Nuestro experto en Ciberseguridad Purple Team de CODE SPACE, José Luis Navarro, nos explica en este artículo la importancia de la ciberseguridad en grandes y pequeñas empresas.
¿Estás preparado? ¡Vamos a empezar!
La importancia de la administración de redes y sistemas en la Ciberseguridad Defensiva o BlueTeam
La Ciberseguridad está de moda. Y no por gusto sino por necesidad. La seguridad de la información y de los sistemas informáticos de cualquier empresa ya no es un capricho o una opción, sino una necesidad real. Los crecientes ataques a empresas e instituciones de todo tipo han hecho visible una disciplina informática que antes pasaba desapercibida o se veía como cosa de grandes empresas. Sin embargo, la realidad es bien diferente y nadie está a salvo de recibir un ataque.
Esto ha hecho que se dispare la demanda de especialista de Ciberseguridad en las empresas, y junto a esta demanda, haya surgido multitud de ofertas formativas en materia de Ciberseguridad. Sin embargo, no es oro todo lo que reluce.
La Ciberseguridad es una disciplina muy amplia con muchas áreas de desempeño, que requiere de mucha experiencia para llegar a ser un buen profesional. Al igual que en la Medicina no es lo mismo un médico de familia que un neurocirujano, pero ambos comparten una base de conocimientos común, igual pasa con la Ciberseguridad.
El área más popular y conocida es la del Red Team. Son los técnicos del hacking ético, especializados en auditar sistemas y poner a prueba sus defensas y capacidad de intrusión. Los conocidos como hackers, que no delincuentes informáticos. Un hacker es un profesional de la seguridad informática que evalúa la seguridad de sistemas, redes y aplicaciones. Quien lo aprovecha para delinquir, es un ciberdelincuente.
Luego tenemos el otro lado del espejo, la Ciberseguridad defensiva o Blue Team. Son los técnicos que protegen los servidores, redes y aplicaciones de posibles ataques informáticos, se encargan de monitorizar los sistemas y detectar fallos de seguridad y responder ante ellos.
Sin embargo, la Ciberseguridad abarca mucho más. Desde el momento en que se diseña una aplicación o se despliega un servidor web en la nube, la seguridad informática debe implementarse por defecto y tener presente la privacidad de los datos desde el mismo momento del diseño. Tanto los programadores y desarrolladores de software como quienes configuran y administran los servidores y las redes de comunicaciones, deben asumir sus funciones de Ciberseguridad. Entonces, si quieres dedicarte a la Ciberseguridad, ¿por dónde empezamos?
Pensemos por un momento. Pensemos que somos los programadores de una nueva aplicación web que va a ejecutarse en la nube, y somos especialistas en desarrollo web fullstack. ¿Qué es para nosotros la nube? ¿Vemos un rack con switches, cabinas de discos, servidores virtualizados con sus cables y fuentes de alimentación redundantes? ¿O, por el contrario, vemos un cielo azul con una nube de algodón y un unicornio volando sobre el arcoíris? Y si nos dejan un servidor que carece de certificado SSL, no tiene configurado el servidor web las cabeceras HSTS o no han desplegado un WAF o fail2ban, ¿lo dejamos correr porque eso no es cosa nuestra?
Igual pasa con los técnicos de Redteam, los hackers. Detectas una vulnerabilidad, consigues shell, tienes acceso a la consola como usuario limitado y debes configurar el sistema para poder pivotar a otros servidores en otras redes. ¿Tienes suficientes conocimientos de redes, enrutamiento y sockets para desplegar tu próximo paso? ¿Sabes configurar tu propio servidor web para descargar tus herramientas y enrutar el tráfico por la red Tor y evadir el FW o el IDS?
Pues no es por desanimarte, pero el papelón de los azulones, los de BlueTeam o Ciberseguridad defensiva, no es para menos. Qué estrategia de protección de tus servidores o de tus comunicaciones vas a implementar, si tienes una red local sin segmentar, sin zonas de seguridad perimetrales bien definidas, o tus servidores no están parcheados ni actualizados con las últimas versiones. De nada sirve instalar un FW, configurar una VPN, e incluso instalar un Suricata, si luego un usuario clica en un correo que no debe y con un reverse shell te entran hasta la cocina, porque todos los usuarios llegan a todas partes sin que ningún sistema lo impida o detecte.
