Hay muchas áreas diferentes de ciberseguridad en las que trabajar y la creciente superficie de ataque significa que casi todas las empresas están buscando talento en infoseguridad .

Para saber más sobre un tipo de función, SiliconRepublic.com habló con Judy Kelly, miembro del equipo de validación de arquitectura del grupo de seguridad de productos de Red Hat.

Kelly es licenciada en informática forense y seguridad por el Waterford Institute of Technology y ha trabajado en Red Hat en diversas funciones relacionadas con la seguridad, como la elaboración de modelos de amenazas.

Kelly dijo que el proceso de modelado de amenazas es un enfoque que los equipos de ingeniería pueden adoptar para ayudar a identificar los puntos débiles de la seguridad en la fase de diseño de lo que están trabajando.

Cuando se adopta de forma temprana, permite identificar y mitigar las amenazas, aumentando la seguridad de un producto de forma rentable.

«Formalmente, la modelización de las amenazas, esbozada por OWASP La Comisión Europea ha creado un proceso en el que se identifican y califican las posibles amenazas en función de su gravedad y se discuten las posibles medidas para mitigarlas», dijo.

«De manera menos formal, el modelado de amenazas se produce cuando se piensa en cada decisión que se toma en el sistema que se está creando y se extrapola cómo pueden afectar a su seguridad de manera inmediata o en el futuro».

Aunque hay muchas herramientas en el mercado que pueden ayudar a los equipos de seguridad a ser más eficientes, Kelly dijo que es importante destacar que el modelado de amenazas es un proceso más que una herramienta.

“Tools by themselves cannot currently take the place of humans reasoning about how other humans would attack a system,” she said.

«Nuestro equipo considera el modelado de amenazas como un deporte de equipo, ya que creemos que es más eficaz cuando varias partes interesadas se reúnen para examinar un sistema desde diferentes ángulos: desarrolladores, arquitectos, ingenieros de calidad, junto con especialistas en seguridad.

«Los especialistas en seguridad, como yo, hacen preguntas para conocer mejor los controles de seguridad existentes, el objetivo es que todos salgan con un mejor conocimiento de los riesgos que afectan al producto».

Los retos de trabajar en seguridad

Si bien las funciones de infoseguridad pueden ser extremadamente emocionantes, el panorama de las amenazas, en constante evolución, puede suponer un reto para quienes trabajan en el sector.

Más concretamente, Red Hat es uno de los principales defensores del software de código abierto, que puede conllevar su propio conjunto de problemas de seguridad.

«Red Hat invierte considerablemente en el mantenimiento del software de código abierto durante toda la vida de cada producto. En el caso del software soportado que distribuimos, asumimos la responsabilidad no sólo de soportarlo, sino también de abordar cuestiones de gran interés, como la seguridad», afirma Kelly.

«El Manifiesto sobre la modelización de las amenazas Los valores son utilizados por nuestro equipo como nuestra estrella del norte y como base para superar cualquier reto al que nos enfrentemos».

Otro reto que Kelly ha visto en el espacio de la seguridad es el de la diversidad. Aunque en los últimos años se ha producido un cambio positivo en el número de mujeres que trabajan en la ciberseguridad y su propio equipo está formado a partes iguales por hombres y mujeres, no es inmune a los retos a los que se enfrentan las mujeres en la industria tecnológica.

«Como mujer que hizo pivotar mi carrera a principios de los 40 años en la industria tecnológica, puedo hablar de primera mano de los retos a los que me enfrenté. Por ejemplo, fui la única mujer y la única estudiante madura que se graduó en mi curso en 2019. Los gestores de contratación con mentalidad «innovadora» deberían revisar las prácticas de contratación tradicionales», afirma.

«Los responsables de contratación que anteponen las personas a la tecnología están dispuestos a invertir en el desarrollo de las personas financiando prácticas remuneradas y considerando la posibilidad de realizar retornos en los que las personas que se reincorporan a la fuerza de trabajo puedan tener la oportunidad de perfeccionar sus habilidades y desarrollar competencias y experiencia muy necesarias. Red Hat y sus gestores de contratación con visión de futuro hicieron esto por mí».

10 cosas que necesitas saber directamente en tu bandeja de entrada cada día de la semana. Inscríbase en el Resumen diario El resumen de Silicon Republic de las noticias esenciales de ciencia y tecnología.