En 1976, cuando Cresta El presidente Ian Glover fue a hablar con el asesor de carreras de su escuela, la seguridad cibernética como sabemos que no existía, el concepto de STEM (ciencia, tecnología, ingeniería y matemáticas) como disciplina aún no estaba formada, y las computadoras no eran algo en lo que los maestros entendieran que se podía tener una carrera. Pero perseveró.
“La idea de que una computadora pudiera llevar a alguien a la Luna fue una de las principales fuerzas motrices para mí”, dice Glover a Computer Weekly. “Pero tuve un terrible consejo de carrera en la escuela. Yo era muy bueno soldando y muy bueno con el torno, así que intentaron que me metiera en esas áreas. Dije que quería ser ingeniero de diseño de sistemas y no tenían idea de qué era eso. Así que fui y conseguí un trabajo «.
Como alguien que ingresó a TI en sus años de formación (Computer Weekly tenía solo 10 años en 1976), Glover forma parte de una cohorte de personas que disfrutaba del relativo lujo de poder orquestar su propia carrera, buscar nuevas oportunidades y cambiar. todo sucedió tal como se desarrolló el mundo de la informática.
Su trabajo habla de esto, llevándolo a lo largo de los años al Ministerio de Defensa (MoD), donde trabajó en los primeros proyectos de inteligencia artificial militar (IA), y al gobierno Agencia Central de Informática y Telecomunicaciones (CCTA), que desarrolló la primera estrategia nacional de seguridad de la información del Reino Unido y una serie de otras metodologías, antes de ingresar al sector privado a fines de la década de 1990, fundando su propia consultoría, Insight, que posteriormente se vendió a lo que entonces era Siemens Enterprise Communications ( SEC – ahora Atos Unify), donde permaneció hasta 2008.
Cresta – o el Council of Registered Ethical Security Testers, para darle su nombre completo – se formó a finales de 2008 con la premisa de que la industria de los servicios de seguridad era, en palabras de Glover, «un poco como el Salvaje Oeste», y algo tenía que ser hecho al respecto.
«Era realmente difícil comprar servicios de buena calidad, no tenía idea de a quién le estaba comprando, realmente no entendía qué era lo que estaba comprando y no podía tomar medidas si las cosas salían mal», dijo. dice.
«Eso, para mí, fue un gran problema: la posibilidad de una probador de penetración hacer cosas inapropiadas o derribar accidentalmente el sistema era bastante alto. Entonces, buscamos tratar de profesionalizar la industria. La industria había sido muy buena conmigo, el gobierno había sido muy bueno conmigo en términos de darme una educación y una oportunidad, por lo que tenía tres criterios principales.
“Cualquier cosa que profesionalice la industria, Crest encaja absolutamente en ese soporte; cualquier cosa que apoyara a los jóvenes en sus carreras, en particular dándoles oportunidades donde no veían que había una oportunidad, entonces lo haría; y cualquier cosa que proteja a los jóvenes vulnerables. El único trabajo que he hecho durante los últimos 12 años más o menos se ha orientado hacia esos tres objetivos principales y Crest encaja muy cómodamente dentro de cada uno de esos criterios «.
Una década de crecimiento
Desde su fundación, Crest ha pasado de ser una pequeña organización sin fines de lucro centrada en el Reino Unido a una organización mundial con poco menos de 200 empresas miembros a nivel mundial, regional o nacional.
“La forma en que opera es que acreditamos a aquellas organizaciones que analizan sus políticas, procesos y procedimientos”, dice Glover. “Hacemos auditorías in situ, realizamos evaluaciones técnicas cuando corresponde y las podemos realizar en cualquier parte del mundo. Y acreditamos empresas en pruebas de penetración, ciberseguridad, respuesta a incidentes, análisis de vulnerabilidades, inteligencia de amenazas, y también acreditamos SOC [Security Operations Centres].
“Esto es a través de una combinación de auditoría en papel, auditoría in situ y evaluación técnica, por lo que es un listón bastante alto y todavía tenemos más solicitudes en proceso que miembros. Es algo bastante difícil de alcanzar para las organizaciones «.
Crest afirma que sus acreditaciones son cada vez más buscadas en la comunidad de compradores, particularmente en los EE. UU., Donde dice que a un número creciente de especialistas en servicios de seguridad se les pregunta regularmente si son miembros de Crest cuando se licitan para un trabajo.
Glover atribuye esto al tamaño y la complejidad crecientes del mercado de la seguridad. “Los servicios de seguridad son cosas difíciles de comprar”, dice. “¿Cómo sale exactamente y compra una prueba de penetración si no lo ha hecho antes? ¿Cómo sabe que el servicio SOC que está contratando es bueno, malo o indiferente? Eso no es algo fácil de identificar para un programa de adquisiciones tradicional; estamos haciendo el trabajo pesado en nombre de la comunidad de compradores y también estamos estableciendo buenas prácticas «.
