Los ingredientes para la sesión de lecciones aprendidas

En la primera parte de esta serie exploramos la importancia de las lecciones aprendidas. En esta entrada nos enfocaremos en lo que las organizaciones requieren para implementar efectivamente este proceso y continuaremos con el ejemplo del robo en mi hogar de la infancia para ilustrar el diseño del documento base de lecciones aprendidas.

La importancia de una política

Con el fin de que este proceso sea incorporado a nivel organizacional, debemos crear una política o simplemente agregar un apartado específico de lecciones aprendidas en la política o procedimiento de respuesta a incidentes.

Andrew Baze en el documento Improving Incident Response Through Simplified Lessons Learned Data Capture da una guía de como implementar esta política, la clave es definir que el equipo de respuesta a incidentes deberá capturar las lecciones aprendidas para cada incidente de severidad alta y crítica.

Andrew hace énfasis en utilizar la palabra “deberá” en lugar de “debería” y en las formas de recolectar las lecciones las cuales podrían ser vía correo electrónico, o una reunión formal.

Los ingredientes para capturar las lecciones aprendidas

Antes de convocar a la sesión de lecciones aprendidas, debemos contar con algunos elementos, con el fin de garantizar un proceso efectivo:

  • Reporte del incidente: El documento que detalla lo qué ocurrió, incluyendo la cronología de los eventos, los sistemas, cuentas y procesos afectados, y las acciones tomadas en respuesta al incidente. Este documento también nos ayudará a definir quienes deberían participar en la sesión.
  • Notas y comunicaciones: Todas las notas tomadas durante y después del incidente, incluyendo comunicaciones internas y externas.
  • Personas que deben estar en la sesión: Debemos crear un listado con las personas que deben asistir a la sesión, podríamos incluir personal técnico (seguridad, mesa de ayuda, personal de TI) y personal no técnico (Legal, líderes de área o negocio, comunicaciones, recursos humanos, e incluso proveedores si es requerido.
  • Documento base: El documento base actúa como la agenda y el marco para la sesión de lecciones aprendidas. Debe ser preparado con antelación y distribuido entre los participantes para su revisión. El documento debe incluir por lo menos los siguientes elementos:
    • Objetivos de la sesión: Ayuda a clarificar qué se espera lograr con la sesión de lecciones aprendidas.
    • Agenda detallada: Desglose de los temas a discutir, asignando tiempos específicos para cada punto para asegurar que todos los temas importantes sean cubiertos.
    • Preguntas o temas para reflexionar: Preguntas o temas que los participantes deben considerar antes de la sesión, con el fin de fomentar una discusión más profunda y enfocada. En la página 38 del documento de NIST SP 800-61 podemos encontrar algunas preguntas para usar como guía.

Rebekah Brown y Scott J.Roberts en la segunda edición de su libro Intelligence-Driven Incident Response mencionan que en la fase de las lecciones aprendidas, se debe evaluar el desempeño del equipo durante cada una de las fases de la respuesta a incidentes, respondiendo las siguientes preguntas base:

  • ¿Qué pasó?
  • ¿Qué hicimos bien?
  • ¿Qué podríamos haber hecho mejor?
  • ¿Que haríamos diferente ante un futuro incidente?

En este libro también encontraremos una serie de preguntas por cada una de las fases del ciclo de respuesta a incidentes y a continuación vamos a usar ese enfoque para crear el documento base y analizar el incidente de mi niñez. Aún no vamos a responder las preguntas, simplemente las vamos a plantear en la plantilla.

Plantilla base para la sesión de lecciones aprendidas

Objetivo de la sesión:

Detalles del Incidente

Cronología del incidente:

Impacto del incidente:

Participantes:

NombreRol

Puntos de discusión

Preparación

  • ¿Cómo podríamos haber evitado el incidente por completo?
  • ¿Qué prácticas o herramientas podrían haber mejorado todo el proceso?

Identificación

  • ¿Qué herramientas podrían haber facilitado la identificación de la amenaza?
  • ¿Que investigación sobre la amenaza hubiesen ayudado?

