Contratación Gamificada: Se buscan Hackers

Los hackers ‘éticos’ ayudan a organizaciones y agencias de gobierno a encontrar brechas en sus sistemas de seguridad, para que estos se puedan arreglar.

Por: Jyoti Acharya, Asesor de Administración de Vulnerabilidad en la práctica de Ciberseguridad de TCS, y Santosh Mishra, Analista de Seguridad en la práctica de Ciberseguridad de TCS.

Los hackers y los grupos de hacking parecen intrigantes para el hombre común. Estas palabras evocan imágenes de un grupo de personas nerd reunidas en un sótano y conspirando para robar información y dinero a las personas y organizaciones. Pero hackear no está limitado a robar y destruir, y no todos los hackers tienen la intención de causar daño. De hecho, los hacker ‘éticos’ ayudan a organizaciones y agencias de gobierno a encontrar brechas en sus sistemas de seguridad, para que estos se puedan arreglar. Ayudan a la organización en implementar controles de seguridad robustos para impedir ataques potenciales.

La creciente brecha entre el suministro y la demanda de ‘hackers éticos’

Es difícil encontrar profesionales de ciberseguridad que tengan amplio conocimiento tecnológico y habilidades específicas en asesoría de seguridad y riesgo. En el estudio de seguridad de Intel, el 71% de las empresas reportan que la escasez en competencias de ciberseguridad les causa daños directos y medibles. Por otra parte, las mentes jóvenes y apasionadas que demuestran aptitud en esta área no siempre pueden encontrar un entorno constructivo para perseguir su pasión y podrían ser influenciadas para pasarse al lado oscuro de la práctica.

Buscando a los hackers adecuados

Las organizaciones podrían contratar Hackers que hayan trabajado con el propósito de traspasar la seguridad de organizaciones en el pasado (conocidos como Black Hatters o Hackers del lado oscuro). Estos podrían demostrar tener amplias habilidades ya que tienen experiencia del mundo real jugando en la ofensiva. Hay una enorme diferencia entre las personas que han aprendido a defender un sistema y las personas que tienen experiencia violando un sistema. Pero, aunque suena convincente, esta táctica tiene varios defectos. Después de todo, la confianza sería una gran preocupación. ¿Qué sucede si el ex-hacker se comporta de una manera no ética? Entonces la pregunta persiste, ¿es esta la mejor forma de proteger la organización?

(Lee: [infografía] Cinco características de un Growth Hacker)

Otra opción sería entrenar al grupo existente de expertos de TI en su organización. La principal desventaja de este método es que a estos empleados les podría faltar la pasión para prosperar como profesionales de seguridad. También, entrenar a los empleados toma tiempo y dinero -se requiere de una cantidad significativa de tiempo, exposición a la industria de seguridad y experiencia de trabajo antes que puedan convertirse en un recurso valioso para la organización. Aunque este enfoque parece viable a largo plazo, consume mucho tiempo y no puede aplicarse cuando hay una necesidad inmediata.

Crowdsourcing es una tendencia creciente en la industria, la cual requiere que el sistema sea revisado por cientos de profesionales de seguridad en todo el mundo. Recientemente, varias organizaciones se están uniendo a plataformas de Crowdsourcing como HackerOne y Bugcrowd para administrar sus programas de divulgación responsable. Esta es una manera inteligente para detectar vulnerabilidades y administrar los programas de divulgación responsable, pero solo funciona si se tiene implementada una fuerte estrategia de administración de información de seguridad y habilidades de ejecución establecidas.

Concursos de hacking, una disrupción popular

Considerando que el hacking ético es una capacidad de nicho dónde la actitud y aptitud correcta es más importante que una calificación académica, los procesos de selección convencionales guiados por asesoramientos escritos estándar y entrevistas personales con candidatos de una serie de universidades acreditadas, no ofrecen los resultados esperados.

En nuestra experiencia, la opción más prometedora sería la contratación gamificada. Este formato imita los retos de vida real al construir varias situaciones enfocadas en demostrar rasgos específicos de personalidad que en otras instancias serían difíciles de reconocer. Introducir ‘elementos de juego’ puede darle a los reclutadores la oportunidad de evaluar los perfiles completos de los candidatos y ayudarles a determinar su impulso por la innovación, su capacidad de resolver problemas y de desempeñarse bajo presión.

(Lee: VU Security es una de las 60 startups más destacadas en ciberseguridad a nivel mundial)

En TCS, el 5.6% de las contrataciones en las universidades ocurre a través de la contratación gamificada y se espera que numero incremente mucho más en los próximos años. Un ejemplo de una iniciativa exitosa es HackQuest, un concurso de hackeo ético. En la última edición del concurso participaron más de 4,500 estudiantes de 609 instituciones de la India. Luego de una emocionante competencia que duró seis horas, 19 hackers éticos aseguraron su lugar en la final y al resolver un reto de hacking al momento, 18 de los estudiantes recibieron ofertas en la unidad de Ciberseguridad de TCS. HackQuest nos ayudó a identificar de manera exitosa a los estudiantes que tenían la aptitud y actitud que estábamos buscando.

Como la educación y las políticas convencionales no están satisfaciendo nuestra creciente demanda de profesionales de seguridad, necesitamos medidas no convencionales. Y HackQuest demostró el hecho de que próxima generación definitivamente tiene el talento. Las empresas deben identificar, nutrir y canalizar este talento. Las organizaciones están moviéndose rápidamente hacia este nuevo modo de contratación, y está claro que aquellos que no lo hacen estarán próximamente en desventaja.

Photo by Alex Kotliarskyi on Unsplash