La intel·ligència artificial, l’automatització i la necessitat creixent de professionals de la ciberseguretat amb habilitats socials bones són algunes de les coses que cal tenir en compte a l’hora de contractar.

A nivell mundial, les empreses estan tractant amb l’impacte dels constants canvis tecnològics i la necessitat de mantenir-se al dia amb l’evolució contínua de les habilitats de ciberseguretat. Això afecta directament les persones que ja estan empleades al sector, com també les habilitats que se cerquen per contractar nou personal de resposta d’incidents, governança, risc i compliment i anàlisi del Centre d’Operacions de Ciberseguretat (SOC, de les seves sigles en anglès).

 La IA i l’automatització impulsen el canvi en algunes feines

El cap de TI i ciberseguretat, l’experimentat Sameera Bandara, li diu a CSO que un dels factors més importants que impulsen un canvi en les habilitats que busquen les empreses en els professionals de la ciberseguretat, especialment en els últims dos anys, és la prevalença creixent de la intel·ligència artificial i les eines d’automatització.  De fet, l’Informe Tines Voice del SOC va trobar que 9 de cada 10 equips de seguretat estan automatitzant almenys part de la seva feina.

“Proveïdors com ara Microsoft i altres proveïdors de seguretat com Splunk i CrowdStrike, han introduït bàsicament IA en els seus conjunts d’eines, cosa que elimina més tard la necessitat que, diguem-ne, un analista de seguretat tingui un cert conjunt d’habilitats, perquè en lloc d’haver de fer les feines més pesades, bàsicament poden aconseguir l’eina perquè els ho faci”, diu Bandara. Alguna d’aquestes habilitats a les quals es refereix són les de codificació i seqüències de comandaments. “Les coses que abans necessitaven un script de Python ara es poden consultar fent servir llenguatge natural gràcies al fet que els proveïdors integren la IA a les seves eines”, afirma.

David Vaughn, analista sènior de ciberseguretat de Datacom, ha experimentat aquest canvi de primera mà i descriu com ha canviat “significativament” la seva feina en els darrers dos anys. “En el passat, la meva feina se centrava a identificar i respondre als ciberatacs”, expressa. “Amb Datacom, que opera a l’avantguarda de la ciberseguretat, la meva feina ha avançat per incorporar una cerca d’amenaces més proactiva. Ara passo una quantitat significativa de temps a buscar activament amenaces a la nostra organització, tant internament com externa; implemento casos d’ús basats en el comportament i anomalies en comparació amb casos d’ús més estàndards basats en signatures; i més automatització amb la introducció de la plataforma d’orquestració, automatització i resposta de seguretat (SOAR)”.

Vaughn afegeix que l’accés a eines noves d’automatització també ha significat una reducció en els temps de classificació i resposta, com també una oportunitat cada vegada més gran de centrar-se en responsabilitats més estratègiques i complexes. “Hem vist com la naturalesa del sector canvia d’un enfocament reactiu a un proactiu, i això hauria de reflectir-se a nivell personal. Ja no espero que passin les amenaces per prendre mesures”, diu.

Algunes de les habilitats específiques que Vaughn creu que ha hagut d’adquirir en els darrers anys per mantenir-se al dia amb els canvis en la seva feina inclouen aprendre a fer consultes, crear informes i fer servir manuals; llenguatges nous de consulta com ara Sentinel KQL per crear regles de detecció efectives; noves tàctiques i tècniques que fan servir els actors d’amenaces; i la introducció cada vegada més gran d’eines d’intel·ligència artificial.

L’automatització ha permès al director tècnic de Darktrace APAC, Oakley Cox, allunyar-se de les tasques mundanes. Per a ell, la feina és tradicionalment una presa de decisions molt binària i basada en el coneixement, i molt repetitiva. “Però ara, en aprofitar la IA, aquesta disposa del context i comprensió més amples i pren aquesta decisió per tu. Després, et permet, com a analista humà, apartar-te del coneixement i, en canvi, centrar-te en les proves d’hipòtesis i investigar mètodes amb menys alertes, i centrar-te només en alertes importants.” 

Com està evolucionant el paper de l’especialista de GRC

Com passa amb l’aparició de qualsevol tecnologia nova, hi ha avantatges i desavantatges. Bandara adverteix que, si bé la IA es pot fer servir per a coses bones, també es pot fer servir per crear atacs nous i riscos més grans, cosa que tots els professionals de la ciberseguretat han de saber. “Si tens un especialista en governança, riscos i compliment, i té un projecte particular que arriba a la seva safata d’entrada per fer-ne una avaluació de riscos, anteriorment no haurien hagut de considerar els riscos basats en IA.  Per exemple, si un empleat està fent servir una plataforma oberta d’intel·ligència artificial per generar una oferta o que algú copiï i enganxi la propietat intel·lectual de l’empresa a ChatGPT”, afirma.

Arran d’aquestes consideracions noves, el director executiu de ciberseguretat de KordaMentha, Tony Vizza, creu que els especialistes de GRC (governança, risc i compliment) exerceixen cada vegada més un paper d’assessorament a les empreses. “Crec que cada vegada hi ha més consciència que el món de la ciberseguretat s’assembla molt a la medicina perquè si no estàs bé, vas al metge de capçalera… però el metge de capçalera no serà la persona que ho sàpiga tot, t’enviarà a l’especialista o et demanarà que et faci una exploració o una anàlisi de sang”, diu. “Realment, la seva feina és la de consultor, per dir-ho d’alguna manera, que coordina les especialitats diferents de medicina, i després torna amb els resultats i diu que això és el que cal fer… tanmateix, dintre de l’àmbit de la medicina hi ha un ecosistema complet de persones que s’especialitzen en àrees diferents, i estem veient que en el món de la ciberseguretat passa exactament el mateix.”

