Cybersecurity ha madurado en un conjunto complejo y diverso de funciones. En una organización grande, hay ocho áreas funcionales, cada una representada por un equipo separado. En las organizaciones más pequeñas, quizás una o dos personas tratarán de cubrir todo lo que puedan y tercerizarán el resto. En cualquier caso, cada una de estas especializaciones funcionales representa diferentes roles que requieren diferentes conocimientos, habilidades y habilidades.


Las ocho especializaciones son:

Architecture and Policy

El arquitecto de Cybersecurity diseña e implementa arquitecturas seguras y traduce estándares, procesos de negocio y marcos en políticas internas. En la mayoría de las organizaciones, este es un ingeniero experimentado, por lo general con muchos años en TI, que puede tomar decisiones de compromiso complicadas. En otras palabras, típicamente pueden pensar en varias formas de abordar un problema en particular y luego buscar entre esas alternativas para encontrar la mejor solución. Los arquitectos están familiarizados con muchos productos y protocolos, y pueden desarrollar diagramas funcionales de cómo funcionan realmente las aplicaciones en el centro de datos. Más importante aún, se sienten cómodos definiendo interfaces seguras entre aplicaciones y sistemas. Las políticas desarrolladas por los arquitectos son impulsadas por la arquitectura subyacente que han elegido usar. Los arquitectos utilizan marcos para organizar la arquitectura en estructuras manejables.

Data Loss Prevention (DLP)

Estos ingenieros implementan y administran aplicaciones de seguridad como detección de malware en puntos finales y servidores. Muchos sistemas antivirus modernos en PC usan un cliente avanzado conectado a servicios en el back-end para enviar actualizaciones de firmas y similares. Estos ingenieros se aseguran de que el sistema se mantenga actualizado y solucionan las interacciones negativas con las nuevas aplicaciones (que a veces interfieren con las comprobaciones de virus). El personal de DLP también administra la seguridad de los datos en servidores y bases de datos, a menudo instalando y manteniendo software especial para permisos y registros. Finalmente, a menudo se involucran en problemas de privacidad del usuario y trabajan en el cumplimiento de GDPR.

Governance, Risk and Compliance (GRC)

Estos analistas miden y cuantifican el riesgo, realizan auditorías internas contra las mejores prácticas y estándares, y desarrollan planes para la continuidad del negocio y la recuperación ante desastres. El análisis de riesgos se está volviendo bastante importante porque debe alinearse con el riesgo comercial. Las aplicaciones y programas críticos para la empresa necesitan más protección que otros, y depende de estos analistas asegurarse de que el riesgo haya sido identificado y mitigado adecuadamente. El equipo de GRC generalmente actúa como el "auditor de seguridad" y verifica el trabajo de las otras siete especializaciones frente a listas de verificación de cumplimiento como PCI-DSS y marcos tales como el Marco de gestión de riesgos (Risk Management Framework, RMF). Cuando hay hallazgos de no conformidad, el equipo de GRC proporciona seguimiento y verificación hasta que se resuelven.

Identity and Access Management (IAM)

Este equipo administra la identificación, autorización y permisos en todos los sistemas. Debido a la proliferación de protocolos y tecnologías (OAuth, SAML, etc.), tienden a ser expertos en protocolos en todas las plataformas, desde computadoras de escritorio y servidores hasta teléfonos inteligentes y tabletas. También necesitan comprender y hacer cumplir las políticas de identificación en toda la organización. Esto incluye comprender los roles y la administración de acceso basado en roles para los procesos de negocios. También rastrean lo último en identificación multifactorial y biometría. Más importante aún, este equipo se ve directamente afectado por las arquitecturas en la nube, lo que hace que el trabajo sea mucho más complejo. Esta función generalmente tiene menos personal que las otras especialidades, pero el ataque más común es el compromiso de la credencial del usuario, por lo que se requiere diligencia.

Incident Response and Forensic Analysis

Incluso las mejores defensas son violadas de vez en cuando. Este equipo ejecuta el Centro de operaciones de seguridad (SOC) y realiza detección y detección de amenazas. Detectan y analizan los eventos de seguridad y responden correctamente al tomar las medidas adecuadas, ya sea desconectando una máquina o simplemente protegiendo un software para determinar si es un malware. También son expertos en análisis forense y pueden detectar qué hizo un atacante y cómo lo hicieron. Como resultado, este equipo desarrolla pruebas que se utilizarán en el ensayo cuando sea necesario, siguiendo las reglas estándar de la cadena de pruebas.

Penetration Testing

Esta es la especialización subcontratada más comúnmente, pero muchas organizaciones todavía realizan algunas internamente. Este equipo ataca intencionalmente los sistemas para exponer las vulnerabilidades y detectar las debilidades. A menudo llamado "Equipo Rojo", atacan sistemas y procesos exactamente como lo haría un atacante con sombrero negro. Hecho correctamente, pueden exponer debilidades y vulnerabilidades antes que los atacantes reales. Más importante aún, hacen recomendaciones sobre cómo fortalecer los sistemas contra futuros ataques. También realizan pruebas de "ingeniería humana" al tratar de convencer a los usuarios a renunciar a información confidencial. Debido a eso, a menudo se ubican fuera del sitio para que no sean reconocidos.

Secure DevOps

Este es el equipo práctico que realmente administra los sistemas en el centro de datos (o la nube). Instalan, configuran y operan sistemas y software de forma segura, especialmente productos de seguridad dedicados, como firewalls, detección de intrusos e incluso HSM (Hardware Security Modules) dedicados para almacenar claves y certificados confidenciales. A menudo, el equipo se llama DevSecOps para indicar que "la seguridad está en el medio". Incluso en un entorno de nube, todavía necesitan administrar los procesos de seguridad y las funciones de forma segura.

Secure Software Development

Algunas organizaciones desarrollan software para vender como un producto, mientras que otras desarrollan su propio software para usarlo internamente. En cualquier caso, este equipo desarrolla y prueba aplicaciones para tener vulnerabilidades mínimas. Por lo general, utilizan procesos y políticas rigurosos con respecto a la arquitectura de software, y luego usan herramientas especiales para escanear software en busca de vulnerabilidades. Las pruebas de seguridad de aplicaciones se pueden realizar de forma estática (inspección de código) o de forma dinámica (comportamiento de tiempo de ejecución), pero la mayoría de las organizaciones necesitan hacer ambas cosas.

En resumen

Hay algunas similitudes naturales entre las áreas funcionales. Por ejemplo, es común que los roles de Arquitectura y GRC trabajen estrechamente o sean ejecutados por la misma persona. Del mismo modo, los equipos DevSecOps, IAM y Desarrollo seguro a menudo trabajan en estrecha colaboración.

Finalmente, es común que el equipo de respuesta a incidentes / forense realice algunas pruebas de penetración. También se debe tener en cuenta que algunas de las especializaciones funcionales a menudo se subcontratan. Por ejemplo, los consultores de seguridad pueden realizar rutinariamente auditorías de seguridad y evaluaciones para respaldar la especialización de GRC. Además, algunas compañías brindan servicios de prueba de penetración.

Todas estas especializaciones funcionales continuarán evolucionando, al igual que las tecnologías subyacentes evolucionarán a medida que respalden las necesidades cambiantes de la organización. Con nuestros cursos online de Seguridad Cisco usted podrá permanecer en la cima con una capacitación sólida y oportuna.