
03 Nov Contratistas en Bengasi
Las operaciones de Ciberseguridad y los profesionales especializados en ellas -aunque sean jóvenes- son fundamentales; pero lo son como parte de un engranaje más general en el que otros especialistas -en disciplinas como las enumeradas más arriba- desarrollan una función que resulta igualmente clave en un marco global de ciberprotección, dentro de una organización.
(Texto elaborado por Miguel García-Menéndez, CEO de Castroalonso y Vicepresidente de la Junta Directiva de Arco Atlántico de Ciberseguridad y Entorno Digital).
Cuando uno se acerca a su tercera década de recorrido profesional resulta inevitable advertir señales de un hecho incontestable: la juventud queda lejos. Naturalmente, la propia, puesto que la ajena se manifiesta con una espontaneidad cada vez más patente y cercana.
En ese punto, el socorrido recurso de la experiencia -de nuevo, la propia- puede tener un efecto balsámico, tranquilizador y autocomplaciente (“hemos llegado hasta aquí”, “no ha sido tiempo perdido”, “no lo hemos hecho del todo mal”, etc.); pero hay otras maneras de resignarse. Una de ellas puede ser mantener el contacto con la juventud -efectivamente, está Vd. en lo cierto: la ajena- y la mentoría tradicional es una excelente herramienta para lograrlo.
He tenido algún excelente mentor -hoy gran y apreciado amigo/maestro- y he sido, y soy, mentor. Lo fui, siendo joven, en mis primeros años de vida profesional, con estudiantes y profesionales aún más jóvenes que yo. Lo fui también, de manera informal -hoy tienen un programa específico1-, en la órbita de ISACA. Lo he sido en el trabajo -las firmas de consultoría suelen fomentar la figura del tutor/mentor para acoger a los consultores noveles-. Además, soy miembro, desde hace unos años, del programa de mentoría2 de la IESE Business School. Y lo soy, por primera vez, de la competición ‘amateur’ para estudiantes universitarios y de formación profesional de la “Liga de Retos en el Ciberespacio”3 de la Guardia Civil; nuestra -hay otras homónimas en otras geografías- afamada “National Cyber League”.
Mi participación en la promoción de la edición de este año de la GC-NCL, llevada a cabo en las semanas previas al inicio de la competición en diferentes centros académicos -escuelas de ingeniería y centros de formación profesional, principalmente-, me ha permitido estar en contacto con jóvenes entusiastas de la Tecnología y de la investigación en Ciberseguridad. Un entusiasmo plausible, a la vista del consenso generalizado sobre la carencia de vocaciones en materia de ciencias y tecnología, y la necesidad de fomentarlas; pero, que, a mi juicio, requiere ser debidamente moldeado si se quieren eludir ciertos mitos.
El mito del color rojo
No pocas veces, en el juego infantil del balompié resulta oportuno explicarles a los niños que no todos pueden ser delanteros y que no hay ninguna deshonra en actuar como defensas e, incluso, como cancerberos. En Ciberseguridad, los profesionales jóvenes -algunos ya no lo son tanto- tampoco han de caer en el desánimo si no son reclutados para incorporarse a un equipo rojo. (Si Vd. se mueve en este ámbito sabrá que ese color identifica a los atacantes). La Historia Universal está llena de héroes que lo fueron por adoptar actitudes o posiciones defensivas. Habitualmente, hasta la moderna mitología de los tebeos y las películas que de ellos beben dibuja a quienes atacan como supervillanos, reservando la gloria de ser superhéroes sólo a los defensores.
Sin duda, hay vida más allá del rojo, y lucir el color azul de los equipos especializados en la ciberprotección de infraestructuras y organizaciones tiene un mérito nada desdeñable.
El mito de la corbata
He conocido a algún investigador de la Ciberseguridad que se sentía agraviado cuando una empresa de servicios profesionales lo contrataba como consultor en esa disciplina. (“¡Puf! Ahora me dicen que soy consultor. Yo lo que soy es ‘redteamer’4”).
Al parecer, la ofensa tenía su origen en la supuesta -a su criterio- decoloración que sufría su indumentaria roja a la luz de sus nuevas responsabilidades. No digamos si, además, tenía que vestir traje oscuro, camisa blanca y corbata a juego.
Es cierto que actualmente las corbatas están empezando a perder su estatus de complemento de moda. Y no lo es menos la aversión que sienten muchos de esos investigadores de la Ciberseguridad hacia ellas (y, peor aún, hacia quien las lleva).
Nunca he entendido por qué la gente confunde ser ecologista con ser ‘hippie’. Desconozco en qué medida llevar una melena descuidada, una barba espesa y un grueso jersey de lana ofrecen una mayor garantía de ser un individuo en pro del medioambiente. Como si un sujeto con aspecto más “convencional” no pudiese tener la misma o mayor conciencia en favor del bienestar del planeta. Cuando se trata de Ciberseguridad me asalta el mismo tipo de duda.
Recuerdo cómo un profesor nos dijo en cierta ocasión: “Olvídense -nos trataba de
Vd.- de la imagen del ingeniero con corbata; los tiempos han cambiado”. Sin embargo, confieso que de eso han pasado treinta años y aún sigo saludando a diario a colegas y clientes encorbatados. (Bien es cierto que cada vez a menos).
