El valor fundamental en toda empresa de servicios es el capital humano. Y el valor propio de ese capital humano se constituye de varias columnas: desde los valores personales, la responsabilidad, la personalidad, la educación y, sobre todo, la capacidad del mismo para aprender.
Fallos al momento de contratar
En el mundo de la seguridad informática de Perú nos encontramos de manera reiterativa con empresas que al buscar determinados servicios, encasillan estos a los exámenes instruidos por el personal de la empresa contratada en vez de ir más allá. Por poner un ejemplo, si se busca un servicio de Ethical Hacking, se piden exámenes de CeH, ISO, ITIL, CISSP y OPST, entre otros, como única herramienta para comprobar la veracidad del capital humano.
Esto conlleva a los ingenieros a estar más tiempo capacitándose que entrenándose, lo cual no es directamente compatible y el costo/beneficio para el mercado no termina de ser de valor agregado, debido a que las soluciones pedidas son de índole técnico. Los exámenes que se realizan hoy en día tienen un nivel técnico de muy poca profundidad y están más orientados a la gestión del servicio y la correcta redacción de informes gerenciales. Los cursos prácticos, donde se instruye sobre el uso de herramientas actuales implementadas en máquinas virtuales son muy escasos, y las universidades por normativas internas no permiten este formato en sus curriculares.
El resultado de esta catástrofe son ingenieros con un CV impresionante, que se pasaron la mayor parte de su carrera estudiando, pero que a la hora de “hackear”, de pensar como un atacante, de utilizar herramientas novedosas, y de demostrar la real seguridad (o falta de la misma) en las empresas para luego poder defenderla se sienten incapaces o lo dejan a mano de herramientas comerciales estándares en vez de su propio ingenio.
Profesionales en serie
El mercado mismo es el generador de esta problemática, debido a que las empresas contratan más por las certificaciones que ve en un CV que por las pruebas técnicas que le realizan al postulante. Este es otro gran deficiente en la industria de la seguridad, que genera que las personas que buscan trabajo intenten certificarse en todas las marcas, productos y servicios posibles para sacar ventaja en la búsqueda laboral en vez de entrenarse para ello.
La capacidad de aprender
La autodidaccia del personal es intangible y es entendible que se tiene que parametrar el conocimiento de los ingenieros con algo comprobable del lado del cliente y los integradores de servicios. Pero el efecto de consultar a clientes anteriores, de realizar una “prueba” previa entre los postulantes al servicio, de estudiar la trayectoria y experiencia del personal, se pierde entre certificados. Esto genera una capacidad práctica obtusa en el mercado actual y la disconformidad de cientos de empresas ante este tipo de servicios por su deficiencia en la búsqueda de buen capital humano.
Por eso es importante estimular a los ingenieros a capacitarse por sí solos, a aprender las novedades del mercado, a reunirse con pares de otras industrias, con competencias, a compartir experiencias, buscar cursos más “under”, explorar en la web, consultar por técnicas que desconocen.
Reconociendo el valor humano
Se necesitan más empresas que inviertan en redes inalámbricas internas para estudiar cómo se rompen, que inviertan en dispositivos móviles para probar la seguridad de distintas plataformas, que vayan a conferencias más técnicas y menos comerciales, que realicen “días de entrenamiento”.
También necesitamos exámenes de ingreso más prácticos a las entidades. Si buscan un Ethical Hacker, pídanle que ingrese a su red. Denle una IP para comprobar qué y cómo puede lograrlo. Si piden un administrador de red, pídanle que reordene las políticas de su Firewall de Perímetro, que realice un Hardening a un sistema operativo. Pregúntenle al recurso en qué es bueno técnicamente y qué es lo que más le divierte e impúlsenlo a mejorar en eso. Búsquenle desafíos, porque luego de darle 4 Certificaciones el personal se va, pero luego de enseñarles algo de valor esa persona adquiere un sentido de pertenencia muchísimo mayor hacia la empresa.
Tomar acción para inspirar
Se necesitan más universidades que se animen a fomentar clases más prácticas, que contraten a ingenieros o “Hackers” de renombre, que formen alianzas con empresas especializadas, que inviten a profesionales a realizar talleres prácticos y que eduquen el “como” en vez del “porque” o la solución política seguida del desastre.
Hay que inspirar a un nuevo modelo de educación general, porque el enemigo año a año nos saca más ventaja mientras nosotros nos robotizamos con Gerenciamiento/Estándares/Normativas, y ante un ataque lo único que nos va a quedar es saber contar “los activos dañados y su valor interno” para ponerlo en un lindo informe.
CV vs habilidades aprendidas
Debemos sentir la responsabilidad de volvernos más reactivos ante los daños ocasionados, de ser más preventivos ante los futuros daños y de inculcar una mentalidad igualmente competitiva que los “hackers” del mercado negro. En estos tiempos quizás no se vea reflejada proporcionalmente en términos económicos este conocimiento más profundo, pero al corto plazo será largamente redituable. Porque estamos ante un mundo en donde la seguridad año a año se vuelve más importante, donde todo se virtualiza, se lleva a la nube, se globaliza.
Donde la información cada vez está más fácilmente al alcance de la mano. Y por este motivo es que necesitamos entrenar a nuestras tropas, porque estamos al filo de una guerra mucho más complicada, en donde vamos a ser mucho más necesarios. Y cada vez nos queda menos tiempo en este mundo lleno de siglas importantes, CVs impresionantes, cursos resonantes…. y h