Trabajar en seguridad: Un día en la vida de un miembro del equipo CSIRT
Como muchos otros profesionales de la ciberseguridad, mi pasión por los ordenadores comenzó en la infancia. Recuerdo aprender mis primeros comandos de DOS para poner juegos y navegar por los directorios, sentir curiosidad por saber qué habría ahí dentro (es decir, tanto en el sistema operativo como en el propio hardware) y preguntarme cómo funcionaba todo aquello. Mi curiosidad se desbordó con la llegada de la primera conexión a internet y la posibilidad de buscar información en línea y aprender por mi cuenta.
En el instituto, aprendía lenguajes de programación y redes hasta que un día uno de los alumnos de los cursos superiores se acercó a mí y me dio un CD de videojuegos que intenté instalar en mi ordenador sin conseguirlo. Unos días más tarde, mientras chateaba en internet con mis amigos, el ordenador empezó a actuar de forma descontrolada: el lector de CD se abría y se cerraba, el fondo de pantalla cambiaba y apareció un cuadro de texto con un mensaje de aquel chico.
En aquel momento, no relacioné ambos hechos porque ni siquiera sabía que podía instalarse malware para hacer ese tipo de cosas. Pero aquello me impresionó y me hizo querer entender cómo funcionaba, así que me dediqué a estudiar los aspectos informáticos relacionados con la seguridad.
Después de graduarme, trabajé como administrador de redes y luego como administrador de sistemas, antes de conseguir mi primer empleo como analista de ciberseguridad. Luego trabajé en un centro de operaciones de seguridad durante muchos años antes de entrar finalmente en Salesforce como responsable de especialista en incidentes para el equipo CSIRT, nuestro equipo de respuesta a incidentes de ciberseguridad.
Como podrá imaginarse, la ciberseguridad implica muchos tipos distintos de riesgo y detección. Entonces, ¿cuáles se consideran un incidente y cómo respondemos?
Le advierto de que el contenido será algo técnico.
Empezando por el principio, Salesforce define los incidentes de seguridad de la información como una vulneración de la seguridad confirmada o de la que hay sospechas razonables que puede dar lugar a una destrucción, pérdida, alteración o revelación no autorizada o acceso accidental o ilegal a datos transmitidos, almacenados o procesados de algún modo por Salesforce y sus terceros.
Y básicamente, el CSIRT es el responsable de la detección y el escalado ininterrumpidos de estos incidentes de seguridad de la información, así como de la respuesta a los mismos. Parece sencillo, ¿no? Pues es una labor ciertamente compleja y desde luego no podríamos llevarla a cabo sin ayuda.
El CSIRT colabora estrechamente con equipos de todo el mundo para lograr nuestro objetivo de ser el primer centro de respuesta de seguridad de proveedores de la nube y ofrecer una capacidad de repuesta de primer nivel. La clave realmente es respaldar la confianza como valor primordial de Salesforce. Para ello, trabajamos con un modelo de servicio internacional basado en zonas horarias, según el cual los equipos de las distintas regiones trabajan en diferentes zonas horarias (p. ej., Asia, Europa, América) y, al término de su jornada de trabajo, ceden el testigo a otra zona, ofreciendo así asistencia 24×7 los 365 días del año.
No subestime nunca la importancia de estar preparado
Como proveedor de servicios esenciales para muchas de las empresas, gobiernos y organizaciones más importantes y críticos del mundo, Salesforce integra la seguridad en todo aquello que hace. Esto incluye crear una cultura de la confianza y la seguridad en toda la organización, educando a los usuarios acerca de qué buscar y estar preparados para responder rápidamente si surge algún incidente.
Adoptamos una estrategia de seguridad basada en una defensa en profundidad, o lo que es lo mismo, intentamos limitar la posibilidad de que haya un solo punto de fallo. Para ello, diseñamos una infraestructura de capas de tecnología, procesos y personas. Si aun así hay algún problema, contamos con más de 1400 profesionales de la seguridad y decenas de herramientas, procesos y estrategias de seguridad de primer nivel para evitar y detectar cualquier amenaza de seguridad y responder a ella.