Observarás que esto de la Ciberseguridad es algo multidisciplinar. No se puede ser un buen profesional ciber sin dominar más de una técnica. Sin embargo, todos tiene una base común de partida: la Administración de Redes y Sistemas. Ser un buen Sysadmin, tanto de Windows como de Linux, y conocer el despliegue y securización de redes perimetrales y cómo se conectan entre sí, no es una opción si deseas iniciarte o especializarte en el mundo ciber. Hay demasiados conceptos de Seguridad por Defecto y Privacidad desde el Diseño que se adquieren con una sólida base de administración de sistemas y redes. Y esto no se limita sólo a los conocimientos técnicos, necesarios en esta disciplina. También hay que ser conscientes del marco legal en el que trabajamos. Hay que tener presente que existe un Reglamento General de Protección de Datos y una Ley de Seguridad de Servicios de la Información, que nos exigen y obligan a implementar unas determinadas medidas de seguridad, y unos procedimientos de respuestas ante incidencias que debemos conocer. Y si trabajamos con la Administración Pública, conocer la existencia del Esquema Nacional de Seguridad, que es de obligado cumplimiento. Y coexistimos y cohabitamos en las empresas e instituciones con otros departamentos, que no hablan nuestro idioma, que no entienden nuestras necesidades o nuestras preocupaciones en materia de Ciberseguridad, y debemos saber hablar y escribir informes ejecutivos pensados en un lenguaje no técnico, para que quienes tomen las decisiones comprendan todas las situaciones que expongamos en su idioma. Y esta es la labor de un buen Sysadmin.
Por eso, he dicho antes que no es oro todo lo que reluce. Del mismo modo que hay demanda de técnicos de Ciberseguridad, hay ofertas de Ciberseguridad. Pero no todas son iguales. No es posible formar a un buen técnico ciber, sea en la disciplina que sea, en un curso de fines de semana o en cursos de menos de 200 horas. Eso simplemente no existe.
Entiendo, por otra parte, la postura de muchos departamentos de RRHH de muchas empresas a la hora de solicitar perfiles técnicos. Se encuentran con una oferta de técnicos super especializados en un área determinada, muchos de ellos perfiles junior sin suficiente experiencia, cuando la realidad de la empresa demanda perfiles con conocimientos y experiencias más multidisciplinares. Por eso a veces te sorprendes viendo ofertas de trabajo que más para un puesto, son para un departamento entero con salarios junior. Creo que sigue habiendo una enorme brecha entre lo que realmente necesita la empresa y el mercado laboral, y lo que se cocina en los centros de formación. Si realmente salieran los técnicos formados con lo que se exige realmente en el mundo laboral, los salarios reflejarían la valía de los técnicos.
Esa experiencia en diferentes áreas del mundo ciber se adquiere con muchas horas de vuelo, si realmente se quiere pilotar de verdad. Por eso, en Codespace Academy somos muy conscientes de que tanto los contenidos de nuestros cursos como la Didáctica de éstos deben ser eminentemente prácticos y reales. No sólo damos información a nuestros alumnos en las materias y conocimientos. Además, les formamos para resolver los problemas reales a los que luego se enfrentarán. Saber cuáles son las herramientas que van a necesitar, dominarlas y adquirir la seguridad de que podrán enfrentarse a cualquier situación real, sólo se consigue con unos laboratorios prácticos con situaciones reales y variadas, donde el alumno pueda adquirir esas habilidades que otorgan los años de experiencia. No sólo las técnicas, sino también las humanas y personales.
Es muy importante desarrollarse tanto en lo profesional como en lo personal en aquello que te guste, motive y apasione. Pero debemos ser realistas. Tendremos que desempeñar nuestro trabajo en entornos donde se nos va a exigir una especialización concreta, y se dará por supuesta o sabida la base generalista. Y eso no se consigue haciendo cursos rápidos y coleccionando cromos.
Si realmente te gusta el mundo ciber y quieres iniciarte en él, o necesitas afianzar tus conocimientos y adquirir nuevas habilidades, mi recomendación es que tomes una buena base, desarrolles toda la curva de aprendizaje sin prisa, pero sin pausa, y veas nuestro curso de Ciberseguridad Defensiva BlueTeam. No sólo adquirirás la base necesaria para desempeñar con confianza las labores de administración de redes y sistemas, sino que adquirirás las habilidades suficientes para proteger y monitorizar la seguridad de la empresa y saber responder ante los incidentes que surjan. Esta es la perspectiva que tenemos en nuestros cursos, y la que buscan las empresas.
Espero que nos veamos pronto, aquí, en CODE SPACE.
