Los roles de seguridad cibernética tienden a enfatizar las especializaciones y habilidades técnicas específicas de la cibernética con exclusión de todo lo demás, y el sector podría beneficiarse de ampliar su alcance para construir caminos hacia la cibernética para un grupo más amplio de personas, incluidos antropólogos, políticos y relaciones internacionales. analistas, psicólogos y otros científicos sociales.
Como estudiante de antropología social a principios de la década de 2000 que cayó en la escritura tecnológica más por accidente que por diseño, durante mucho tiempo pensé que la industria de la tecnología en su conjunto podría usar más artistas, humanistas y científicos sociales. Creo que aportamos un sentido de perspectiva muy necesario al tema, a menudo muy árido y complejo, de la tecnología, que a veces corre el riesgo de dejar atrás a las personas a las que debe ayudar, o incluso dañarlas.
Más recientemente, a medida que mi carrera me ha llevado al mundo de la seguridad cibernética, me ha fascinado la psicología detrás de cómo y por qué las personas actúan de la manera en que lo hacen en un contexto cibernético, y cómo y por qué los actores de amenazas operan como lo hacen.
Esta creencia se consolidó después de escuchar una charla del subdirector de crecimiento cibernético del Centro Nacional de Seguridad Cibernética (NCSC), Chris Ensor, en el evento Secure London de (ISC²) el 7 de abril, la primera sesión en persona realizada por la certificación cibernética. asociación desde que comenzó la pandemia.
En un discurso de apertura de gran alcance, Ensor comparó la profesión de ciberseguridad con la profesión médica, aunque se encuentran en etapas muy diferentes en sus ciclos de vida. ¿Qué quiso decir con esto?
En pocas palabras, que la profesión médica ha definido roles, especialidades y caminos que se han establecido en los últimos dos siglos, desde los días de Florence Nightingale y Mary Seacole. Pero la seguridad cibernética ha existido en su forma establecida durante 10 o 15 años, 20 como máximo, y en ese tiempo podría decirse que se ha vuelto tan importante para la salud general de la sociedad británica como el NHS.
Parte del problema, que la profesión médica ha resuelto con éxito, es que varios trabajos tienen varias especialidades definidas: un ginecólogo se especializa en la salud reproductiva de la mujer, un otorrinolaringólogo se especializa en oído, nariz y garganta, un podólogo en el pie, pero debido a su comparativa novedad, los retrasos cibernéticos en la definición de lo que se necesita para ser un analista, consultor o ingeniero de seguridad, y diferentes organizaciones definirán estos roles de manera diferente.
¿Puedes imaginar el caos que se produciría si diferentes NHS Trusts tuvieran la libertad de definir los roles clínicos de manera diferente?
Además de eso, es difícil obtener puntos en común y un acuerdo sobre cuáles son las especialidades de seguridad cibernética; la Iniciativa Nacional para la Educación en Seguridad Cibernética de EE. UU. (Nice) define más de 30 especialidades, pero el NCSC, según Ensor, define solo ocho. Estos son gestión de riesgos, arquitectura de seguridad, diseño seguro, respuesta a incidentes, pruebas de penetración, monitoreo de redes, análisis forense digital y gestión de vulnerabilidades.
talento latente
Si la comunidad cibernética puede ponerse de acuerdo sobre estas especialidades y comprenderlas mejor, entonces podemos ver cómo desbloquear efectivamente esos talentos en las personas. Que es, quizás, donde entramos nosotros los científicos sociales. Volver a capacitar y mejorar las habilidades de la fuerza laboral existente es un proceso difícil y que lleva mucho tiempo, pero si podemos extraer los aspectos de los conjuntos de habilidades no técnicas existentes que hablan de esas especialidades en algunos De alguna manera, seguramente encontraremos a posibles profesionales de la seguridad al acecho en los rincones más improbables.
Toma mi propia experiencia. Un niño aficionado a los libros que sobresalía en inglés e historia, y odiaba las matemáticas y la ciencia, abandoné felizmente las materias STEM después de mis GCSE y me atrajo la antropología social porque disfruto de la gente y saber por qué la gente hace lo que hace y piensa lo que piensa.
En el transcurso de mis estudios, algunos de los momentos más agradables que pasé fueron con un grupo de voluntarios de mi universidad que habían venido al Reino Unido desde Chile para estudiar, explorando sus experiencias en Gran Bretaña mientras recreaban su cultura alimentaria con los recursos disponibles. a ellos en el pasillo de alimentos del mundo en Asda, y descubrir cómo se entendían a sí mismos y a su grupo social como expatriados en un país extranjero a través de la comida.
Si considero el mundo de la seguridad cibernética, empiezo a ver paralelos de experiencia. En 2020, escribí sobre la, en ese momento, operación de ransomware DarkSide emergente, que se hizo un nombre cuando “donó” parte del dinero que extorsionó a organizaciones benéficas (no hace falta decirlo, pero no acepte donaciones de pandillas de ransomware, amigos). ¿Qué, me pregunté, motivó a los criminales detrás de DarkSide a hacer esto? ¿Buenas relaciones públicas? Profundicé más y comencé a aprender más acerca de cómo las bandas de delincuentes cibernéticos se conceptualizan y se entienden a sí mismas en el contexto de las comunidades clandestinas que forman.
Seis meses después, en la primavera de 2021, mi colega Valery Reiß-Marchive, del título hermano francés de Computer Weekly, LeMagIT, compartió conmigo registros de chat filtrados entre la pandilla de ransomware Conti y el minorista de ropa FatFace. Me llamó la atención el grado de profesionalismo que mostraban los ciberdelincuentes. Para mí, estaba claro que Conti estaba ejecutando su operación como un negocio de soporte técnico y que sus miembros se veían a sí mismos como probadores de penetración legítimos hasta cierto punto. Aunque no programadas.
Como dijo Ensor, un rol es un trabajo: para hacer el trabajo necesitas habilidades, y para adquirir esas habilidades necesitas saber algo. No presumo ni por un segundo decir que mis intereses me convierten en un candidato adecuado para un trabajo en investigación y análisis de amenazas, pero mi trabajo como escritor me ha dado una base de comprensión y si tuviera que hacer un cambio de carrera, la idea de trabajar internamente en una empresa de seguridad se me ha pasado por la cabeza.
Una iglesia amplia
No hay duda de que la industria de la seguridad cibernética se encuentra en medio de una escasez de habilidades, y la educación tecnológica claramente juega un papel clave para abordar esto, pero también hay muchos roles y oportunidades potenciales para personas fuera de la comunidad tecnológica, y la industria de la seguridad no está haciendo lo suficiente para encontrar personas como yo.
Creo que esto se debe en parte a que la industria de la seguridad en realidad no sabe lo que quiere, y en parte a que está obsesionada con la tecnología y la codificación. Y creo que estas fallas arruinarán sus esfuerzos para resolver la crisis de habilidades de seguridad.
La seguridad cibernética es un problema de toda la sociedad y requiere una fuerza laboral de toda la sociedad, por lo que la profesión debe mirar más allá de las certificaciones y las habilidades tecnológicas. El mejor practicante de seguridad que jamás conocerá podría estar escondido a simple vista, pero ninguno de ustedes lo sabe todavía.
Sí, su próximo analista de seguridad podría, de hecho, ser un bailarín de ballet.