Vizza explica que en el passat, a les persones que treballaven en GRC les persones que eren molt tècniques els deien ‘no enteneu la tecnologia’, mentre que la gent de GRC els deia “el que passa és que no enteneu que la tecnologia no ho pot resoldre tot.” “Crec que ara estem començant a veure que en realitat calen els dos punts de vista.”

Els especialistes de GRC han d’estar equipats amb certs coneixements jurídics per poder assessorar amb èxit les organitzacions sobre el disseny de plans i marcs de governança i les millors pràctiques en ciberseguretat, per exemple. En reconèixer aquesta necessitat, Vizza, un especialista en GRC, està acabant els seus estudis de dret. “En els darrers anys, des d’aquesta perspectiva, hem vist com n’és de necessària la comprensió de l’espai regulador, més enllà que ‘sigui una qüestió de la Llei de Privacitat’. Quan es treballa amb organitzacions cal explicar com els afectarà si pateixen una violació de dades”, diu. “No cal ser advocat, però sí tenir el coneixement suficient i estar realment al corrent d’aquest panorama legal i regulador.” 

Ara, el personal de resposta a incidents necessita bones habilitats de comunicació

No només s’espera que els especialistes de GRC ofereixin els seus consells. Els equips de resposta a incidents, normalment valorats per les seves habilitats tècniques, es troben que cada vegada més han d’interactuar directament amb els clients. Segons David Ulcigrai, investigador sènior d’anàlisi forense digital i resposta a incidents de CyberCX, cal que els qui responen als incidents repassin les seves habilitats de comunicació oral i escrita. “El que estem notant és que el client no necessàriament espera que algú revisi un correu electrònic o revisi un informe abans d’enviar-lo, i això és el que solia passar, veníem a investigar, i trobàvem alguns resultats i al final els lliuràvem un informe escrit”, afirma.

“Ara, el client està més involucrat i vol saber-ne més durant aquest procés, per la qual cosa tothom ha de respondre, tothom ha d’estar disponible per respondre el telèfon i mantenir una conversa. La meva experiència era molt tècnica i la gent tècnica no són, necessàriament, els millors comunicadors per simplificar les coses. Però és una habilitat que s’aprèn, per tant, ara estem tractant de centrar-nos-hi.

 Què cal que tinguin en compte els responsables de la seguretat de la informació (CISO, en les seves sigles en anglès) a l’hora de contractar

Quan busca empleats nous, Ulcigrai, l’experiència del qual se centra en aeròdroms militars, diu que sempre està buscant persones tècniques amb capacitat d’aprendre. “No m’importa necessàriament de quin corrent tècnic vens… sempre que sigui d’aquest àmbit cibernètic o àmbit tècnic, especialment de l’àmbit de la resposta a incidents… però ara també m’interessa, quan la gent parla i jo els escolto, veure què diuen i si són capaços d’explicar-me’l, sigui quin sigui el tema, d’una manera que ho pugui entendre perquè això és cada cop més important en aquesta part de la comunicació”, diu. “Fa cinc o sis anys hagués triat un expert tècnic. Ara, si em calgués omplir un lloc de treball i tingués algú que no sigui tan fort tècnicament però que pugui comunicar-se, probablement triaria aquesta persona.

Corien Vermaak, directora de ciberseguretat de Cisco a Austràlia i Nova Zelanda, creu que la contractació de persones amb habilitats interdisciplinàries a més d’habilitats tècniques és cada cop més convenient. “Jo buscaria un enginyer o analista que pogués guiar les parts interessades en un viatge sobre què està passant amb aquesta infracció, en lloc d’entrar en un forat profund de discussions tècniques i perdre-les perquè recordi… a vegades els enginyers o els analistes que treballen en centres d’operacions de ciberseguretat han de passar a primera línia i informar sobre les dades.”

Aquests professionals han de comunicar els desafiaments, el plantejament del problema, també han de comunicar i formular plans, diu Vermaak, cosa per la qual han de tenir aquest pensament crític, habilitats en planificació, resolució de problemes, comunicació i redacció tècnica que ara mateix el sector no té. “Per tant, qualsevol que pugui demostrar-me que té bones habilitats interpersonals al voltant de les qualificacions tècniques o acadèmiques sempre obtindrà una classificació més alta en un procés d’entrevista laboral.”

La capacitació creuada ha esdevingut més important en el sector cibernètic, especialment mentre continua afectat a nivell mundial per la manca actual d’habilitats. “A causa de la manca de recursos, veig que els líders són molt creatius [en la manera de reclutar]. Al meu equip faig el mateix, perquè hi ha molts camps diferents que poden enriquir un lloc de treball. Realment, quan miro un candidat sempre penso de manera creativa. I al sector ho estic veient molt”, diu Vermaak. 

En última instància, la narrativa de com les empreses contracten ciberprofessionals està canviant, ja no es tracta només de les habilitats que ja tenen, sinó també si estan disposats a aprendre’n de noves. “Vull atraure persones amb una noció altruista que vulgui lluitar contra la delinqüència, però d’una manera no cruenta, que vulgui formar ser part de la solució, que vulgui pensar de manera crítica i resoldre problemes”, diu Vermaak. “Perquè una vegada trobis aquestes persones, la resta realment no importa. Saps que invertiran en habilitats i les desenvoluparan, i això és al que ens hem d’enfrontar.”