La necesidad de hackers éticos para la ciberseguridad

Jyoti Acharya, Asesor de Administración de Vulnerabilidad en la práctica de Ciberseguridad de TCS y Santosh Mishra, Analista de Seguridad en la práctica de Ciberseguridad de TCS han publicado un informe recordando que el mercado necesita más hackers y aclarando que aunque este concepto de asocia a “un grupo de personas nerd reunidas en un sótano y conspirando para robar información y dinero a las personas y organizaciones”.

Y aclaran que hackear no está limitado a robar y destruir, y no todos los hackers tienen la intención de causar daño. De hecho, los hackers ‘éticos’ ayudan a organizaciones y agencias de gobierno a encontrar brechas en sus sistemas de seguridad, para que éstos se puedan arreglar. Ayudan a la organización en la implementación de controles de seguridad robustos para impedir ataques potenciales.

Con todo esto, explican los expertos que existen una brecha entre el suministro y la demanda de estos hackers éticos y que “es difícil encontrar profesionales de ciberseguridad que tengan amplio conocimiento tecnológico y habilidades específicas en asesoría de seguridad y riesgo. En el estudio de seguridad de Intel, el 71% de las empresas reportan que la escasez en competencias de ciberseguridad les causa daños directos y medibles”.

Las organizaciones, recomiendan los especialistas, “podrían contratar hackers que hayan trabajado con el propósito de traspasar la seguridad de organizaciones en el pasado (conocidos como Black Hatters o Hackers del lado oscuro). Éstos podrían demostrar tener amplias habilidades, ya que tienen experiencia del mundo real jugando en la ofensiva. Hay una enorme diferencia entre las personas que han aprendido a defender un sistema y las personas que tienen experiencia violando un sistema. 

Otra opción sería entrenar al grupo existente de expertos de TI en su organización. La principal desventaja de este método es que a estos empleados les podría faltar la pasión para prosperar como profesionales de seguridad. “También, entrenar a los empleados toma tiempo y dinero, se requiere de una cantidad significativa de tiempo, exposición a la industria de seguridad y experiencia de trabajo antes que puedan convertirse en un recurso valioso para la organización. Aunque este enfoque parece viable a largo plazo, consume mucho tiempo y no puede aplicarse cuando hay una necesidad inmediata”.

Considerando que el hacking ético es una capacidad de nicho dónde la actitud y aptitud correcta es más importante que una calificación académica, los procesos de selección convencionales guiados por asesoramientos escritos estándar y entrevistas personales con candidatos de una serie de universidades acreditadas, no ofrecen los resultados esperados.