lunes, 2 de enero de 2017

Falta de talento en seguridad: una amenaza inesperada para la ciberseguridad corporativa

Introducción

El 6 de julio de 2013, un Boeing 777 se estrelló estando ya en el aeropuerto de San Francisco. La investigación posterior reveló que, debido a la política de la aerolínea, los pilotos solían depender de los sistemas automáticos del avión, no tenían la suficiente experiencia manual de vuelo y no contaban con las habilidades y los conocimientos para comprender y reaccionar ante situaciones excepcionales. En el informe resultante se mencionaban las expresiones “mala gestión [de la tripulación]”, “supervisión inadecuada”, “complejidades [de diversos sistemas de la aeronave]”, “planificación y ejecución… inadecuados”. Tengan en cuenta el parecido con los mensajes que solemos usar en la investigación de incidentes informáticos.
En ciberseguridad, todos tienen algo que aprender de aviación segura. Gestión de los recursos de la tripulación es un ejemplo. Otro es la creciente complejidad de la tecnología, junto con los drásticos avances del control automático, que han derivado en un rendimiento decreciente de las cualificaciones del operador. También se ha de tener en cuenta las investigaciones transparentes y el reparto de información. La industria de seguridad informática está empezando a comprender que la tecnología por sí sola no es capaz de resolver todos sus problemas. En este informe combinamos los resultados de una encuesta global a ejecutivos de negocios con la inteligencia de los expertos de Kaspersky Lab y de representantes de universidades importantes para demostrar que la falta de habilidades y de talentos en ciberseguridad en un reto importante para las compañías. Hay numerosas y diferentes perspectivas para resolverlo. La pregunta es cómo elegir la adecuada.

Falta de experiencia: midiendo el impacto financiero directo

¿Es la falta de experiencia en seguridad un problema de verdad para las corporaciones? En resumen, sí. Hemos descubierto que la incapacidad de crear inteligencia en seguridad corporativa (en especial contratando nuevos talentos) tiene un impacto directo en el daño que causan brechas de ciberseguridad reales. En marzo-abril de 2016 dirigimos una encuesta sobre riesgos informáticos corporativos junto con nuestro socio B2B international. Preguntamos a más de 4 000 representantes de compañías de diferentes industrias y de diferentes tamaños sobre sus actitudes y experiencias en ciberseguridad. En particular, queríamos averiguar cómo percibían las empresas el problema de falta de talento. Esto es lo que hemos descubierto.
En general, el 33 % de las empresas mundiales considera importante invertir en mejorar la experiencia de los expertos en seguridad. Aproximadamente la mitad de las empresas admitió que hay una falta de talento y una creciente demanda de especialistas.

Pero ¿tiene fundamento esta preocupación? Para ayudar a responder a nuestra pregunta también preguntamos a las empresas sobre la media de perdidas experimentada en un incidente de ciberseguridad, lo que nos permitió comparar la percepción con el coste real de recuperación. Descubrimos que las empresas que se esfuerzan en buscar el mejor talento en seguridad terminan gastando el tripe de la media para recuperarse de un incidente con la seguridad.

