La ciberseguridad ha madurado en un complejo y diverso conjunto de funciones. En una gran organización, existen ocho áreas funcionales, cada una representada por un equipo individual. En las más pequeñas organizaciones, podemos observar que quizás una o dos personas trataran de cubrir todo lo que puedan, y delegaran el resto de las actividades a un tercero. En cualquier caso, cada una de estas especializaciones funcionales representa diferentes roles que requieren diferentes conocimientos, herramientas y habilidades.

Las ocho especializaciones son:

  • Arquitectura y políticas
  • Prevención de perdida de datos
  • Gobernanza, riesgo y cumplimiento
  • Gestión de identidad y acceso
  • Respuesta a incidentes y análisis forense
  • Pruebas de penetración
  • DevOps
  • Desarrollo de software seguro

 

Arquitectura y políticas

El arquitecto de ciberseguridad diseña e implementa arquitecturas seguras y traduce estándares, procesos de negocios y marcos en políticas internas. En la mayoría de las organizaciones, es un ingeniero experimentado, generalmente con muchos años dentro de las TI, quien puede tomar decisiones de compromiso complicadas. En otras palabras, ellos pueden pensar en diferentes formas con las cuales atacar un problema en particular, y después ordenar esas alternativas para encontrar la mejor solución.  Los arquitectos están familiarizados con muchos productos y protocolos, y pueden desarrollar diagramas funcionales donde nos expliquen cómo trabajan actualmente las aplicaciones en los centros de datos. Más importante aún, ellos se sienten cómodos definiendo interfaces seguras en aplicaciones y sistemas. Las políticas desarrolladas por los arquitectos son conducidas por la arquitectura subyacente que han elegido utilizar. Los arquitectos usan los marcos para organizar la arquitectura en estructuras manejables.

 

Prevención de perdida de datos

Estos ingenieros implementan y administran aplicaciones de seguridad como la detección de malware en endpoints y servidores. Muchos de los modernos sistemas antivirus en PCs usan un cliente avanzado conectado a servicios en el back-end para enviar actualizaciones de firmas y similares. Estos ingenieros se aseguran que el sistema se mantenga actualizado y de solucionar problemas de interacciones negativas con nuevas aplicaciones (que a veces interfieren con los inspectores de virus). El personal de prevención de perdida de datos también administra la seguridad de datos en servidores y bases de datos, a menudo instalando y manteniendo software especial para permisos y también de registros. Finalmente, ellos usualmente participan en cuestiones de privacidad del usuario y trabajan en el cumplimiento del reglamento General de Protección de Datos (GDPR por sus siglas en ingles).

Gobernanza, riesgo y cumplimiento (GRC)

Este análisis mide y cuantifica riesgos, realiza auditorías internas contra las mejores prácticas y estándares, y desarrolla planes para la continuidad de los negocios y recuperación de daños. El análisis de riesgos se ha vuelto muy importante puesto que se debe alinear con el riesgo comercial. Aplicaciones y programas críticos para los negocios necesitan más protección que otros, y depende de estos analistas asegurarse que el riesgo haya sido identificado y mitigado apropiadamente. El equipo de GRC comúnmente actúa como el “auditor de seguridad” y verifica el trabajo de las otras siete especializaciones contra las listas de verificación de cumplimiento como PCI-DSS y marcos tales como el Marco de gestión de riesgos (Risk Management Framework, RMF). Cuando hay hallazgos de inconformidad, el equipo de GRC proporciona seguimiento y verificación hasta que se resuelven.

Gestión de identidad y acceso

Este equipo gestiona la identificación, autorización y permisos en todos los sistemas. A causa de la proliferación de protocolos y tecnologías (OAuth, SAML, etc.) ellos tienden a ser expertos en protocolos en todas las plataformas, desde equipos de escritorio y servidores hasta Smartphones y Tablets. Ellos también necesitan comprender y hacer cumplir políticas de identificación en toda la organización. Esto incluye comprender roles y gestión de acceso basado en roles para procesos comerciales. También rastrean lo último en identificación multifactorial y biometría. Y más importante aún, este equipo se ve directamente impactado por los arquitectos de la nube, lo que hace el trabajo aún más complejo. Esta función típicamente tiene menos personal que otras especialidades, pero el ataque más común es el compromiso de credenciales del usuario, por lo que se requiere diligencia.

Respuesta a incidentes y análisis forense

Incluso las mejores defensas son violadas de vez en cuando. Este equipo ejecuta el Centro de operaciones de seguridad y realiza funciones de detección y detención de amenazas. Ellos detectan y analizan eventos de seguridad y responden correctamente tomando acciones apropiadas, ya sea que eso signifique desconectar una maquina o simplemente aislando fragmentos de software para determinar si se trata de un malware. Ellos también son expertos en análisis forense, y pueden detectar lo que un atacante hizo y el como lo hizo. Como resultado, este equipo desarrolla evidencia para ser usada en pruebas cuando sea necesario, siguiendo las reglas estándar de la cadena de pruebas.

