Conectarme mediante Twitter con muchas grandes mentes en ciberseguridad. Diariamente aprendo mucho de ellos. En la serie Security Bytes, comparto los consejos más inteligentes de los profesionales de seguridad de alto nivel. Algunos deseaban utilizar sus nombres reales, otros preferían permanecer en el anonimato, pero todos ellos compartieron consejos que realmente valió la pena tomar en cuenta
La pregunta:
¿Cuál es la mejor decisión que ha tomado como especialista en ciberseguridad?
Aprender a influir en la C-Suite
Para dos CISO (Directores de Seguridad de la Información), unirse a la C-Suite e influir positivamente a sus compañeros les ayudó a alcanzar sus objetivos.
CISO accidental
“Aceptar el papel en primer lugar. La idea me aterrorizaba y honestamente no creía que pudiera hacerlo. He tenido un gran impacto en mi empresa. Mi trabajo para construir y certificar el programa de seguridad nos abrió el camino para conseguir grandes acuerdos empresariales”.
Patrick C. Miller, CISO, Archer International
“Deje de utilizar la palabra ‘seguridad’ en las discusiones ejecutivas. En cambio, ahora utilizo el término administración de riesgos”.
Este es un tema del que Patrick habló en la conferencia de Kaspersky Industrial Cybersecurity 2019 y fue muy acertado. Si los CISO y los especialistas técnicos quieren influir en la C-Suite, deben aprender a hablar su idioma. Y hablar de dinero, es decir, sobre los costos financieros de todos los posibles ciberataques, suele ser un buen punto de partida para discutir la administración de riesgos. Es más probable que los ejecutivos se preocupen por fortalecer la seguridad si se dan cuenta de la cantidad de dinero que sus empresas podrían perder debido a los ciberataques y el daño a la reputación que va implicado.
Conozca sus límites
Conocer las responsabilidades que puede asumir y las que no, es un factor importante para lograr el éxito como especialista en ciberseguridad.
“Contrataba gente más inteligente que yo. Al principio de mi carrera, observé que los gerentes y líderes se enorgullecían al creer que eran las personas más inteligente de la sala. Tomé nota de lo que no debía hacer. Cuando tuve la oportunidad de formar un equipo, tomé la decisión consciente de contratar a personas de las que sabía que podía aprender, que tenían más experiencia técnica que yo y para quienes el crecimiento personal era importante”.
Joonatan Kauppi, fundador, Leijona Security
“Recomendé a un competidor cuando un posible cliente solicitó un servicio que mi empresa no ofrecía. Porque mejorar la información de nuestros clientes es, a fin de cuentas, más importante que mejorar nuestros ingresos”.
Beto on Security
“Deshacerme de un cliente tóxico”.
‘Nick’
“Aprendí a decir no y me apegué a un solo trabajo. Seguí aceptando trabajo extra por contrato o incluso trataba de trabajar en dos empleos de tiempo completo, y descubrí que terminé fallando en ambos”.
Lars Karlslund, fundador, NetSection Security
“Confiar en ti mismo lo suficiente como para decir no cuando así lo sientas”.
Troy Blake, experto en cumplimiento de PCI y ciberseguridad
“Concentrarse en la simplicidad por encima de la complejidad. Utilizar los productos al 100% antes de añadir otra herramienta al entorno de la ciberseguridad. Esto hace que la administración, el mantenimiento y la capacitación sean mucho más sencillos y le ahorra dinero a la empresa”.
Henrik Klimatosse Kramshoej, “Internet samurai”
“Nunca comprometer mi integridad. Perdí un trabajo bien remunerado porque me hicieron establecer aproximadamente 4,200 inicios de sesión en 48 servidores de nuevo a ‘passw0rd’, y que bloquearlos causaba demasiados problemas de soporte”.
¡Ay! No saquen de quicio a los especialistas en ciberseguridad. Ellos saben cuál es la mejor forma de manejar los datos valiosos de su empresa.
Hacer las cosas a mi manera
Algunos especialistas en ciberseguridad trabajan mejor cuando pueden tomar sus propias decisiones y asumir la responsabilidad.
Magda Chelly, fundador de Responsible Cyber
“Realicé mi propio viaje con Responsible Cyber y detuve los contratos por elección (oportunidades de trabajo opcionales). Ahora delego las tareas cada vez más en mis empleados”.
“La mejor decisión profesional que tomé fue mudarme a Bonaire (una isla del Caribe) y ser consultora. Me despierto todas las mañanas y me siento muy afortunada de poder vivir aquí”.
Lisa Ventura, fundadora de la Asociación de Ciberseguridad del Reino Unido
“Fundar la Asociación de Ciberseguridad del Reino Unido y convertirme en escritora, blogger, influencer y oradora principal en la industria de la ciberseguridad. Nunca he sido más feliz y me encanta lo que hago”.