Contención

  • ¿Qué medidas de contención fueron efectivas?
  • ¿Cuáles no?
  • ¿Habrían sido útiles otras medidas de contención si hubieran sido más fáciles de implementar?

Erradicación

  • ¿Qué mecanismos de erradicación salieron bien?
  • ¿Qué se hubiese podido hacer mejor?

Recuperación

  • ¿Qué demoró la recuperación? (Sugerencia: concéntrese en la comunicación, ya que es una de las partes más difíciles de la recuperación).

Plan de Implementación

ActividadResponsableFecha de validación

Esta plantilla está diseñada para ser adaptable en diferentes tipos de incidentes y organizaciones. En el siguiente enlace podrán descargar la plantilla que usamos para incidentes de seguridad.

En la próxima entrada utilizaremos el incidente y la plantilla para simular una sesión de lecciones aprendidas con base en el ejemplo del robo.

Saludos

Certificaciones en seguridad/tecnología, ¿valen la pena? – Parte IV

Como mencioné en los artículos anteriores; y es mi opinión personal quienes deberían pagar las certificaciones e incluso las membresias deberían ser los empleadores, ya que al final ellos son los que tienen recursos y le pueden sacar provecho.

En algunas de las empresas en las que he trabajado, los empleadores ofrecen el modelo de pagar la certificación a cambio de cláusulas de permanencia (la mayoría de las veces ridículas). Estas cláusulas y por lo que he hablado con la mayoría de mis colegas hace que las personas tengan miedo de pedir apoyo debido a que no quieren “vender su alma al diablo”. Mi comentario es no tengan miedo; si la cláusula no tiene sentido intenten negociar para buscar una solución más razonable.

Se preguntarán hasta ahora, “¿Por qué tanta negatividad en estos artículos?”. No es negatividad, con esta serie de artículos busco compartir mis reflexiones con respecto a lo que pasa en la realidad y lo que pocos se atreven a decir; es una forma de buscar que las cosas que están mal, cambien para bien.

También, he tenido la experiencia durante los últimos años de ser parte de empresas que incentivan y patrocinan a sus empleados con programas de educación y certificación; esto tiene resultados positivos, los cuales mencionó a continuación:

  • Equipos de trabajo más competitivos (siempre y cuando la distribución de presupuesto se haga de manera equitativa entre todos los miembros del equipo).
  • Con equipos de trabajo más competitivos, se eleva la calidad de los servicios prestados, por lo tanto clientes más felices y satisfechos.
  • Cuando la empresas promueven la educación de sus equipos de trabajo se genera una competencia sana y los empleados son más felices. Que sí!, que hay riesgo de que una vez hagan el curso y se certifiquen renuncien!, pero, también existe la posibilidad de que los empleados se queden y aporten más al desarrollo de la organización ¿no?

¿Qué hacer si necesitas patrocinio en tu organización?

Si te encuentras trabajando y quieres tomar un curso o certificación, piensa en lo siguiente:

  1. ¿Estoy feliz en la organización? ¿Me veo trabajando en esta organización durante los próximos 1-3 años?
  2. ¿El curso/certificación que quiero es relevante para la misión de la organización? ¿cuáles serían los beneficios para la empresa si me patrocinan?
  3. ¿El curso/certificación que quiero es relevante para mi? ¿Cuáles serían esas habilidades que puedo desarrollar? ¿cómo aportarían esas habilidades a mi rol?
  4. ¿Estoy interesado en compartir los conocimientos adquiridos durante el curso o preparación del examen con mi equipo de trabajo? (Este sería un gran beneficio, no solo para ti, si no para todos tus compañeros).

Si pudiste responder estas preguntas y puedes armar un argumento válido, simplemente habla con el área de desarrollo humano y con tu jefe mostrando los beneficios de invertir en tu formación.