 

Pruebas de penetración

Esta es la actividad que con más frecuencia se delega a terceros especializados, pero muchas organizaciones aun lo hacen de forma interna. Este equipo intencionalmente ataca sistemas para exponer las vulnerabilidades y detectar las debilidades. Usualmente conocidos como “Equipo rojo,” ellos atacan sistemas y procesos exactamente como lo haría cualquier atacante. Hecho correctamente, ellos pueden exponer las debilidades y vulnerabilidades antes de que los verdaderos atacantes lo hagan. Aún más importante, ellos hacen recomendaciones sobre cómo hacer sistemas más fuertes contra futuros ataques. Ellos también realizan “ingeniería humana” pruebas tratando de convencer a los usuarios a renunciar a información confidencial. Debido a eso, a menudo se encuentran fuera del sitio, por lo que no son reconocidos.

DevOps

Este es el equipo practico que realmente administran los sistemas en el centro de datos (o la nube). Ellos instalan de forma segura configuran y operan sistemas y software; se dedican especialmente en productos de seguridad como lo son los firewalls, detectores de intrusos e incluso delicados HSMs (Programas de seguridad de módulos) para mantener claves sensibles y certificados. Usualmente, el equipo es llamado DevSecOps que significa que “la seguridad está en medio.” Incluso en un ambiente dentro de la nube, ellos aun necesitan administrar los procesos de seguridad y las funciones de forma segura.

Desarrollo de software seguro

Algunas organizaciones desarrollan software para venderlos como productos, mientras que otros desarrollan su propio su propio software para emplearlo de forma interna. En cualquier caso, este equipo desarrolla y prueba las aplicaciones para tener la menor cantidad de vulnerabilidades. Ellos por lo general utilizan procesos rigurosos con respecto a la arquitectura de software, y después usan herramientas especializadas para escanear las vulnerabilidades del software. Las pruebas de seguridad de aplicaciones se pueden realizar de forma estática (inspección de código) o de forma dinámica (comportamiento de tiempo de ejecución), pero la mayoría de las organizaciones necesitan hacer ambas cosas.

 

Resumen

Existen algunas similitudes naturales entre las áreas funcionales. Por ejemplo, es común que los roles de Arquitectura y GRC trabajen estrechamente o sean ejecutados por la misma persona. Del mismo modo, los equipos DevSecOps, gestión de identidad y acceso y el equipo de Desarrollo de software seguro a menudo trabajen en estrecha colaboración.

Finalmente, es frecuente para el equipo de Respuesta a incidentes y análisis forense hacer algunas pruebas de penetración. También se debe tomar en cuenta que algunas de las especializaciones funcionales son comúnmente delegadas a terceros. Por ejemplo, los consultores de seguridad pueden hacer de forma rutinaria auditorias de seguridad evaluaciones para apoyar la especialización de GRC. Además, algunas compañías brindan servicios de prueba de penetración.

Viendo hacia el futuro

Todas estas funciones especializadas continuaran evolucionando, del mismo modo que las tecnologías subyacentes evolucionarán a medida que respalden las necesidades cambiantes de la organización. Nuevas innovaciones como nube, IoT, aprendizaje automático y las cadenas de bloques afectaran a cada una de las ocho especializaciones de diferentes maneras. Es por eso que es crítico para el éxito del equipo de ciberseguridad y la organización como un solo ente) mantenerse en la cima con un entrenamiento fuerte y oportuno.

Como un equipo de deportes, las habilidades deben ser desarrolladas para cada posición. No todos necesitan la misma capacitación, pero juntos pueden ser mucho más fuertes. Netec puede ayudarlo a llegar allí.

¡Capacite a su equipo de trabajo en ciberseguridad en Netec! Contáctenos y pregunte por nuestas fechas y promociones.

 

 

Fuente: Netec Colombia
, , , ,

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Related posts:

Microsoft Azure: 5 beneficios que brinda para un servicio más seguroAzure es la plataforma de informática en la nube de Microsoft, una colección cada vez mayor de servicios integrados (análisis, proceso, bases de datos, móviles, redes, almacenamiento y web) para moverse con más rapidez, llegar más lejos y ahorrar dinero. Ofrece una productividad sin comparación                    Cualquier desarrollador o profesional de TI puede ser productivo con […] Microsoft y sus dos nuevos servicios con AzureMicrosoft ya cuenta con dos nuevas tecnologías basadas en los servicios de Azure. Éstas son: AzureWan y Azure Firewall. AzureWan brinda una red que ofrece un servicio optimizado y automatizado de conectividad de sucursal a sucursal, generando un beneficio para las empresas por poder conectarse de manera fácil con otras empresas y con Azure utilizando […]