Aun así, nuestro equipo no solo se centra en herramientas y tecnología. De hecho, algunas de las habilidades más importantes que poseen los miembros del equipo de CSIRT tienen más que ver con la comunicación, la resolución de problemas y la organización que con otros aspectos. En mi puesto como responsable de respuesta a incidentes, mi jornada suele empezar con una reunión de transferencia, en la cual los equipos regionales revisan cualquier incidente relevante y preparan al siguiente equipo para que pueda hacer su trabajo eficazmente. Asegurarse de que todos tengan la información que necesitan evita los silos y permite tomar mejores decisiones conforme se desarrollan los acontecimientos.
El trabajo en equipo es el trabajo ideal
Supongamos que nos acaban de informar de que ha habido un nuevo incidente durante nuestro turno. El primer paso, tanto si nos ha informado otra persona o un sistema, es el triaje, que implica clasificar y priorizar el evento. Luego, si el evento se ha clasificado como incidente, se le asigna una categoría y un nivel de gravedad.
A partir de aquí, el gerente o responsable de la gestión de incidentes (cuya función consiste en crear y dirigir la estrategia de respuesta, gestionar las operaciones y delegar las actividades en un grupo de especialistas de respuesta a incidentes) desarrolla un plan. Después asignaran a uno o varios especialistas en respuesta a incidentes las labores de investigar, contener y remediar el problema.
Como especialista en respuesta a incidentes, mi labor consiste en llevar a cabo análisis técnicos e investigaciones en respuesta a los incidentes. Me corresponde encontrar respuestas a numerosas preguntas: ¿Qué ha sucedido? ¿Cuándo ha sucedido? ¿A quién ha afectado? ¿Quién o qué ha provocado el incidente? ¿En qué ubicación física o virtual se ha producido? ¿Y cómo ha pasado algo así?
La última parte consiste en actividades posteriores al incidente, en el que se lleva a cabo un análisis de causa raíz para identificar y revelar el origen del incidente. Durante una investigación cualquiera, mi jornada puede incluir análisis forense del host y la red, análisis de registros (terabytes o incluso petabytes de datos), investigación sobre malware y colaborar con diversas partes interesadas. Y al final del turno, hay otra reunión de transferencia para que la siguiente región continúe con el proceso.
¿Conlleva mucha presión? En ocasiones. ¿Plantea retos? En el buen sentido. ¿Requiere conocimientos técnicos? Claro que sí. Una formación continua resulta esencial para mantenerse al día en la plantilla de ciberseguridad, y este campo ofrece numerosas oportunidades para actualizarse.
Mi itinerario personal incluye diversas certificaciones (CCNA, CCNA Security, ISACA CISM, EC-Council CEH, [ISC]2, CISSP, CSA CCSK), diversos cursos y materiales de autoaprendizaje (vídeos, libros), fuentes de noticias, podcasts y asistencia a conferencias. Es un camino en el que nunca se deja de aprender, un camino que sigo recorriendo: ahora a través de un máster en Ciberseguridad y un curso sobre SANS SEC504 (junto con la certificación GIAC GCIH, espero).
¿Quiere empezar a perfeccionar sus habilidades con los conocimientos más actuales en ciberseguridad? Eche un vistazo al Centro de aprendizaje sobre ciberseguridad, en el que podrá adquirir credenciales que realzarán su currículum, explorar rutas de aprendizaje guiado, obtener más información de profesionales de la seguridad y conectar con toda nuestra comunidad de ciberseguridad.
En Salesforce, nos dedicamos a diseñar una plantilla que sea reflejo de las diversas comunidades a las que servimos, en la cual todos se sientan capacitados para trabajar tal y como son. Nuestros valores no son solo palabras en una página, los llevamos a la práctica a diario, medimos nuestros logros y evolucionamos constantemente. Juntos, tenemos una misión para mejorar el estado de nuestro planeta.
¿Quiere formar parte de este increíble equipo? Venga con nosotros, estamos buscando a gente apasionada como usted.