Factores que influyen en el valor de una certificación:

  • La entidad que emite la certificación. Las certificaciones emitidas por entidades reconocidas y acreditadas son generalmente más valoradas que las emitidas por entidades menos conocidas. Mi recomendación aquí es ir a twitter o reddit y ver que opinan las personas sobre la entidad o sobre una certificación específica. ¿No le vas a creer solamente a lo que dice la entidad en su sitio web, verdad?
  • El contenido del curso y el examen de certificación. Un examen que evalúa habilidades y conocimientos relevantes para el trabajo y que presenta retos o escenarios de análisis tendrá más valor que un examen que se enfoca en preguntas triviales.
  • El proceso de obtención de la certificación. Si la certificación requiere un examen desafiante y una experiencia práctica significativa, tendrá más valor que una certificación que se puede obtener fácilmente. Personalmente me gusta cuando hay que resolver casos mediante análisis y emitir informes.
  • Precio y costos de mantenimiento: Es importante encontrar un equilibrio entre el costo y los beneficios potenciales antes de tomar la decisión de obtener o mantener una certificación. Investiga el costo total de la certificación, incluyendo el precio del examen, los cursos de preparación y las tarifas de mantenimiento.

Conclusión

El mercado de las certificaciones tiene varios actores, como lo hemos visto en esta serie de artículos. Cada uno de los actores tiene sus intenciones (buenas o malas) y hay que entender la perspectiva de cada uno. Lo importante, es recordar que las certificaciones no son un sustituto del conocimiento, la experiencia y las habilidades. Las empresas deben invertir en la formación y desarrollo continuo de sus colaboradores; pero es nuestra responsabilidad definir la estrategia de nuestro propio aprendizaje.

Si queremos que las certificaciones sean más que un simple adorno en nuestro currículum o perfil de LinkedIn, debemos enfocarnos en el aprendizaje continuo y en la adquisición de habilidades relevantes para el mercado laboral. De esta manera, las certificaciones tendrán un verdadero valor ya que pueden reflejar nuestras capacidades y nuestro compromiso con la educación.

Certificaciones en seguridad/tecnología, ¿valen la pena? – Parte III

En el año 2018 comencé a ver la horrible realidad de las certificaciones; los “éxitos” que había logrado y la transformación de mi “perfil” profesional comenzaron a llamar la atención de mi empleador, reclutadores y otras empresas…

Desafortunadamente las intenciones no eran del todo positivas. Mis certificaciones comenzaron a utilizarse para efectos comerciales, la típica frase “tenemos personal calificado y certificado” que finalmente no era más que otro recurso para ganar negocios. Lo que vino después fue lo que me hizo ver lo podrida que estaba la industria.

Las certificaciones en varios países y puntualmente en Latinoamérica suelen ser utilizadas para ganar negocios con entidades privadas y cerrar pliegos en procesos de contratación gubernamentales. Es increíble como se puede influenciar un proceso de contratación a favor, usando perfiles de ingenieros atados a certificaciones específicas.

Mi perfil, y el de otros colegas a quienes aprecio y respeto comenzaron a verse publicados de forma no autorizada en páginas de contratación estatal; algunos “empresarios” nos contactaban para ofrecernos dinero solo por prestar nuestros perfiles con el fin de ganar un negocio. Corrupción en estado puro!

Incluso en plataformas como LinkedIn he podido evidenciar algo similar, algunos reclutadores te contactan, te ofrecen oportunidades laborales, con el objetivo de que entregues tu hoja de vida y las certificaciones, esto es fácil de detectar y ya he confrontado a algunos “reclutadores”.

Así que recomendación para quienes contratan servicios: verifiquen que las hojas de vida o perfiles que reciben sean legítimos y que realmente exista un vinculo profesional entre la empresa que va a prestar los servicios y las hojas de vida que están ofreciendo.

Recomendación para los estusiastas de la seguridad; Si alguien les ofrece dinero por prestar sus perfiles, simplemente digan no y si pueden denuncien. Si yo se, yo se que estamos en crisis financiera y cualquier entrada extra de dinero ayuda, pero definitivamente hay que acabar con la corrupción y ponerle fin ese circulo vicioso. Podrías también denunciar las prácticas corruptas ante las autoridades competentes.

Si algún reclutador te contacta, verifica que sea una empresa de confianza, en lo posible solicita una video llamada para entender el alcance de lo que están buscando antes de compartir cualquier soporte, al final y al cabo en tu perfil de linkedIn está toda la información inicial que podrían necesitar.

