Hoy, más que nunca, las organizaciones deben evaluar la seguridad de sus sistemas y garantizar su cumplimiento con las normas y leyes, logrando también comunicar de forma comprensible a todas las partes interesadas lo que se ha detectado y las mejoras sugeridas.
¿Cómo pueden garantizarlo? A través de un rol que se encuentra en plena evolución: el auditor de seguridad. Si se profundiza un poco más, se abre un mundo de conocimientos técnicos y habilidades críticas y de autonomía que, por sí solos, representan una formación profesional de alto nivel.
El auditor de seguridad debe conocer las debilidades del factor humano y ser capaz de medir la eficiencia de los sistemas de seguridad también en relación con ellas. Una tarea que no siempre es fácil y que se puede realizar mejor recurriendo a habilidades que van más allá de la psicología del comportamiento y la sociología.
Introducción a la profesión de auditor de seguridad
El auditor de seguridad tiene la tarea de verificar la eficacia y la resiliencia de un sistema de seguridad y, por lo tanto, de todo lo que lo compone: tecnologías, medidas, políticas, organización y procedimientos del centro de operaciones de seguridad (SOC, por sus siglas en inglés), sujeción a las normas y reglas relativas al procesamiento y la defensa de los datos.
Una tarea que requiere conocimientos sólidos en el campo de las TIC y la ciberseguridad, pero también habilidades de razonamiento crítico e independiente.
¿Quién es y cuál es la función del auditor de seguridad?
Las habilidades técnicas, que profundizaremos más adelante, son fundamentales para desempeñar el papel del auditor de seguridad quien, principalmente, debe ocuparse de:
- Probar la seguridad de toda la infraestructura destinada a la ciberseguridad.
- Evaluar los sistemas de seguridad, los métodos de control y las políticas implementadas por la empresa.
- Investigar cualquier problema o violación de seguridad que ya se haya producido.
- Garantizar el cumplimiento de las normas y leyes aplicables.
- Realizar una revisión independiente de lo que ha examinado en el desempeño de sus funciones.
- Redactar informes técnicos que ilustren los métodos de verificación puestos en práctica y las recomendaciones formuladas, de forma que sean comprensibles para todas las partes implicadas (incluso las ajenas a la empresa).
Todas estas tareas sugieren la necesidad de habilidades sociales: no solo tecnologías y rigor científico, sino también habilidades de difusión y conocimiento de los hábitos de comportamiento de los hombres.
Campo de acción: ¿Dónde trabaja un auditor de seguridad?
El hecho de que entre sus funciones esté proporcionar un análisis de los sistemas de defensa independientes, puede sugerir que el auditor de seguridad es necesariamente una persona ajena a la empresa para la que realiza la auditoría.
En realidad, también puede ser un empleado interno, lo que no significa que deba ser imparciales para hacer su trabajo de la mejor manera: equidistantes, equilibrados y reflexivos y capaces de gastarse adecuadamente para contribuir a perfeccionar la infraestructura defensiva de la organización que emplea o para la que trabaja como colaborador externo.
La importancia del auditor de seguridad
Sus investigaciones y análisis deben indicar a las empresas cómo su infraestructura de ciberseguridad y cumplimiento puede mejorar o necesita mejorarse. No solo están en juego la continuidad del negocio y la solidez de la empresa: también lo está la reputación, basta con pensar que la relación entre la ciberseguridad y las entidades financieras es muy estrecha.
Dado que la protección de las redes y sistemas empresariales es uno de los índices que garantiza el funcionamiento de una empresa, quienes los financian suelen querer estar seguros de que son lo suficientemente sólidos y protegidos. Una responsabilidad que también recae sobre los hombros del auditor de seguridad y, de manera más general, sobre los de todo el SOC.
En términos más generales, existe un vínculo entre la ciberseguridad y la economía y el auditor de seguridad desempeña el papel de garante, certificando la resiliencia de una empresa.
Habilidades necesarias para convertirse en auditor de seguridad
Lo que hemos escrito hasta ahora ya ayuda a comprender cuáles son las habilidades necesarias para quienes desean dedicarse a la profesión de auditor de seguridad. En concreto, cada una de ellas se resumen en:
- Habilidades en el campo de la seguridad de la información: una amplia familia que incluye protocolos de red, sistemas de autenticación, criptografía, sistemas de control, técnicas de hackeo y todas las tecnologías útiles para detección de intrusiones.
