniería de detección va de la mano con el desarrollo de habilidades en operaciones de seguridad. También estamos financiando a nuestro equipo para dedicarse a la educación inmersiva. Pero el siguiente nivel, una vez más, no es solo comprender cómo hacer la ingeniería: se trata de ver el problema como un atacante y pensar libremente.
Por ejemplo, si está en un sistema informático, podría pensar en atacar esta computadora. Pero, ¿quién lo está operando? ¿Es Kelly en finanzas, Sohail en marketing, Emma en TI? Por lo tanto, ¿cómo atacas al humano y cómo atacas el proceso en torno al humano? El objetivo final es siempre abordar las cosas de esta manera.
Si bien creo que la capacitación en DevSecOps es una pluma importante en el límite de cualquier organización, las habilidades del futuro ya no se tratan necesariamente de ser solo técnicamente competente. Se trata de ser cognitivamente competente también.
Aplícate
Los cursos o capacitaciones de seguridad ya no deben consistir solo en sentarse frente a una presentación o leer páginas y páginas de contenido técnico. De acuerdo, muchos cursos todavía cuentan con esto, pero son más sobre la aplicación de este conocimiento y cómo abordar el problema, en lugar de simplemente enseñar cómo usar una caja. Esto se evidencia en muchos de los materiales de aprendizaje que rodean la capacitación específica en seguridad.
Si bien el conocimiento teórico es crucial, la capacitación práctica es esencial. Nos brinda experiencia práctica, desarrolla habilidades blandas esenciales, nos mantiene a todos actualizados con los últimos desarrollos en el campo y ayuda a generar confianza. Y al entrar en la mente de un ciberdelincuente, simular ataques cibernéticos y mantenernos alerta, podemos estar un paso por delante de los piratas informáticos y garantizar que nuestra información permanezca segura. Especialmente a medida que se vuelve más senior en esta industria, es la aplicación del conocimiento lo que se vuelve más importante, en lugar de simplemente recibir capacitación sobre cómo hacer algo.
Para capacitar a nuestra fuerza laboral para adelantarse a los malos, todos tenemos que entrometernos y pensar como los malos.