Conclusión: En esta entrada quería exponer el lado oscuro de las “certificaciones”, y como estas pueden ser utilizadas para fines poco éticos.

Certificaciones en seguridad/tecnología, ¿valen la pena? – Parte I

En el año 2013 obtuve mi primera certificación en Informática Forense, para ese primer logro tuve que hacer una gran inversión, tomar un curso de 40 horas, posterior al curso estudiar un par de semanas y finalmente presentar el examen. ¿Valió la pena? No.

Durante los siguientes años, cambié el enfoque; principalmente porque los cursos de seguridad son caros y mis recursos eran escasos, sin embargo las certificaciones eran la herramienta para poder abrir nuevas puertas y conseguir mejores empleos, o ese era mi pensamiento. Así que para las próximas certificaciones comencé a definir cuales certificaciones me aportarían para conseguir un nuevo empleo y preparar el exámen por mi cuenta (leyendo libros y practicando).

En el término de 12 meses obtuve otras dos nuevas certificaciones la primera en pruebas de intrusión y la segunda en respuesta a incidentes. ¿Valieron la pena las certificaciones? No. Pero el proceso que utilicé para conseguir las certificaciones si que valieron la pena, aprendí mucho más durante esos 12 meses aportando más en mi trabajo y definiendo la metodología que quería adoptar para los siguientes años de mi carrera.

Entre 2015 y 2016 obtuve un par de certificaciones con las que vi un real cambio en mi perfil, la primera fue en gestión de seguridad y la segunda en gestión de riesgo, escogí estas certificaciones porque quería postularme al cargo de CISO (Oficial de Seguridad) en la organización en la que estaba trabajando. El enfoque fue el mismo, adquirí varios libros, creé mi plan de carrera y comencé a ejecutar tareas en mi trabajo alineadas con lo que aprendía en los libros, cada vez que aprendía algo lo aplicaba. Obtuve las certificaciones, obtuve el rol que quería y lo más importante, realmente aprendí a gestionar riesgos y a liderar proyectos de seguridad. Definitivamente valió la pena.

Entre 2013 y 2023 acumulé cerca de 20 certificaciones en seguridad, principalmente en témas técnicos como análisis de malware, respuesta a incidentes, seguridad en la nube, etc… ¿Valieron la pena? Si, debido a que seguí el mismo proceso durante 10 años, cada año mi meta era obtener al menos 2 certificaciones y no porque necesitara las certificaciones sino porque me volví adicto a presentar exámenes para evaluar lo que estaba aprendiendo y de paso me servían para abrir nuevas puertas en el mercado laboral.

En conclusión, ¿las certificaciones valen la pena? No. Lo que vale la pena es el proceso de aprendizaje para preparar la certificación. Preparar las respuestas para presentar y aprobar un exámen no vale la pena, no es sostenible y tarde que temprano los demás notaran que “eres certificado” pero que realmente no sabes, y por último con el tiempo te va a generar la sensación del síndrome del impostor.

El aprendizaje continuo y la aplicación práctica del conocimiento son los que realmente nos empoderan para avanzar y contribuir significativamente en nuestra industria y nuestra sociedad.

3 recursos para aprender nociones de seguridad

Una de las preguntas más comunes que recibo de amigos y alumnos es ¿Cómo puedo aprender seguridad? En este artículo explicaré 3 recursos que considero esenciales.

1) La guía de estudio de Security+ de Darril Gibson y Joe Shelley: Los libros de Darril Gibson tienen como foco principal, la preparación de una de mis certificaciones de seguridad favoritas (Security+); sin embargo, la razón por la que recomiendo este recurso es porque contiene los conceptos que se requieren para involucrarse en la industria de la seguridad.

Puedes conseguir este libro en Amazon por un valor promedio de 40 USD, puedes descargar una muestra gratuita y navegar los primeros capítulos para ver si te llama la atención. En definitiva es mi recurso favorito y es el libro que utilizo como referencia en varios de los cursos que dicto.

