HPE entre los lĆderes de almacenamiento de Gartner
El hacking Ć©tico es una capacidad de nicho dĆ³nde la actitud y la aptitud son cruciales. La contrataciĆ³n gamificada debe verse como una opciĆ³n prometedora.
Por: Jyoti Acharya
Asesor de AdministraciĆ³n de Vulnerabilidad en la prĆ”ctica de Ciberseguridad de TCS
Santosh Mishra
Analista de Seguridad en la prƔctica de Ciberseguridad de TCS
Los hackers y los grupos de hacking resultan intrigantes para el hombre comĆŗn.
Estas palabras evocan imĆ”genes de un grupo de personas nerd reunidas en un sĆ³tano, conspirando para robar informaciĆ³n y dinero a las personas y organizaciones.
Pero hackear no estĆ” limitado a robar y destruir. Y no todos los hackers tienen la intenciĆ³n de causar daƱo.
De hecho, los hacker “Ć©ticos” ayudan tanto a organizaciones como a agencias de gobierno a encontrar brechas en sus sistemas de seguridad, para que puedan corregirlas.
Es decir, ayudan a las organizaciones a implementar controles de seguridad robustos para impedir ataques potenciales.
La creciente brecha entre el inventario y la demanda de “hackers Ć©ticos”
Es difĆcil encontrar profesionales de ciberseguridad que tengan amplios conocimientos tecnolĆ³gicos y habilidades especĆficas en asesorĆa de seguridad y riesgo.
En el estudio de seguridad de Intel, el 71% de las empresas reportan que la escasez en competencias de ciberseguridad les causa daƱos directos y medibles.
Por otra parte, las mentes jĆ³venes y apasionadas que demuestran aptitud en esta Ć”rea no siempre pueden encontrar un entorno constructivo para perseguir su pasiĆ³n y podrĆan ser influenciadas para pasarse al lado oscuro de la prĆ”ctica.
Buscando a los hackers adecuados
Las organizaciones podrĆan contratar Hackers que hayan trabajado con el propĆ³sito de traspasar la seguridad de organizaciones en el pasado (conocidos como Black Hatters o Hackers del lado oscuro).
Estos podrĆan demostrar tener amplias habilidades ya que tienen experiencia en el mundo real jugando en la ofensiva.
Hay una enorme diferencia entre las personas que han aprendido a defender un sistema y las personas que tienen experiencia violando un sistema. Pero, aunque suena convincente, esta tƔctica tiene varios defectos.
DespuĆ©s de todo, la confianza serĆa una gran preocupaciĆ³n. ĀæQuĆ© sucede si el ex-hacker se comporta de una manera no Ć©tica? Entonces la pregunta persiste, Āæes esta la mejor forma de proteger la organizaciĆ³n?
Otra opciĆ³n serĆa entrenar al grupo existente de expertos de TI en su organizaciĆ³n.
La principal desventaja de este mĆ©todo es que a estos empleados les podrĆa faltar la pasiĆ³n para prosperar como profesionales de seguridad. AdemĆ”s, entrenar a los empleados toma tiempo y dinero:
ā¢ Se requiere de una cantidad significativa de tiempo;
ā¢ ExposiciĆ³n a la industria de seguridad y;
ā¢ Experiencia de trabajo antes de que puedan convertirse en un recurso valioso para la organizaciĆ³n.
Aunque este enfoque parece viable a largo plazo, consume mucho tiempo y no puede aplicarse cuando hay una necesidad inmediata.
El Crowdsourcing es una tendencia creciente en la industria, la cual requiere que el sistema sea revisado por cientos de profesionales de seguridad en todo el mundo.
Recientemente, varias organizaciones se estĆ”n uniendo a plataformas de Crowdsourcing como HackerOne y Bugcrowd para administrar sus programas de divulgaciĆ³n responsable (PDR).
Esta es una manera inteligente para detectar vulnerabilidades y administrar los PDRs, pero solo funciona si se tiene implementada una fuerte estrategia de administraciĆ³n de informaciĆ³n de seguridad y habilidades de ejecuciĆ³n establecidas.
Concursos de hacking ā una disrupciĆ³n popular
Considerando que el hacking Ć©tico es una capacidad de nicho dĆ³nde la actitud y la aptitud correcta es mĆ”s importante que una calificaciĆ³n acadĆ©mica, los procesos de selecciĆ³n convencionales guiados por asesoramientos escritos estĆ”ndar y entrevistas personales con candidatos de una serie de universidades acreditadas, no ofrecen los resultados esperados.
En nuestra experiencia, la opciĆ³n mĆ”s prometedora serĆa la contrataciĆ³n gamificada.
Este formato imita los retos de vida real al construir varias situaciones enfocadas en demostrar rasgos especĆficos de personalidad que en otras instancias serĆan difĆciles de reconocer.
Introducir “elementos de juego” puede darle a los reclutadores la oportunidad de evaluar los perfiles completos de los candidatos y ayudarles a determinar:
ā¢ Su impulso por la innovaciĆ³n;
ā¢ Su capacidad de resolver problemas y;
ā¢ Su capacidad de desempeƱarse bajo presiĆ³n.
En TCS, el 5,6% de las contrataciones en las universidades ocurre a travĆ©s de la contrataciĆ³n gamificada y se espera que el nĆŗmero se incremente en los prĆ³ximos aƱos.
Un ejemplo de una iniciativa exitosa es HackQuest, un concurso de hackeo Ć©tico.
En la Ćŗltima ediciĆ³n del concurso participaron mĆ”s de 4.500 estudiantes de 609 instituciones de la India.
Luego de una emocionante competencia que durĆ³ SEIS (06) horas, 19 hackers Ć©ticos aseguraron su lugar en la final y, al resolver un reto de hacking al momento, 18 de los estudiantes recibieron ofertas en la unidad de Ciberseguridad de TCS.
HackQuest nos ayudĆ³ a identificar de manera exitosa a los estudiantes que tenĆan la aptitud y actitud que estĆ”bamos buscando.
Como la educaciĆ³n y las polĆticas convencionales no estĆ”n satisfaciendo nuestra creciente demanda de profesionales de seguridad, necesitamos medidas no convencionales.
Y HackQuest demostrĆ³ el hecho de que la prĆ³xima generaciĆ³n definitivamente tiene el talento. Las empresas deben identificar, nutrir y canalizar este talento.
Las organizaciones estĆ”n moviĆ©ndose rĆ”pidamente hacia este nuevo modo de contrataciĆ³n, y estĆ” claro que aquellos que no lo hacen estarĆ”n prĆ³ximamente en desventaja.