Las grandes empresas que confían en su equipo de desarrollo de seguridad informática pagan entre 100 000 y 500 000 dólares para recuperarse de un solo incidente. Las empresas que admiten una cierta inseguridad en atraer nuevo talento, terminan pagando entre 1,2 y 1,47 millones. Sin embargo, esta pérdida se compara con el coste de contratar nuevo personal y se demuestra cómo de efectivo es el coste de emplear a expertos antes de que suceda un incidente en lugar de contratarlos para solucionarlo. Una gran cantidad de los costes de recuperación se debe al salario de personal adicional (14 000 dólares de media en responsables informáticos y 126 000 para las empresas): las empresas gastan más en contratar expertos externos y pagar las horas extras de su propio equipo de lo que pierden en oportunidades de negocio, solvencia y compensaciones a los clientes y socios. La inversión en seguridad informática antes de una brecha vale la pena el esfuerzo.
Pero no es solo cuestión de dinero. El 40 % de las empresas apuntan que la razón del aumento de los presupuestos de seguridad informática es el incremento de la complejidad de la infraestructura. Los directores de seguridad de la información admiten que la demanda de seguridad ha aumentado por diversos motivos: los directivos la quieren (en el 38 % de las empresas y el 33 % de los responsables de seguridad mencionan que es uno de los motivos principales por el que aumenta la inversión en seguridad informática) y los reguladores la exigen con multitud de requisitos de cumplimiento (uno de los motivos principales del aumento de presupuesto para el 38 % de los responsables y el 38 % de las empresas). Sigue siendo difícil estimar el ROI en seguridad, pero al parecer a las empresas no les importa. El 62 % de las grandes empresas y el 59 % de los responsables de seguridad continuarán con la inversión en seguridad informática sin importar si se puede medir el retorno.
De media, el 15 % del talento de un departamento informático de una gran empresa se dedica a la seguridad, lo que significa 39 especialistas en un equipo de 220 expertos gestionando todos los aspectos de la infraestructura. En comparación, las empresas medianas y pequeñas solo tienen dos expertos de seguridad en un equipo de 16 expertos en informática. ¿Planean crecer? Dalo por hecho. El 68,5 % de las empresas espera un crecimiento, de ellas un 18,9 % cree que su departamento de seguridad informática crecerá con creces (el 27 % de las grandes empresas y el 22 % de las pequeñas y medianas empresas), y un 4,1 % espera que su personal se doble en los próximos tres años.
También hay diferencias en la actitud entorno a encontrar nuevos talentos en los sectores de la industria. Las empresas que operan en los siguientes campos tienen la expectación más alta en cuanto al crecimiento del personal de seguridad informática:

El panorama de las amenazas da unas 315 000 razones diarias para que los negocios mejoren sus defensas. Cuando comparamos la experiencia real de incidentes específicos de seguridad con el deseo de los negocios por aumentar sus equipos de seguridad informática, averiguamos que confrontar dichas amenazas afecta significativamente a la inversión de talento en ciberseguridad.

La demanda de profesionales de seguridad está creciendo en todas las industrias y afecta a las empresas de todos los tamaños. Las empresas manejan muchas peticiones: personal directivo superior, reguladores, el panorama de amenazas y un deseo general de proteger datos sensibles a todo coste. La pregunta es cómo encontrar a los profesionales adecuados en el mercado. Nuestra encuesta muestra que no es suficiente establecer en el presupuesto una subida en los salarios. Los nuevos talentos aportan más inteligencia, pero solo si se han tomado las decisiones acertadas durante el proceso. Para demostrarlo, hemos preguntado a las empresas cuánto confían en que su red no haya sido hackeada. Más de la mitad, el 58,6 %, no estaba al 100 % seguras de que su red no hubiera sido hackeada. Con un objetivo clave en los esfuerzos de seguridad de una empresa por aumentar la confianza en los sistema y procesos, invertir en inteligencia y talento cobran un papel importante.

Uno de catorce: es difícil encontrar nuevos talentos en seguridad

Como proveedor de inteligencia de seguridad, en Kaspersky Lab tenemos un equipo sólido de expertos en seguridad y continuamos expandiendo nuestra sede y oficinas del mundo. Esto nos pone en una posición diferente a la de los negocios normales. Mientras el equipo de seguridad de una gran compañía típica suele ser el 15 % del departamento informático, en nuestro caso los expertos en seguridad comprenden el 30 % de todo el departamento de I+D. Esto nos da cierta ventaja: tenemos años de experiencia atrayendo nuevos talentos. Entonces, ¿lo tenemos más fácil?
En primer lugar, creemos que solo nuestro equipo interno puede encontrar a los expertos adecuados y por ello no usamos agencias de contratación, sino que contamos con nuestros expertos en contratación en el campo de seguridad informática. En segundo lugar, como una de las compañías líder, necesitamos que se unan a nuestro equipo los mejores candidatos con la mayor experiencia. Por ello, de 40 candidatos que entrevistamos, contratamos solo a un experto y tardamos en ocupar un puesto aproximadamente 45 días.
Kirill Shiryaev, director de adquisición de talentos de Kaspersky Lab y fidelizador del capital humano:
“Para cubrir un puesto, de media solemos contactar con unos 40 aspirantes. De ellos, mantenemos extensas reuniones con diez y elegimos solo a uno. Algunos aspirantes entienden que no tienen las habilidades ni el deseo de aprender nuestras necesidades específicas en el momento que realizan una prueba técnica. Aún para puestos junior, tenemos que encontrar gente con habilidades prácticas y conocimientos en varios aspectos IT. Exigimos el conocimiento de herramientas específicas como software de depuración e ingeniería inversa, experiencia con varios lenguajes de programas. Dadas las especificaciones de nuestra compañía, no esperamos que todos los aspirantes hayan trabajado en el campo de ciberseguridad con anterioridad. De hecho, si un candidato hizo algún trabajo relevante en su tiempo libre, puede ser un factor clave para hacerle una oferta.”
El talento en seguridad es una fuente que escasea y es por una razón. Rara vez vemos que gente que haya elegido el campo de la seguridad informática por casualidad, es prácticamente imposible permanecer en este negocio solo para ganarse la vida. La ciberseguridad exige curiosidad, autodidactismo, conocimiento de una gran variedad de temas y cada uno de los mismos puede conseguirte un salario decente en otro campo informático. Uno debe estar muy inclinado a convertirse en un experto en seguridad y no funciona de cualquier otro modo. A veces vemos candidatos que no pueden cumplir nuestros requisitos y nuestro objetivo es mantener el contacto con ellos. De vez en cuando, nos topamos con alguien lo bastante persistente para mejorar sus competencias y vuelve a nosotros para unirse al equipo.