2) La guía de estudio de CCSK (Certificate of Cloud Security Knowledge), este libro el cuál encontrarás en Español y en Inglés de manera gratuita, brinda los conceptos clave para comprender la seguridad en la nube

3) Curso de Seguridad de Google


El curso de seguridad de Google fue oficialmente publicado en 2023 y es el entrenamiento que personalmente recomiendo a mis estudiantes, allí no solo aprenderás las nociones de seguridad si no que también aprenderás conceptos de programación y a utilizar linux. El curso lo puedes tomar a tu ritmo, el costo es de 49 USD mensuales y dependerá de ti cuantos meses vas a invertir. Si definitivamente no cuentas con los 49 USD o no sabes si vale la pena hacer la inversión, simplemente puedes ver los videos gratis en Youtube y tomar las lecciones básicas.

La importancia de un plan de carrera en seguridad y como crearlo

Desde hace unos años, cada primero de Enero dedico un par de horas para planear que quiero aprender durante los próximos 12 meses; esta simple pero efectiva actividad me ayuda a definir mis objetivos, a definir un plan claro con actividades, recursos, y tiempos, a establecer métricas y lo más importante, el plan que creo ese primer día del año me ayuda a estar motivado y enfocado, lo cuál es esencial en cualquier área en la que trabajemos.

En esta entrada compartiré la metodología que utilizo cada año y algunas herramientas sencillas que nos ayudarán a dar ese primer paso.

Paso 1 – Evaluar el estado actual

La inspiración por crear planes de carrera viene de un capítulo de los Simpsons, en la cuál Homero quiere ser inventor y decide crear un plan tomando como referencia a Thomas Alva Edison. De ese capítulo tomé las siguientes ideas:

  • Saber en donde estoy hoy, que es lo que sé, que hago día a día en mi trabajo
  • Tener una persona de referencia (Un mentor, nuestro jefe, un profesor, alguien a quien seguimos en Twitter o LinkedIn)

Ejemplo:
Actualmente trabajo como Ingeniero de Seguridad en Respuesta a Incidentes y mis principales actividades son:

  • Responder ante incidentes de seguridad
  • Analizar reportes de inteligencia con el fin de extraer las tácticas, técnicas, y procedimientos usadas por grupos adversarios.
  • Desarrollar hipótesis con base en el punto anterior y ejecutar campañas de cacería de amenazas (Threat Hunting)
  • Crear reglas de detección para detectar actividad maliciosa

Paso 2 – ¿Que quiero aprender y por qué?

En esta fase debemos preguntarnos lo siguiente:
¿Estoy feliz con mi rol actual?
– si las respuesta es afirmativa: ¿Qué debo aprender o que habilidades debo desarrollar para mejorar en mi rol?, ¿Que cosas nuevas quiero hacer en mi rol?
– si la respuesta es negativa: ¿Quiero un nuevo rol? ¿Qué debo aprender para ese nuevo rol o ese nuevo empleo?

Las respuestas a estas preguntas, ayudarán a identificar qué quiero aprender.

Continuemos desarrollando el ejemplo anterior asumiendo que mi respuesta a la primera pregunta fue afirmativa y estoy feliz con mi rol actual:

– Quiero aprender más sobre respuesta a incidentes en nube pública, debido a que los ataques en la nube vienen aumentando
– Necesito crear detecciones más eficientes, los ataques mejoran cada día por lo tanto debo mejorar en detecciones.
– Quiero elaborar reportes de inteligencia para mis clientes, debido a que la inteligencia de amenazas es un campo apasionante.
– Requiero ser un mejor comunicador en un segundo lenguaje , debido a que ahora debo interactuar con más equipos de trabajo.

Con el siguiente ejemplo dejo claro que es lo que quiero aprender y las motivaciones para desarrollar dicho aprendizaje, sin embargo necesito establecer objetivos claros.