- Habilidades de planificación y monitoreo: útiles para identificar infracciones y revelar todo lo que se puede mejorar en los sistemas defensivos y en las políticas implementadas por las empresas.
- Habilidades analíticas: que también incluyen habilidades de resolución de problemas, ambas útiles en el análisis de sistemas y vulnerabilidades.
- Habilidades de los aspectos legales: la protección de datos tiene aspectos administrativos posibles repercusiones en materia civil y penal y administrativos.
- Habilidades de comunicación: ser capaz de explicar conceptos a menudo complejos a un público variado es una de las habilidades que debe poseer un auditor de seguridad.
De esta lista, se puede deducir otra habilidad típica de un auditor de seguridad, a saber, la capacidad de trabajar bajo estrés.
Competencias matemáticas y lógicas
El auditor de seguridad debe identificar los posibles riesgos de seguridad para los sistemas complejos, y esto implica analizar grandes cantidades de datos para identificar los patrones y tendencias de las amenazas.
No hace falta decir que la lógica y las matemáticas son elementos fundamentales del paquete de habilidades que debe poseer. Como veremos, la familiaridad con estas dos disciplinas repercute en otras tareas que debe realizar un auditor de seguridad.
Familiaridad con las tecnologías informáticas y los lenguajes de programación
Las tecnologías informáticas en sí mismas son una parte fundamental de la experiencia del auditor de seguridad como la lógica de los sistemas, los protocolos de red y los sistemas operativos.
Sumada a estas, también posee un conocimiento profundo de las especificaciones del software utilizado por la empresa. A esto se suman las partes activas de la red, normalmente los firewalls y los enrutadores con sus configuraciones relacionadas.
Además, el conocimiento de la lógica de la programación también es un elemento distintivo de la profesión. De hecho, es necesario poder leer e interpretar los scripts, los algoritmos y las partes del código del software que se refieren a las rutinas de seguridad.
Capacidad para identificar problemas y pensar analíticamente
La predisposición a encontrar inconsistencias, debilidades y problemas y el pensamiento analítico están relacionados con el doble recurso y, nada menos, son el elemento vital de la profesión de auditor de seguridad.
No podía ser de otra manera, teniendo en cuenta que las tareas que debe llevar a cabo también incluyen el análisis de los datos destinados, entre otras cosas, a desarrollar estrategias de seguridad y a publicar lo que ha resultado del trabajo realizado.
Sin embargo, el pensamiento analítico y la capacidad de identificación de problemas son comunes a muchos perfiles relacionados con la ciberseguridad.
Herramientas y técnicas que un auditor de seguridad debe conocer
Entre las principales herramientas y técnicas se encuentran las más populares entre las organizaciones para configurar sistemas de seguridad. Específicamente son:
- Tecnologías predictivas
- Tecnologías para control de acceso.
- Técnicas para gestión de riesgos
- Conocimientos de programación y creación de scripts.
- Conocimiento de bases de datos.
- Conocimiento de los sistemas operativos.
- Conocimiento de los dispositivos de red y los protocolos de comunicación.
Esta lista es meramente indicativa y contiene algunos elementos que deberían explorarse, empezando por la gestión de riesgos.
Comprender la gestión de riesgos
Se trata de una cuestión multidisciplinar que incluye, además de la habitual auditoría, el análisis de las principales causas y la correspondiente notificación de incidencias, que está sujeta a la lógica regulatoria.
Esta, es de gran importancia aunque solo sea en lo que respecta a las notificaciones a un equipo de respuesta a incidentes de seguridad informática (CSIRT, por sus siglas en inglés) que ayuda a definir amenazas y sirve como vehículo de comunicación para llegar a otras personas en riesgo.
Al mismo tiempo, los análisis del FMEA-FMECA constituyen métodos para identificar las amenazas y describir las medidas de mitigación relacionadas.
Por último, pero no por ello menos importante, cualquier infracción también debe denunciarse a los garantes de la privacidad.
La importancia de las tecnologías predictivas
La ciberseguridad predictiva tiene varios méritos. Además de permitir el monitoreo de las amenazas y vulnerabilidades, la combinación de la información con técnicas de inteligencia sobre ciberamenazas permite predecir y, por lo tanto, prevenir los ataques.