La seguridad es difícil de dominar

¿Pueden las instituciones educativas atender la creciente demanda de nuevos talentos? La industria informática continúa evolucionando a una gran velocidad y, a pesar de los avances obvios en educación informática, muchos graduados no están preparados para ayudar de inmediato a las compañías a mejorar la seguridad. Nos hemos puesto en contacto con representantes de instituciones educativas especializadas en el campo de la informática y de la seguridad informática para confirmarlo.
Profesor Steve Furnell, director de la Escuela de Informática, Electrónica y Matemáticas (Facultad de Ciencias e Ingeniería), Jefe del Centro de la Seguridad, las Comunicaciones y Red de Investigación en la Universidad de Plymouth, Reino Unido:
“Creo que dicha preocupación se debe abordar desde el punto de vista de si consideramos que los graduados están ‘cualificados para trabajar’ en el campo de la seguridad informática. Aunque sean graduados, no creo que se les deba considerar como practicantes cualificados. Sin duda tendrán un buen nivel de conocimientos y algunas destrezas, pero también habrá ciertos aspectos que no habrán podido poner en práctica “de verdad” en dicha etapa”.
También existe una competencia interna entre la industria de la seguridad y otros campos generales de la informática que también buscan talentos. Sin mencionar el hecho de que para la especialización informática se requieren ciertas cualidades personales que no son muy comunes.
Dr. Tse Woon Kwan Daniel, Universidad de la ciudad de Hong Kong
“La parte técnica no es suficiente para convertirse en un verdadero experto en seguridad informática. Se requieren conocimientos técnicos y de gestión, además de conocimientos básicos en gestión de la seguridad y auditoría. De vez en cuando, digo a mis estudiantes que un auditor informático competente debe conocer todos los aspectos de la seguridad informática porque solo con la parte técnica, quizá no sepan cómo hacer lo que es mejor. Por otra parte, con solo tener conocimientos de gestión quizá solo conozcan casos a los que se les ha dado mucha publicidad”.
Por ello, en Kaspersky Lab debemos asegurarnos de que los recién graduados terminarán por evaluar sus deseos y capacidades para unirse a la industria de la ciberseguridad. Ello significa entablar conversaciones con las universidades para desarrollar y dirigir cursos especiales de formación, incluso para compartir algunas de las tecnologías de nuestra propiedad para motivar a los estudiantes. Hay signos positivos en que las instituciones educativas comprenden la demanda de expertos en seguridad e intentan mejorar sus programas.
Profesor Steve Furnell:
“Hoy en día veo una creciente demanda en la educación de la seguridad informática. Creo que es sin duda un área cuyo interés crece entre los estudiantes y ha habido un crecimiento definido en el número de universidades que ofrecen programas en este tema. Ofrecemos cursos específicos dedicados a la seguridad informática tanto a nivel de licenciatura como a nivel de máster, al igual que módulos relacionados con la seguridad dentro de los otros programas sobre informática (con la mezcla exacta de contenido básico y opcional que varía según el programa en cuestión). También ponemos énfasis en la seguridad dentro de los módulos más extensos sobre informática. Por ejemplo, la ingeniería de software y el desarrollo de bases de datos son tópicos en los que la seguridad es importante, aunque no sea el tema principal que concierne al curso”.

