El mundo de la Seguridad de la Información cambió, sin lugar a dudas, y tomó una preponderancia inimaginada en estos últimos años. La pandemia aceleró 5 años los sistemas financieros y, con ello, la necesidad de que estos sean seguros en pos de mitigar los nuevos escenarios de ciberseguridad. Basta con revisar el Global Risks Report 2020, de World Economic Forum, que posiciona la Ciberseguridad a la altura de Desastres Naturales.
Los responsables de Ciberseguridad nos encontramos en un mercado con escasez de profesionales en la materia, principalmente por la exigencia de nuevas habilidades a la hora de afrontar desafíos. Repasemos un poco la evolución de este rol: el viejo perfil de Seguridad de la Información era meramente un auditor que llegaba al final del camino a marcar qué cosas se habían hecho mal o, en el mejor de los casos, un hacedor de perfiles y permisos.
Las nuevas metodologías de trabajo permitieron que ese "auditor" sea parte de las etapas tempranas del Desarrollo de Software, aportando su mirada como co-creador de producto y -fundamentalmente- siendo parte activa del proyecto.
Es por este motivo que las habilidades blandas toman hoy mayor preponderancia, y el perfil de Seguridad ya no sólo deberá ser técnico, sino también tendrá que tener capacidades para trasladar su conocimiento al equipo, velar por la arquitectura, la solución de las vulnerabilidades encontradas e iterar constantemente para nutrir de herramientas a los desarrolladores.
Asimismo, las nuevas tecnologías y metodologías generaron nuevas necesidades en los encargados de Seguridad de la Información. Perfiles como DevSecOps, Cloud, Automation & Threat Hunting se encuentran en la "Wish List" y eso nos lleva a las siguientes preguntas: ¿Qué buscamos? ¿Dónde? ¿Qué riesgos estamos dispuestos a tomar al sumar colaboradores?
Desde hace un tiempo, la tendencia es buscar personas con dos características que, para nosotros, son fundamentales. Por un lado, lo que con el equipo de Naranja X denominamos "El Fuego Sagrado", es decir, ganas de investigar y superarse a través del aprendizaje continuo, poseer una mente analítica, personas que se desafíen día a día y que compartan con los demás todo su conocimiento.
Hoy prima, por sobre lo académico, un perfil "hands on" pragmático que pueda encontrar soluciones a los nuevos desafíos, procurando un balance entre velocidad, costo y eficiencia para lograr el time to market que se propone.
En segundo lugar, pero no menos importante, necesitamos habilidades programáticas. Quien no sepa desarrollar, hoy por hoy, está quedando fuera de "La Nueva Seguridad". En este nuevo modelo de responsabilidades compartidas cada vez hay menos operación, y la automatización se vuelve fundamental para transitarlo, buscando una Seguridad "Real Time", proactiva y escalable.
Hay una realidad, irrefutable, sobre la importancia de conseguir estas capacidades programáticas con una mirada de seguridad. Por eso, la tendencia hoy es incorporar desarrolladores y, desde el equipo, agregarles el pilar de Seguridad a través de inducción, capacitaciones y trabajo en conjunto con perfiles del equipo de mayor seniority.
De esta manera, si tuviésemos que hacer una terna, diríamos que en primer lugar se buscan Dev, en segundo lugar Sec, y entendemos que el futuro es NoOps.
* Por Santiago Fernandez, Chief Information Security Officer en Naranja X