Blog - Seguridad | Informática

Usar puntuación: / 7
MaloBueno 

En esta segunda parte de ¿Hacking ético in-house? (ver parte 1), se desarrollarán los temas de entrenamiento y software.

Entrenamiento

Siguiendo con nuestra lista de costos a ser analizados tenemos el entrenamiento de la persona o equipo encargado de hacer las pruebas y auditoría. En el mercado nacional hay entrenamientos bastante básicos desde USD 250 por persona, hasta algunos más profundos y avanzados que pueden llegar a costar alrededor de los USD 1,500. Para hacer una decisión en este tema se debe ver el currículo del curso y la experiencia de los capacitadores.

Si se toma la decisión de capacitar al personal, se debe hacer un espacio en la agenda para que puedan asistir a los cursos (si se requiere que lleven el curso en forma más rápida) o hacerlos asistir en días no laborables.

Una vez hecho el entrenamiento no hay que dejar de lado que en la actualidad la demanda por profesionales con este tipo de conocimientos está en crecimiento por lo que habría que ajustar su remuneración conforme a sus nuevas habilidades en el mercado laboral. Incluso es común en ámbitos nacionales hacer firmar al empleado para que se responsabilice por el pago del 50% o incluso la totalidad del entrenamiento si decide irse a otra empresa dentro de un tiempo determinado.

Si el empleado tenía conocimientos de Inseguridad Informática previos al curso, es muy probable que haya aprovechado el curso y que se sienta un poco más cómodo para cumplir tareas de auditoría. Si por el contrario el empleado ha tocado por primera vez los temas de hacking ético en la capacitación, tendrá que seguir repasando el material y practicando por un periodo mientras hace suyos los conocimientos impartidos en el curso.

Como último comentario acerca de este factor de costo, deberá recordar que la industria del cibercrimen tiene nuevos vectores de ataque creándose diariamente, por lo que deberá capacitar a su personal por lo menos cada 6 meses para mantenerlos actualizados. De no seguir esta última recomendación se puede llegar a un severo caso de ceguera organizacional en cuanto a seguridad informática. Imagínese compartir cierta información de alguna forma que usted cree como segura pero que en realidad no lo es en absoluto.

Una alternativa recomendada para actualizar al personal es enviarlos a eventos y charlas de Seguridad Informática que se brindan con cierta frecuencia. Si bien el conocimiento que se brinda en estas conferencias no es completo, es mejor que no recibir ningún tipo de actualización.

Software

Este factor de costo presenta muchas variantes. Existe software libre y licenciado, con excelentes representantes en ambos casos, la diferencia está en la curva de aprendizaje que tienen.

En el caso de herramientas de software libre como Metasploit o w3af, muy buenas por cierto, tienen algunos aspectos automatizados, pero usted querrá que su personal de pruebas sepa manejar estas herramientas en forma manual y especializada, créame.

La desventaja en este punto es que dominar estas herramientas libres a un nivel avanzado tiene una curva de aprendizaje larga y empinada en comparación a las herramientas licenciadas que automatizan muchas de las tareas y que son más fáciles de usar pero que muchas veces dan como resultados varios falsos positivos.

La decisión bien podría tomarse comparando los miles de dólares y días para utilizar una herramienta licenciada, contra la cantidad de semanas que se necesitaría para empezar a trabajar a nivel intermedio y con cierta comodidad bajo una herramienta libre.

Obviamente la decisión de compra del software estará determinada por el presupuesto, tamaño de la organización, nivel de habilidades de los auditores de seguridad informática y las tecnologías usadas por la organización, que luego serán el objetivo a ser auditado.

Próximamente Parte 3 Final del Artículo.