Más allá de la experiencia técnica

La experiencia en seguridad empieza con resolver retos simples. Tengan en cuenta que en nuestra industria “simple” a veces equivale a “complejidad razonable”. El fundador de Kaspersky Lab, Eugene Kaspersky, empezó su camino en la seguridad hace 27 años al analizar virus en su tiempo libre. Muchos de nuestros mejores expertos hicieron lo mismo: la mayor fuente de nuestro talento es el “laboratorio de virus”, el primer nivel de muchos que se requieren para convertirse en un experto versátil en seguridad.
Pero ¿sirve nuestra experiencia para una empresa normal con necesidades de negocio reales que no tienen que ver con la seguridad informática? La respuesta es tanto sí como no. Hemos preguntado a nuestros expertos en seguridad para salir de dudas.
Sergey Novikov, subdirector, investigación global y equipo de análisis:
“Un investigador de seguridad aprende cosas nuevas todos los días mientras tratan de analizar lo mejor posible nuevas amenazas avanzadas. Hoy en día el tema quizá son los aspectos concretos de un lenguaje de programación, típicamente usado en una aplicación de juego y ahora utilizado en las amenazas. Mañana puede que esto cambie a aspectos de los dialectos chinos, los cuales se requieren para recuperar pistas vitales del código de un módulo malicioso misterioso. La complejidad de las amenazas aumenta con la complejidad de las infraestructuras informáticas, pero este no es el único reto. Nuestra experiencia demuestra que la falta de gestores de seguridad es más severa e impactante que la falta de expertos en tecnología. Desarrollar competencias técnicas es importante, pero ver una imagen mayor de todas las amenazas o de las relevantes para un negocio en particular es primordial. Comprender el ámbito real de las amenazas y a la vez ser capaz de comunicar las necesidades de la seguridad informática a la alta dirección es muy difícil”.
Así que no se trata de experiencia técnica. La habilidad de crear experiencia procesable mientras se defienden las necesidades de la ciberseguridad ente los altos cargos es también importante. Mientras la industria de la seguridad necesita magos en tecnología “puros”, las cosas son diferentes para un negocio normal. Necesitan inteligencia en seguridad al igual que gestión en seguridad para poder protegerse.
Sergey Gordeychik, Director de servicios de seguridad, subdirector de tecnología, Kaspersky Lab:
“Los expertos en la seguridad de las empresas y los investigadores de seguridad tienen algo en común: el deseo de dominar las destrezas en este campo único además de un interés personal en el asunto. Pero también hay diferencias. Con el fin de proteger una empresa, no se necesitan conocimientos de lenguaje ensamblador para realizar ingeniería inversa. Es peligroso investigar estas cosas: apartan las preciadas fuentes del objetivo real: mantener los datos de la empresa seguros y la infraestructura en funcionamiento. No es una cuestión de ‘cómo’ y ‘a quién’ tienen que responder los negocios cuando sufren un ataque. La pregunta adecuada es qué se debería hacer para reducir el riesgo. Los encargados de la seguridad cuentan con un rol importante para resolver este reto. Observamos que es difícil combinar dichas competencias en un solo equipo: los desarrolladores y los expertos en informática general pasan por alto que la seguridad es importante, mientras que los profesionales de la seguridad suelen centrarse en romper las cosas, no en crear algo teniendo en cuenta la seguridad”.

