29 ENE 2019

Esperto di sicurezza informatica: cosa fa, professioni e certificazioni

¿Qué hace un especialista en ciberseguridad? Esta pregunta es tan general que es como preguntar a un médico especialista qué hace sin saber su especialización. La respuesta correcta es: depende de las situaciones. Si hablamos de sus especializaciones, seguramente tendrá más de una, pero todos los médicos tienen un camino común hecho de farmacología, cirugía y psicología del paciente.

Hoy en día, el experto en seguridad informática es uno de los perfiles más solicitados en el mercado de la ciberseguridad. En este artículo veremos de qué se ocupa, el programa de estudio para convertirse en un especialista en ciberseguridad y nos centraremos en las certificaciones necesarias para esta profesión de seguridad informática.

Exactamente como un médico que tiene varias especializaciones, se puede hacer el mismo discurso para el experto en seguridad. En términos generales sus especializaciones pueden ser:

  • infraestructural;
  • defensiva;
  • ofensiva;
  • hunting;
  • forensics (forense).

 

Experto en seguridad informática: certificaciones

Antes de entrar en las diversas áreas de especialización y descubrir las certificaciones específicas para cada una de ellas, nos gustaría especificar que las certificaciones de seguridad informática pueden ser:

vendor oriented: preparadas y extendidas por un proveedor y por eso orientadas hacia sus productos y su filosofía;

vendor neutral: no están conectadas a un proveedor en particular.

 

Especialista en ciberseguridad infraestructural

La seguridad infraestructural es aquella área relacionada con el endurecimiento (aumento de la seguridad intrínseca de los equipos), con las políticas y el control de los accesos. Es una disciplina fundamental para garantizar a los sistemas un nivel mínimo de seguridad, pero desafortunadamente no siempre es suficiente para enfrentarse a las amenazas de nueva generación.

Las certificaciones válidas en este campo son:

  • Seguridad + (CompTIA, vendor neutral);
  • Cisco CCNA, Security (Cisco Systems);
  • RHCSA, RHCE (Red Hat).

 

Especialista de la seguridad informática defensiva

El aspecto defensivo se refiere al control activo de lo que sucede en la red y al rechazo de las amenazas de forma pasiva-agresiva. Los profesionales especializados en este tipo de amenazas utilizan instrumentos como IPS (Intrusion Prevention System) o WAF (Web application firewall) y su creatividad.

Aquí también las certificaciones para expertos en ciberseguridad están vinculadas a menudo a los proveedores:

  • IWSA, IWSS (Imperva);
  • ATD, NSP(McAfee);
  • SnortCp (Snort, open-source).

 

Especialista en seguridad informática ofensiva: el hacker de sombrero blanco (white hacker)

La seguridad ofensiva suele estar relegada a las películas o al crimen, pero está revelando nuevos métodos y estrategias para limitar el riesgo alteraciones de las redes.

Vamos a comparar, por ejemplo, una infraestructura de TI con un edificio, al que queremos evitar el acceso no autorizado. El experto en seguridad ofensiva (o pirata de sombrero blanco) busca cualquier tipo de inconsistencia, falla o situación ambigua para explotarla con el fin de colarse en el edificio. ¡Cómo haría un verdadero atacante!

Al final de su trabajo, pero, en lugar de robar datos sensibles, el white hacker recopila un informe detallado con todas las vulnerabilidades explotadas o también solo detectadas: un documento valioso para poder corregir de manera oportuna y puntual las posibles violaciones de seguridad informática que han surgido del análisis.

Las certificaciones típicas en este campo se alejan de los proveedores, ya que se necesita una gran cantidad de instrumentos para operar y se centran en las metodologías:

  • OSCP (Offensive Security);
  • CEH (Ec-Council);
  • GPEN (GIAC).

 

El cazador de amenazas y la evolución de los ataques informáticos

Las amenazas cibernéticas continúan evolucionando, sobrepasan las fronteras nacionales e involucran a actores siempre nuevos. No solo el viejo crimen (cibernético) organizado o geeks profesionales, sino un número creciente de gobiernos, empresas, organizaciones y asociaciones se ven obligados a tomar precauciones para evitar alteraciones y consecuentes daños incalculables.

La web se ha convertido en un verdadero teatro de guerra (Estados Unidos, Israel, China y Rusia ya lo consideran así), donde, pero, no hay banderas, fronteras ni reglas.

Cualquier persona que use un servicio online o tenga datos en cloud – prácticamente todos, en el oeste – corre un cierto riesgo de alteración o fraude.

No siempre es fácil o inmediato tener una idea de lo que realmente está pasando y el cazador de amenazas tiene la difícil tarea de identificar la fuente de las amenazas informáticas, las posibles motivaciones y cómo defenderse. El experto en seguridad informática, en este caso, a menudo utiliza motores de búsqueda especializados y la “inteligencia de fuentes abiertas” (en inglés OSINT: Open Source Intelligence) y permite al equipo comprender mejor al atacante y preparar una respuesta proactiva en lugar de una reactiva.

En este contexto las certificaciones más comunes son:

  • GCFA (GIAC);
  • GCTI (GIAC).

 

Experto en seguridad informática forense

Último, pero no menos importante, la gestión del incidente posterior (informática forense). Cuando un ataque a una infraestructura de red tiene éxito, sea que haya durado unos segundos o meses, una vez que termina, es necesario volver a recorrer (lo más posible) los pasos del atacante, estudiar el vector de entrada, el comportamiento e identificar posibles puertas traseras (“backdoor” en inglés, que el atacante deja abiertas para poder regresar más sencillamente y simplemente en la red atacada). Este trabajo es crucial y puede durar meses, pero es la única disciplina que permite tener una visibilidad completa de lo que realmente sucedió en la red.

Estas informaciones están disponible en los registros de las actividades de los diversos componentes de la red (log), pero aquí surge un problema: si nuestra red se ha visto comprometida, ¿quién nos dice que estos registros no han sido modificados para cubrir los rastros del atacante? Parece ciencia ficción, pero es un escenario perfectamente plausible y es así que un infiltrado en la red actúa.

Para superar este problema, es necesario almacenar el tráfico de la red (“volcar el tráfico”, en jerga) en un dispositivo de almacenamiento, para poder analizarlo más adelante. Claramente, no es realista copiar todo el tráfico de la red, sino solo de algunas subredes (por ejemplo la de los servidores web) y solo de los últimos días. Analizando estos datos, podemos reconstruir lo que sucedió en la red, independientemente de cuántos registros pueda haber alterado el atacante.

Existen varias certificaciones de análisis forense digital, ninguna vinculada a un proveedor en particular:

  • CCFP (Isc2);
  • GNFA, GCFA (GIAC).

 

Aunque los ámbitos describidos parecen muy distintos y segregados, en la realidad operativa a menudo el especialista en ciberseguridad se ve obligado a aplicarlos todos, exactamente como sucede en el ejemplo del médico.

En conclusión, el aspecto que hace estos tiempos extremadamente fascinantes en el campo de la seguridad informática es el alto grado de omnipresencia de la informática en nuestras vidas diarias, con todos los desafíos que esto implica en términos de seguridad, privacidad, estabilidad económica y social.

 

Para ahondar, podrían interesaros:

El estandar e-CF  y el mercado laboral, mapeo de las competencias digitales

La profesión del Big Data Scientist

Y si sois expertos de seguridad informática o de otras profesiones de TI y estáis buscando una nueva experiencia laboral, ¡visitad las posiciones abiertas en Consulthink, empresa de seguridad informática en Roma.

Elaborado por Fabio Toscano, Stefano Elia y Lucia D’Adamo