Paso 3 – Definir Objetivos

Si queremos algo debemos plantear objetivos específicos, una técnica es definir objetivos o metas SMART (Specific, Measurable, Achievable, Relevant, and Time-Bound)

Entendiendo las Objetivos SMART:

Specific – Específicas: Nuestros objetivos deben ser claros y específicas para saber exactamente hacia qué estamos trabajando. Por ejemplo, en lugar de decir “Quiero aprender más sobre ingeniería de detección (Detection Engineering)”, un objetivo específico sería “Quiero aprender a crear reglas de alta fidelidad utilizando YARA y SIGMA”.
Measurable – Medibles: ¿Cómo mediremos nuestro progreso y cómo sabremos cuándo hemos alcanzado el objetivo?. Por ejemplo dedicando 1 hora diaria creando reglas en YARA durante los próximos 100 días 😉
Achievable – Alcanzables: Los objetivos deben ser realistas y alcanzables. Aunque deben desafiarnos, no deben ser tan difíciles al punto que se vuelvan desmotivadores.
Relevant – Relevantes: Nuestros objetivos deben estar alineados con nuestras aspiraciones profesionales o académicas.
Time Bound – Con Tiempo Definido: Debemos definir un plazo para cada objetivo. Tener una fecha límite para la finalización crea un sentido de urgencia y ayuda a mantenernos enfocados.

Paso 4 – Documentar y Ejecutar el Plan

Simple, debemos escribir nuestros objetivos de tal forma que podamos hacer seguimiento. En mi caso uso una simple hoja de cálculo donde registro mi objetivo, el propósito, fechas de inicio y fechas estimadas de finalización, un entregable que sirva como evidencia de que aprendí algo (un artículo, código, una clase, etc.) y por último el progreso. Así se ve mi plan de 2024.

Y así fue el plan de años anteriores, como pueden ver, mi plan de estudios se basa en libros principalmente, pero aplica para cursos o proyectos.

Podemos utilizar otras herramientas para gestión de tareas, como Trello, nTask, notion, entre otras; personalmente me gusta con GitHub a través del módulo de proyectos y crear cada objetivo como un Issue.

Paso 5 – Medición

Es importante mantener el plan actualizado, recomiendo agendar sesiones en nuestros calendarios (por lo menos una vez al mes) o configurar alertas para revisar nuestro plan. Durante la sesión revisar como va nuestro progreso y si es necesario hacer ajustes. Por ejemplo:

Dentro de mi plan observo que voy en un 60% de mi objetivo. En este caso tengo 3 días para completar mi misión así que debo hacer ajustes.

Una técnica que utilizo en estos casos es estimar cuanto me falta para completar el objetivo, digamos que para completar requiero 12 horas, con base en eso tomo esas horas y las divido en el número de días restantes (12/3 = 4) es decir que debo dedicar 4 horas diarias durante los próximos 3 días. Anteriormente hacía ajustes de tiempos, pero no lo recomiendo ya que mover uno de los objetivos implica postponer los demás y al final nuestro plan debe ser un compromiso.

A continuación algunas preguntas a realizarnos durante la evaluación:

  • ¿Estoy más cerca de alcanzar mi objetivo?
  • ¿Qué obstáculos he encontrado y cómo puedo superarlos?
  • ¿Mis objetivos siguen siendo relevantes y alcanzables?

¿Cómo y cuándo ajustar objetivos?:
En algunas oportunidades no es tan fácil simplemente ajustar los tiempos al final para cumplir el objetivo, podemos encontrarnos con algunos escenarios comunes:

  • ¿Hemos subestimado las dificultades? Puede ser por que es un tema difícil que require más tiempo, o requerimos más recursos como infraestructura, laboratorios virtuales, libros, o dinero adicional
  • ¿Han surgido nuevas oportunidades?
  • ¿Han cambiado las prioridades personales o profesionales?

Es normal que algunos factores impacten el desarrollo de nuestros objetivos, lo importante es identificarlos, analizarlos y ajustarlos.

Para terminar esta entrada, tres cosas más:

  • Anímense a crear un plan de estudio o de carrera, incluso si están leyendo esto y no trabajan en seguridad
  • No trabajo en seguridad, es un campo nuevo, o recién terminé el colegio o la universidad ¿cómo puedo crear el plan de carrera? Eso lo veremos en la próxima tarea 😉
  • Si trabajan en seguridad y quieren una sesión gratuita para que les ayudemos a elaborar el plan, simplemente escriban un mensaje en los comentarios, los 3 primeros en contactarnos tendrán una sesión gratuita de mentoria para crear el plan de carrera.