Del consejo a la opinión
Ahora que el mercado de la seguridad ha crecido significativamente y los proveedores de servicios de seguridad han pasado de las boutiques a las marcas de renombre, esta necesidad es cada vez mayor, dice Glover. Agrega que los compradores ahora se están dando cuenta de que si contratan sus servicios de seguridad a organizaciones estructuradas que respaldan sus afirmaciones tecnológicas con habilidades certificadas y mejores prácticas, obtienen mejores resultados.
También reconoce que consultoría de seguridad pronto comenzará a pasar de una práctica basada en el asesoramiento a una práctica basada en la opinión. “Todavía no hemos hecho eso como industria, pero creo absolutamente que esa es la dirección del juego”, dice.
Pero, ¿qué significa eso realmente? Glover explica: “En este momento, brindamos asesoramiento y orientación. Miramos sus sistemas y decimos ‘eso no es muy bueno, debería corregirlo’. Eso es un consejo. Pero lo que estamos viendo ahora bajo GDPR [General Data Protection Regulation] y otras regulaciones si se le pregunta si ha tomado las medidas adecuadas para proteger sus datos; de lo contrario, el regulador tomará medidas reglamentarias o lo multará con una gran cantidad de dinero.
“Así que ahora nos estamos moviendo hacia esta área donde los consultores de seguridad tienen que ser auditores profesionales y decir, en nuestra opinión profesional, esta organización ha tomado o no las medidas adecuadas para proteger sus datos. Será un cambio significativo en el mercado de servicios de seguridad. Estamos bien preparados para hacerlo, pero no sucederá sin algo de dolor y, sin duda, un cambio de mentalidad entre los miembros de Crest «.
Este cambio de mentalidad será necesario porque, bajo este modelo, los consultores de seguridad se encontrarán con restricciones similares a las que tendrían si brindaran otros servicios en los que dan una opinión profesional, como auditoría financiera.
Hay mucho riesgo y responsabilidad personal asociados con este tipo de actividad, como Glover recuerda de su tiempo en el directorio de la SEC, cuando tuvo que leer y comprender los informes que se le presentaban a fondo, porque firmarlos lo hacía personalmente responsable. A medida que la regulación como GDPR se generaliza, esto es algo que los CISO aún no han comprendido.
“Se necesita educación para tratar de ayudar a los profesionales de la seguridad a comprender la dirección del juego”, dice. “No creo que sea un gran cambio de la asesoría a la rendición de cuentas, pero es un cambio y será un cambio tanto para la organización como para las personas, porque esa organización será responsable del asesoramiento y la orientación que brinde en ese servicio basado en opiniones «.
Desafíos adelante
Pero el camino a seguir para este nuevo modelo de servicios de seguridad no estará exento de desafíos, dice Glover. “El modelo que presentamos en términos de organizaciones confiables con individuos acreditados vinculados con códigos de conducta efectivos suena, en una oración, como algo realmente fácil de hacer, pero en realidad es bastante difícil de lograr. Tenemos que arreglar las cosas «.
Muchos de estos desafíos se centrarán en la legalidad y el comportamiento ético, como qué constituye una infracción de GDPR o cómo ejecutar ataques de phishing simulados o pruebas de penetración, áreas en las que Glover dice que claramente hay algunas áreas grises.
“Adopte métodos disruptivos, como programas de recompensas de errores de colaboración colectiva”, dice. “Necesitamos entender cómo pueden operar dentro de un entorno regulado y necesitamos entender cómo podemos controlar el acceso a ellos.
“Si abre su sistema a un programa de recompensa por errores, es muy difícil apagarlo, por lo que debe hacerlo en un punto particular de madurez, no puede hacerlo demasiado pronto. Pero si no actúa sobre las observaciones que surgen de ellos, entonces, ¿a dónde va legítimamente esa información? Esa es una pregunta bastante difícil de responder «.
Sin duda, agrega Glover, equivocarse en el caso de una violación de datos importante podría hacer que los profesionales de la seguridad sean sancionados legalmente en los tribunales, por lo que es importante que el proceso de certificación sea estanco.
El proceso de Crest ya es comparable, en términos de tiempo necesario para lograrlo, a convertirse en un contador público con el ICAEW – un proceso de tres años si se entrena con una práctica de los “Cuatro Grandes” (Deloitte, EY, KPMG y PwC).
“Nuestras calificaciones llegan alrededor de 2.500 horas después de un buen título, luego sube a aproximadamente 6,000 horas para nuestro nivel registrado y aproximadamente 10,000 para nuestro nivel certificado”, dice Glover.
“Nuestros profesionales pueden trabajar en estas asignaciones con soporte, nuestro nivel registrado puede trabajar sin soporte pero no puede firmar, y nuestro personal de nivel certificado es operativamente competente y puede firmar. Tenemos cerca de 4.000 personas certificadas y estamos construyendo relaciones internacionales con otros organismos de certificación profesionales a nivel mundial «.