En el primer post de esta serie hicimos una introducción de la estructura general y componentes generales del framework propuesto de NICE, en este segundo post la idea es poder revisar en detalle el primer componente del framework: las categorías.
El objetivo es responder a la pregunta ¿Dentro del mercado en LATAM es posible realizar un replanteamiento de las áreas funcionales de los equipos de ciberseguridad haciendo uso de dichas categorías?
Dentro del framework existen 7 categorías que definen una tarea clara que, un equipo conformado por diferentes perfiles, puede y debe realizar.
Cada categoría define capacidades específicas o áreas de especialidad que revisaremos posteriormente en otro artículo, por ahora, hablemos de cada una de las categorías, su descripción, relevancia y posibilidad de implementación dentro del ambiente corporativo de los grupos de ciberseguridad.
Categorías
Analize (Analizar):
Dentro de esta categoría se encuentran las áreas de especialidad enfocadas en realizar una revisión y evaluación, altamente especializadas, de información de ciberseguridad entrante, obtenida desde diferentes fuentes de información dentro de un escenario predeterminado, con el fin de determinar su uso para inteligencia.
En LATAM, ésa revisión y evaluación antes mencionada, muchas veces no se logra desarrollar debido a que se pretende tener profesionales multipropósito.
Desde un punto de vista personal, es una categoría esencial que permite decantar la cantidad de información que constantemente es recibida desde diferentes fuentes y muchas veces es directamente procesada por grupos de operación dentro de las áreas de ciberseguridad sin necesidad.
No es una categoría que se encuentre generalmente implementada en empresas en el mercado Latinoaméricano, pero es un área que al estar implementada ofrecerá una mejora en el consumo de recursos relacionados con inteligencia, que permitan una protección más adecuada al entorno.
Collect and Operate (Recolectar y Operar):
Esta categoría se encuentra enfocada en la descripción de tareas que pueden ser realizadas por equipos de ciberinteligencia.
Quiero resaltar que no estoy usando la palabra como el mercado ha tratado de posicionarla, si no dentro de un sentido estricto de su significado.
Principalmente, busca un equipo capaz de entregar operaciones especializadas de negación y engaño y la recolección de información de ciberseguridad que permita el desarrollo de inteligencia.
Desde esta perspectiva no se espera consumir datos, si no lograr generar la inteligencia para objetivos predeterminados, con tareas que realiza cada uno de los roles.
Es un área que veo más enfocada en la industria militar, pero que puede tener mucho valor en industrias altamente expuestas al fraude continuo como la financiera.
Investigate (Investigar):
Esta es una categoría que existe en muchos grupos de ciberseguridad y que muchas veces se enfoca a un solo rol dependiendo de las capacidades existentes dentro de cada una de las empresas.
En esta categoría se agrupan los roles encargados de investigar crímenes o eventos de ciberseguridad relacionados con sistemas, redes, tecnologías de información (TI) y evidencia digital.
Es importante tener en cuenta la relación costo / valor que puede tener este tipo de equipos dentro de las organizaciones, teniendo en cuenta la cantidad de investigaciones digitales que se puedan presentar en determinado escenario; es bastante común en nuestro entorno tercerizar este tipo de servicios en un esquema de servicios por demanda.
Operate and Maintain (Operar y Mantener):
Los roles contenidos en esta categoría son los encargados de proveer soporte, generar la administración y mantenimiento necesario para asegurar la efectividad, eficiencia y seguridad en el desempeño de los sistemas de tecnologías de la información (TI).
Grupos que se encuentran establecidos generalmente dentro de las compañías, pero que al mirar en profundidad los roles descritos dentro del framework, es necesario pensar en realizar una reorganización de las tareas y capacidades necesarias para cada uno de ellos, ya que comúnmente muchas de las tareas son responsabilidad de una sola persona o de un pequeño grupo de personas que no logran la especialidad en el desarrollo de las tareas requeridas.
Oversee and Govern (Supervisar y Gobernar):
Dentro de esta categoría se encuentran inmersas tareas que buscan que la organización pueda realizar el trabajo de ciberseguridad de manera efectiva, haciendo uso del liderazgo, administración, dirección, desarrollo y apoyo legal.
Esta es un área que dentro de nuestro entorno generalmente se ve solamente relacionada a la gestión de riesgos, pero deja de lados algunos de los roles fundamentales necesarios para el correcto funcionamiento de esta área funcional.
Protect and Defend (Proteger y Defender):
Es la categoría donde se encuentran los roles capaces de identificar, analizar y mitigar las amenazas internas que pueden afectar los sistemas de tecnologías de la información y las redes.
Es muy interesante revisar el planteamiento de roles definido en esta área, ya que no se ve exclusivamente como un Blue Team como pensarse, si no que dentro del planteamiento del framework, incluye un rol mixto que busca la comprensión global de las amenazas.
Securely Provision (Provisión Segura):
Aquí se encuentran agrupados los roles de trabajo que conceptualizan, diseñan, procuran y construyen los sistemas TI de manera segura, pensando en el desarrollo de los diferentes aspectos necesarios para los sistemas de información, la red e infraestructura para que funcionen de manera adecuada.
Aunque la descripción tiene un tinte de oficina de IT, cuando se realiza una revisión a profundidad de los roles descritos, podremos ver que es una categoría mucho más amplia y en la que intervienen diferentes profesionales, con diferentes puntos de vista para lograr desarrollar el objetivo planteado para esta categoría.
En conclusión, la organización y planteamientos definidos en el framework de NICE, permite la posibilidad de generar un replanteamiento de las áreas de seguridad, junto a la descripción de roles necesarios para realizar actividades que cumplan con el objetivo de cada categoría, junto a unas necesidades de talento y capacidades en ciberseguridad definidas para el personal de las empresas.
Para responder la pregunta planteada en este post, desde nuestra perspectiva, si es hora de pensar en hacer un cambio a las áreas de ciberseguridad de las compañías, que permita definir con claridad las habilidades, tareas y capacidades que deben tener los equipos y personas que integran los grupos de trabajo internos.
Esto permitirá que las empresas enfoquen sus esfuerzos en construir capacidades y equipos acorde a sus necesidades de negocio, que sean definidos objetivos de desarrollo del equipo y adquisición de capacidades frente a un programa puntual y claro para sus integrantes, con el fin de evidenciar una mejora tangible de capacidades en ciberseguridad dentro de las empresas.
En otros artículos, revisaremos a profundidad los roles de trabajo, sus características, habilidades y conocimientos necesarios, para entender a profundidad los elementos planteados en este framework, junto a su revisión buscaremos plantear diversas preguntas que nos permitan pensar la forma en que tenemos estructurados los equipos de seguridad.
Esperamos que este artículo haya sido de interés para ustedes y les ayude en sus equipos de trabajo. Gracias por leernos!
Suscríbete hoy a nuestros cursos Exploratorios
¡Descubre cuál es tu perfil Hacker!
¡Quiero Registrarme Gratis!
Introducción a la Seguridad en AI
Cuando hablamos de Seguridad en AI (Artificial Intelligence o Inteligencia...
Leer más
5 pilares para Hackers o Profesionales en Ciberseguridad desde una perspectiva técnica
Después de la master class que realizamos en Be Hacker...
Leer más
Solución reto forense #1 BeHackerPro
Como bien saben hace unos días inauguramos una nueva categoría...
Leer más