Además, considerando la creciente expansión de los perímetros de las redes corporativas como consecuencia (sobre todo) de los dispositivos IoT y IIoT, las técnicas predictivas (junto con las proactivas) son esenciales para la resiliencia de las organizaciones.
Curso de formación para convertirse en auditor de seguridad
La formación académica es fundamental. En este caso, un título en ingeniería informática o en ciencias de la computación forma parte de la profesión de auditor de seguridad.
No se trata solo de una preparación universitaria. De hecho, incluso el auditor de seguridad debe enfrentarse a una trayectoria de formación continua, compuesta por actualizaciones periódicas, talleres, certificaciones y experiencia en el campo.
Certificaciones y habilidades fundamentales
Las matemáticas y los conocimientos jurídicos son muy útiles. En cuanto a las especializaciones en el campo de la ciberseguridad, existen diversas certificaciones que resultan fundamentales para la trayectoria profesional de un auditor de Seguridad. Entre ellas se encuentran:
- Cursos del Profesional Certificado en Seguridad de Sistemas de Información (CISSP)
- Certificaciones CompTIA Security+, Network+ y Cloud+
Por lo tanto, para hacer un balance, además de las bases sólidas de la informática, el auditor de seguridad debe adquirir certificaciones y tener una experiencia práctica masiva, entendiendo que las habilidades sociales se pueden desarrollar siguiendo otras vías de formación.
Experiencia de campo y oportunidades de pasantías
Las pasantías deberían realizarse en empresas de seguridad en las que, actuando como consultor, el auditor de seguridad pueda adquirir experiencia abordando diferentes realidades empresariales.
Sin embargo, si buscas en sitios especializados, no encontrarás muchos puestos vacantes. Esto puede significar que el papel de auditor de seguridad puede desempeñarse después de haber ocupado otras funciones dentro del SOC de una organización.
La carrera y las perspectivas de futuro de un auditor de seguridad
Desde un punto de vista funcional, el auditor de seguridad puede considerarse un comodín: conoce los principios de la ciberseguridad y los principios de los sistemas de hardware y software y es capaz de adquirir profundos conocimientos de gestión.
Todos estos son elementos que le permiten ascender a lo más alto de los organigramas, llegando incluso a ocupar los primeros puestos en las empresas para las que trabaja.
Los altos mandos de la ciberseguridad ocupan puestos directivos, también porque es con los demás directivos de la organización con quienes deben comunicarse directamente.
Oportunidades en los sectores público y privado
Dado que las auditorías deben ser imparciales, es plausible creer que, principalmente, las empresas públicas recurren a empresas de terceros y, por lo tanto, a empresas especializadas en ciberseguridad.
Esto quiere decir que la figura del auditor de seguridad se sitúa principalmente en empresas privadas, sobre todo, en firmas consultoras.
Esto no excluye que también existan puestos profesionales en organismos, institutos o instituciones públicas, pero limita en cierto modo el alcance de las oportunidades de empleo.
El futuro de la ciberseguridad: AI y técnicas de ataque
Las técnicas de ataque son cada vez más sofisticadas, además de aumentar en cantidad. La contribución de la inteligencia artificial (AI, por sus siglas en inglés) ayudará a profundizar en las incursiones de la ciberdelincuencia.
Al mismo tiempo, quienes se ocupan de la defensa, deberán hacer lo mismo, diseñando e implementando técnicas y tecnologías capaces de garantizar la resiliencia y la proactividad ante las amenazas.
Bajo esta línea, las normas y estándares legales también sufrirán cambios, lo que requerirá o sugerirá metodologías, protocolos y procedimientos avanzados para la defensa y el análisis de los datos en caso de infracciones.
Todo esto pone de relieve cómo la profesión de auditor de seguridad está en constante evolución y está sujeta a una formación continua.
Compensación esperada y crecimiento profesional
En virtud de lo que se ha escrito anteriormente, el auditor de seguridad puede aspirar a puestos aún más prestigiosos dentro de los SOC. Además, quienes hayan investigado durante mucho tiempo las técnicas utilizadas por los piratas informáticos y hayan comprobado la resiliencia de las infraestructuras defensivas, tienen todas las credenciales para asumir responsabilidades con un alto perfil directivo.
Fuente: Cybersecurity360.it.