En busca de una solución: compartiendo inteligencia

Como hemos observado, aunque la provisión de expertos en seguridad satisficiera la demanda, no se resolverían todos los problemas del negocio. En primer lugar, el problema de falta de expertos va más allá del conocimiento técnico y de la experiencia. Encontrar un gestor que a la vez domine el mundo de las amenazas, las soluciones de seguridad actuales y lo específico de una infraestructura informática es todavía más difícil. En segundo lugar, un único negocio no es capaz de acumular bastante inteligencia para combatir todas las amenazas. Malware, spam, ataques DDoS y ataques dirigidos buscan diferentes puntos vulnerables en una infraestructura corporativa con años de conocimiento requeridos para protegerlos adecuadamente a cada uno de ellos.
Hace 15 años, el mundo de los negocios acababa de empezar su camino hacia la dependencia de la infraestructura informática y, entonces, el tema de las amenazas era más tranquilo. Eran buenos momentos en los que lo único necesario para prevenir ciberamenazas era una solución antivirus. Nada más. Aunque la necesidad de tecnologías de prevención de amenazas va a aumentar, la ciberdefensa ahora reside en compartir inteligencia. Con inteligencia nos referimos a intercambiar experiencias sobre diferentes tipos de ciberamenzas, ataques y vulnerabilidades tanto en forma de tecnología de protección como por puro conocimiento.
Las empresas siguen siendo cuidadosas cuando se trata de contratar asesores en seguridad externos para auditar el nivel de protección de las ciberamenazas: solo un 26 % de las empresas que hemos entrevistado consideran que estas medidas son efectivas. Pero la misma encuesta nos da la pista importante de que esta percepción tiene que cambiar. Es muy probable que los ataques más dañinos (los que las compañías no descubren durante días o semanas) se descubran en una auditoria de seguridad. El 72 % de las empresas que sufrieron dichos ataques los descubrieron gracias a una auditoría externa. La segunda medida más frecuente es una evaluación de seguridad interna. El tercer indicio más popular de un ataque en curso es alarmante: la notificación por parte de un cliente.
Veniamin Levtsov, vicepresidente, iniciativa empresarial, Kaspersky Lab:
“El inicio de ataques dirigidos a negocios, a menudo llevados a cabo por delincuentes organizados, requiere de un nuevo enfoque en la ciberseguridad corporativa. A veces estos asaltos se basan en tecnologías maliciosas sofisticadas, pero más a menudo, vemos ataques que explotan las debilidades humanas y el crecimiento inevitable de la complejidad de la infraestructura.  Las personas tras los ataques tienen determinación, habilidades y conocimientos para herir a los negocios que atacan. Por ello, lo mejor que pueden utilizar las empresas para contrarrestar dichos ataques son personas con mayor talento, conocimiento y mejores habilidades . Con la persona adecuada, la tecnología que ayuda a estos expertos a incrementar las defensas de la empresa pueden marcar la diferencia. Para el mundo corporativo y la industria de seguridad, no se trata de un cambio cómodo de paradigma, pero tarde o temprano se adoptará universalmente la seguridad basada en inteligencia. La falta de talento es un claro signo de ello.
En esta industria en evolución la relación con nuestros clientes ya va más allá del envío de una tecnología o un producto. Necesitamos darles las destrezas y formación necesaria para identificar ataques en curso. El conocimiento detallado sobre otros negocios, en forma de informes de inteligencia, también es necesario, junto con datos procesables que se puedan leer automáticamente sobre amenazas en curso. Resolver los diferentes desafíos en prevención de amenazas, detección de ataques dirigidos, respuesta ante incidentes y predicción requiere mucha flexibilidad. Como vendedores de seguridad, nos dedicamos a incrementar la calidad y la cantidad de la mano de obra del mundo experta en seguridad. Entre muchos proyectos para apoyar esta iniciativa, estamos desarrollando los fundamentos de la seguridad informática (una clase que con suerte ayudará a más profesionales informáticos a empezar su camino en el campo de la seguridad).

Conclusión: ser flexible

El 52 % de las empresas está de acuerdo con que su seguridad será comprometida en algún momento y de que tienen que estar preparados para dichos eventos. Hasta ahora, los negocios tienden a concentrarse en las tecnologías de prevención y prestan menos atención a la detección y respuesta ante las amenazas. A pesar de algunas controversias obvias en la percepción que tienen los negocios sobre la importancia de la seguridad informática, observamos un signo claro de cambio positivo. Dentro de tres años, las empresas querrán invertir el 60 % de sus presupuestos en informática en medidas de protección que vayan más allá de la prevención, lo que es un signo positivo de la percepción del cambio.
Se resolverá el problema de la falta de talentos, así como cualquier otro problema de ciberseguridad mediante los esfuerzos en educación, la evolución de la industria y la adopción de modelos de intercambio de inteligencia. Para entonces, nos estaremos enfrentado a problemas más complicados en este campo. Como dicen nuestros expertos, para tener éxito en este negocio siempre hay que estar preparado para afrontar cosas nuevas. La causa de fondo en la falta de talentos es la necesidad de resolver problemas de seguridad que no se pueden resolver mediante sistemas de seguridad automáticos. Así, la solución recae en una flexibilidad mayor por parte de las empresas, así como por parte de la industria de seguridad: crear nuevas soluciones de seguridad teniendo en cuenta la inteligencia y asegurándonos de que las nuevas amenazas descubiertas se pueden compartir con todo el mundo de forma eficiente.