El mito del gremialista (o mito del contratista)
“¡Eso no es ciberseguridad!”, he oído recientemente durante la gira de presentación de la GC-NCL. Lo he escuchado varias veces y de fuentes distintas -todas ellas jóvenes investigadores de la Ciberseguridad-.
Se referían, en todos los casos, al montón de actividades relacionadas con la Ciberseguridad (definición de estrategias, gestión de proyectos, cumplimiento normativo, comunicación corporativa, diseño de cuadros de mando, etc.) no vinculadas, a priori, con la ejecución de tareas estrictamente técnicas.
Como ocurre con los tipos de las corbatas, quienes se dedican a este tipo de tareas -muchas veces son los mismos y con el mismo atuendo corporativo- suelen tener muy mala prensa entre los jóvenes investigadores de la Ciberseguridad. El comentario más suave y recurrente entre los gremialista de “lo cíber” suele ser aquello de “¡Estos tíos no tienen ni p… idea!”.
Indudablemente las operaciones de Ciberseguridad y los profesionales especializados en ellas -aunque sean jóvenes- son fundamentales; pero lo son como parte de un engranaje más general en el que otros especialistas -en disciplinas como las enumeradas más arriba- desarrollan una función que resulta igualmente clave en un marco global de ciberprotección, dentro de una organización.
La película de 2016 “13 horas: Los soldados secretos de Bengasi”5, dirigida por Michael Bay, y que narra lo ocurrido en el complejo diplomático de los EEUU en Bengasi (Libia) el 11 de septiembre de 2012, constituye una perfecta metáfora de este tipo de engranajes en los que se combina la operación de la seguridad -en manos de un equipo azul (defensivo) de libro- con el resto de las actividades, ayudando a poner a cada uno en su lugar. Y nadie mejor para esto último que el jefe de la misión, Bob (David Costabile), veterano agente de la CIA, quien, en un acalorado diálogo con el jefe del equipo azul, Tyrone ‘Rone’ Woods (James Badge Dale), le dice a éste lo siguiente:
“Nosotros somos espías; vosotros, guardias de seguridad […] no sois de la CIA, sois el servicio. No lo olvides”.
Poco después, el mismo Bob terminará rematándolo con el mensaje de bienvenida que le dedicará al recién llegado Jack Silva (John Krasinski):
“Tenemos las mejores mentes de la CIA, educados en Harvard y Yale, haciendo trabajos importantes. Lo mejor que puedes hacer es no molestarlos”.
Sin duda, el equipo azul que capitanea Rone, formado por seis experimentados antiguos miembros de diversos cuerpos de operaciones especiales, es el protagonista absoluto de la cinta; y el propio Bob es -nunca mejor dicho- el malo de la película (excluidos los insurgentes libios). Sin embargo, ese ensalzamiento de los contratistas de seguridad que ofrece el guion no les da una posición de privilegio en el organigrama del complejo.
Afortunadamente, en las últimas semanas, junto a las declaraciones de los jóvenes a que me he referido, también he tenido la oportunidad de escuchar a varios veteranos de nuestro sector. Se trata de profesionales con el suficiente bagaje técnico como para que sus recomendaciones y consejos lleguen perfectamente audibles a la comunidad más novel. En primer lugar, Joaquín “Kinomakino” Molina declaraba en Oviedo, en su reciente charla para AsturCON.tech: “Yo no digo que os paséis al lado oscuro, yo no digo que os compréis una corbata; pero tener el contrapunto de gestión de esas cosas que hacéis técnicamente os va a ayudar”, al tiempo que animaba a la audiencia a tomar los marcos de cumplimiento normativo como punto de partida de las diferentes pruebas a realizar sobre los sistemas objeto de evaluación. Unos días después, esta vez en León, tenía la oportunidad de compartir mesa con Román “PatoWC” Ramírez. Román como buen conocedor de ambos dominios también señaló la necesidad de hacer convivir las aproximaciones técnicas con las de gestión como garantía de éxito de cualquier iniciativa de Ciberseguridad.
Confío en que consejos como los de Joaquín y Román ayuden a los investigadores de la Ciberseguridad de nueva hornada a comprender el contexto en el que habrán de desarrollar su actividad profesional; confío en que les impulsen y les hagan crecer; y, en definitiva, confío en que les eviten ser tratados en el futuro como contratistas en Bengasi.
La propia GC-NCL aporta algo más que un grano de arena, al hacer confluir disciplinas como la tecnológica, la jurídica y la de la comunicación en la composición de todos y cada uno de los equipos que participan en la competición.
- ISACA Mentorship Program (Programa de Mentoría de ISACA). URL: https://mentorship.isaca.org/
- IESE Mentoring Program (Programa de Mentoría de la IESE Business School). URL: https://iese.mentorcloud.com/
- Liga de Retos en el Ciberespacio de la Guardia Civil (National Cyber League). URL: https://www.nationalcyberleague.es/
- ‘readteamer’, tomado del inglés, literalmente, miembro de un ‘equipo rojo’.
- International Movie Data Base (IMBD): “13 Horas: Los soldados secretos de Bengasi”. URL: https://www.imdb.com/title/tt4172430/
Sin comentarios