Melanie Ensign, comunicaciones de seguridad y privacidad, Uber
“Trabajar por una causa, no por una empresa. Esto facilita encontrar la oportunidad adecuada o alejarse si no es lo correcto”.
Richard Greenberg, evangelista de seguridad de TI
“”Aceptar un puesto cuando apenas había reunido los requisitos fue una experiencia de aprendizaje intensa pero sorprendente. Aprendí mucho y me dio confianza para llevar a cabo mis futuros proyectos. ¡Excedan sus límites!”
Sameep Agarwal, ex especialista en ciberseguridad
“La mejor decisión que tomé fue interactuar positivamente con todas las personas que conocí. Digo lo que pienso y transmito mi mensaje sin rodeos”
¡Es malware!, investigador de malware
“Hablar sobre los salarios con los compañeros de trabajo. No permitir que una empresa se salga con la suya pagando un salario desigual a nadie. Se debe pagar a la gente lo justo por su trabajo, incluso si se trata de una empresa emergente”.
Ese es un buen consejo. Estoy de acuerdo con discutir sobre el dinero abiertamente porque beneficia a los trabajadores.
El profesionalismo importa
Ciertas habilidades sociales, como tener un comportamiento profesional y estar motivado para dar lo mejor de sí mismo, son esenciales para tener una carrera exitosa en ciberseguridad.
Vandana Verma, arquitecta de seguridad de IBM
“¡Mantener la calma y hacerse amigo del equipo de desarrollo!”
“Enfocarse en el éxito del cliente y ofrecer servicios fantásticos que se salgan de lo común. Brinde lo mejor de sí”.
Richard Cardona, experto en seguridad de productos, Electronic Frontier Foundation
“Canalizar los informes de vulnerabilidad de los clientes mediante el soporte, pero demostrar cómo los escaneos no auditados están llenos de falsos positivos. En cualquier otro caso, informe sobre el problema a AppSec”.
Tal vez la prueba de penetración se basa demasiado en la automatización.
Siempre hay espacio para la superación personal
Una cosa es segura en su carrera de infosec: debe seguir aprendiendo.
M’hirsi Hamza, analista de ciberseguridad, Barac.io
“Nunca deje de aprender cosas nuevas, aunque sea en algo distinto de su campo de trabajo. Si sabe lo que hacen los diferentes equipos en su empresa, comprenderá mejor los resultados que debe entregar”.
Justin Ruth, investigador de seguridad
“Aprobar la certificación OSCP (Profesional Certificado de Seguridad Ofensiva). Nunca tema invertir en sí mismo”
Battisto, amante de la seguridad
“Pasé un año como asistente de soporte técnico, y después dos años como administrador de sistemas antes antes de introducirme en el área de seguridad. Los mejores profesionales de la seguridad necesitan comprender bien cómo funcionan las redes antes de aprender a protegerlas”.
La experiencia cuenta. Sienta curiosidad por todo.
Tomar una decisión difícil
A veces es difícil tomar decisiones. A veces las personas que trabajan en su empresa se resisten a un cambio necesario. Estos especialistas en informática tomaron decisiones difíciles que resultaron ser las mejores.
NicoladiaZ, consultor de Infosec, Reporteros sin Fronteras
“Cambiar los clientes de Windows a Linux. Tomamos una buena decisión con respecto a las necesidades de los usuarios, pero eso requirió un fuerte apoyo político y capacidades de desaprendizaje por parte de los usuarios finales”.
Es difícil romper con los viejos hábitos. A veces debemos ser firmes si tenemos buena razón para cambiar de proveedor.
Shelly Kramer, CEO, V3 Broadsuite
“Convencer a los clientes para que participen regularmente en los cursos de concientización de los empleados. Dado el enorme problema que representa el phishing para la ciberseguridad empresarial, capacitar a los empleados siempre es una excelente inversión”.
“Joe Schlmoe”
“Tuve que crear un equipo de cumplimiento para una división de una empresa Fortune 500. El personal del área de desarrollo se resistía a nuestros esfuerzos. La respuesta llegó a mí algunas semanas después. En una reunión les dije a los directores que, a menos que todos aceptáramos las pruebas de cumplimiento de seguridad, defraudaríamos a nuestros clientes lanzando un producto de calidad inferior. Eso se fue arraigando, y en el transcurso de un año logramos mejorar, de un 30 a casi un 99 por ciento de cumplimiento”.
Bl4ckP41nt, ingeniero de seguridad en una importante aerolínea de los Estados Unidos.
“Desafía el manejo de C-Suite: explica ‘por qué’, mantén la relación y luego observa cómo el barco vira lentamente”.
En conclusión, podemos aprender las cosas del modo más difícil, cometiendo errores y reflexionando sobre ellos. Pero la forma más fácil de aprender, es escuchar a las personas que ya tienen experiencia.
Las opiniones que expresan aquí son un reflejo de las opiniones dadas por los expertos citados y el autor del artículo.
