En el número anterior de Magazcitum escribí un artículo sobre las certificaciones y, afortunadamente, recibí varios correos de amables lectores en los que me comentaban sus puntos de vista. Algunos de ellos hacían la observación de que la experiencia es más importante que una certificación. Si bien estoy de acuerdo en lo general con esa aseveración, lo que he observado es que la experiencia por sí sola tampoco es garantía de conocimientos. Pero entonces ¿De qué depende que alguien tenga los conocimientos y los aplique en forma efectiva a las situaciones que se le presenten en su trabajo?

La respuesta a la pregunta anterior es muy amplia y, más relevante aún, es que no creo tener una respuesta completa. Sin embargo en los últimos años he tenido la oportunidad de entrar en contacto con algunas de las nuevas investigaciones sobre cómo funciona el cerebro humano, cómo aprendemos y cómo aplicamos nuestros conocimientos. Con base en algunos de esos conceptos y en mi experiencia profesional trataré de compartirles ciertos puntos de vista y cuestionamientos que pudieran ser interesantes.  En este artículo, entonces, nos enfocaremos a ver solo una pequeña arista del problema y, muy en concreto, contestar a la pregunta  ¿Sirven para algo los cursos de seguridad?

Comenzaré con una declaración polémica: en mi opinión, la mayoría de los cursos de seguridad sirven de poco, a menos de que introduzcamos algunos cambios en la forma de impartirlos y tomarlos.  Para abrir boca empecemos revisando casos reales e hipotéticos, pero que podrían ser reales. Como siempre, los nombres están cambiados para proteger la identidad de los implicados.

El caso de Cuco. Cuco es el responsable de seguridad de las redes de datos en su empresa y ha tomado cursos certificados del firewall y del sistema de prevención de intrusos (IPS).  Un buen día, el personal que administra las redes detecta lentitud en la salida a Internet; después de hacer ciertas revisiones, le comenta a Cuco que el firewall parece ser el cuello de botella. Cuco revisa la consola pero no encuentra nada distinto y, un tanto enojado, le informa a la gente de redes que su firewall no es el responsable. Al poco rato Chanchis, también del departamento de redes y experta en análisis de tráfico, se pone a revisar (sniffear) la red y determina que –efectivamente- el firewall está tardando mucho en procesar los paquetes. Al confrontar a Cuco, este no sabe qué contestar; después de varios minutos termina entendiendo que el firewall sí es el responsable del problema pero no tiene ni idea de qué debe hacer pues en el curso no le enseñaron a afinar el desempeño del equipo y hasta hoy nunca había necesitado hacerlo.

El caso de Gigi. En forma similar a Cuco, Gigi, que ha tomado cursos sobre firewalls CheckPoint y que los ha administrado por un año, es requerida por su jefe para configurar un firewall Cisco y su respuesta es: “jefe, no puedo configurarlo. Yo de lo que sé es de CheckPoint”. Por cierto, Gigi realmente piensa que no está capacitada para configurar un sistema de otra marca.

EL caso de Hugo. Si se acuerda de nuestro artículo en el último número de Magazcitum, Hugo es un certificado CISSP que cuando recibió la solicitud de redactar unas políticas de seguridad o efectuar un análisis de riesgo, no fue capaz de realizar ninguna de las dos tareas. Sin embargo, cuando se le preguntaban los conceptos de seguridad más relevantes, respondía sin ningún problema.

Aunque parezca extraño, los casos anteriores tienen un fondo común: en todos ellos las personas involucradas no fueron capaces de usar sus conocimientos y experiencias pasadas para resolver una determinada situación. Pero ¿Cómo se relaciona esa afirmación con la situación particular de cada uno de nosotros? ¿Qué pensaría si le dijera que, de acuerdo a varios expertos en aprendizaje, a la mayoría de nosotros (entre 80 y 90%) nos podría pasar cosas similares? En otras palabras, la gran mayoría de las personas somos incapaces de conectar, de manera rápida y efectiva, nuestros conocimientos y experiencias con una nueva situación o problema cuando la asociación no es obvia.

Revisitemos dos de los casos mencionados (Cuco y Gigi) para analizarlos desde el punto de vista de conectar o asociar conocimientos. Dado que en ambos casos se trata de firewalls, me atrevo a decir que, muy probablemente, ni Cuco ni Gigi han aprendido bien dos conceptos muy importantes al respecto:

  • Que son dispositivos que filtran el tráfico con base en reglas, y que estas reglas se basan en características de los paquetes o su conexión para aceptarlos o rechazarlos.
  • Que “se montan” o trabajan sobre un sistema operativo.

¿Qué podemos asociar o conectar con el primer concepto?  Pues si un firewall es un dispositivo que filtra tráfico y las reglas de filtrado “juegan” con direcciones IP, puertos TCP o UDP, paquetes que hacen tareas específicas  y otros temas afines, ¿no sería mejor aprender A FONDO esos conceptos antes de tomar un curso de firewalls? O ¿no sería necesario reforzar esas cuestiones en el curso de firewalls en vez de solo enfocarse a cómo operar determinada tecnología y utilizar la consola respectiva?

Veamos ahora el segundo concepto: un firewall consta de procesos que corren sobre un sistema operativo. Esos procesos consumen memoria, CPU y –probablemente- disco duro; así, cuando un paquete es filtrado por el firewall (para descartarse o reenviarse, dependiendo de las reglas configuradas) el proceso que lo realiza tarda un cierto tiempo en ejecutar su función; coloquialmente decimos que el paquete “tarda” en procesarse. A ese tiempo se le llama retardo o latencia ¿No sería útil que las personas que toman cursos de estos dispositivos tuvieran ese conocimiento y que durante el curso el instructor se apoyara en ello para explicar cómo funciona el firewall de su marca (la arquitectura, pues)? ¿O que durante el curso les diera tips acerca de qué módulos o procesos podrían tardar, las razones de esa tardanza y qué hacer en esos casos?

Si Gigi, hubiera aprendido los conceptos anteriores, es muy probable que ante la petición de su jefe solo hubiera solicitado el manual del equipo que no conoce para entender las diferencias relevantes que tiene con lo que ya conoce, por ejemplo, la manera en que se le definen reglas, a qué nivel se pueden definir, y entender su arquitectura, incluyendo el sistema operativo sobre el que corre, etcétera. Y no contestaría “no conozco ese firewall, necesito tomar un curso”.

En el caso de Cuco sería algo similar. Por ejemplo ¿De qué forma vigila Cuco la salud del firewall? Y no hablamos solo de que revise que el uso de CPU, memoria y disco no excedan ciertos umbrales, tarea que, por cierto, muchos responsables de firewalls no hacen, sino también de que conozca cuánto tiempo está consumiendo en filtrar los paquetes, lo que técnicamente se denomina latencia o retardo del firewall. Algunas preguntas que Cuco debió hacerse, y responder, sobre el firewall podrían ser: ¿Qué procesos están involucrados y cómo monitorear su desempeño?, ¿qué parámetros de la configuración son modificables para afinar el desempeño?, ¿cuáles son los umbrales de operación “normales”?

Ahora bien, ¿los cursos de seguridad están diseñados para que los asistentes den respuesta a las preguntas anteriores? Expresado desde otro punto de vista ¿Los cursos están diseñados para aprender primero los conceptos fundamentales, después visualizar y comprender los escenarios de aplicación práctica y –por último- conocer los detalles de la tecnología o producto en cuestión?  Mi punto de vista es que muchos de los que se ofrecen en el mercado, sobre todo los de fabricantes, NO están diseñados de esa forma. Es decir, no refuerzan los conceptos fundamentales ni su aplicación en muchas situaciones reales. En otros casos, más o menos raros, los cursos que sí lo hacen son los más avanzados y rara vez se ofrecen en México.

Por ejemplo y siguiendo con el tema de firewalls, muchos cursos de fabricantes no cubren a fondo los protocolos TCP/IP y su funcionamiento. Dos preguntas que a mí me gusta hacer a las personas que los han tomado son: ¿Sabes cómo es el funcionamiento de un trace route?, ¿conoces los distintos comandos o funciones del protocolo ICMP? En mi opinión, quien se dedique a la seguridad informática debería saber la respuesta.  Estas preguntas podrían ser un termómetro sobre los conocimientos fundamentales en temas de seguridad de redes. Lo mismo podríamos hacer para otros temas.

Ahora veamos la otra parte: ¿Los cursos ayudan a los asistentes a ser más hábiles en (o conectarse fácilmente con) situaciones reales? Retomando los cursos de firewalls, podríamos tener una idea de qué tanto están reforzando este punto con preguntas como “Ahora que terminaste tu curso ¿Sabes qué reglas debes configurar cuando regreses a tu oficina? ¿Cómo vas a detectar ataques en la consola? o ¿Qué acciones vas a tomar cuando detectes un ataque en la consola del firewall? ” Pecando un poco de pesimista, es muy probable que se lleve algunas sorpresas al oír las respuestas …

.

Algunas recomendaciones

Sé que para algunos lo que he dicho hasta aquí puede resultar un tanto desorientador e, incluso, polémico. Para otros, en cambio, puede resultar lógico o más en sintonía con lo que piensan. Esa es la idea de esta sección, tratar los temas de manera que nos despierten la curiosidad, nos motiven a discutirlos y, finalmente, si es el caso y estamos convencidos, provocar en nosotros y en la organización algunos cambios.

Para no solo criticar la manera en que se imparte y se toma la mayoría de los cursos, me gustaría compartir algunas recomendaciones que pueden ser útiles. Le ofrezco varias para que usted elija las que considere más adecuadas o afines a su estilo, inquietudes o forma de pensar.

Haga un inventario de sus conocimientos de seguridad y de TI. Aunque puede hacerlo primero como una lluvia de ideas, conviene que posteriormente le dé un cierto orden. Le recomiendo ponerlo como mapa mental (ya hay software gratuito para este fin. Vea por ejemplo el iMindMap en ThinkBuzan.com).

El objetivo de este inventario es que usted mismo empiece a ver relaciones entre los distintos temas que conoce, analizando de qué forma el saber de un cierto tema le ha facilitado saber sobre otro y, viceversa, el no saber de un tema le ha dificultado entender otros. También ayuda para identificar mejor en qué está usted más débil y sobre qué aspecto quiere saber más.

Antes de aprender algo nuevo, confirme que tiene los conocimientos que son pre-requisitos.  Como ya vimos, si vamos a tomar un curso de firewalls y en general si vamos a especializarnos en seguridad en redes,  debemos entender a fondo la familia de protocolos TCP/IP (incluyendo los encabezados de los protocolos principales, sus tareas, particularidades y cómo se “observa” el tráfico aplicativo).  Si no tiene esos conceptos bien cimentados no entenderá con profundidad muchos elementos de la seguridad en redes, incluyendo cómo opera un firewall y cómo se debe administrar y configurar.

Nota: Los pre-requisitos mencionados no son todos, solo se mencionan algunos para ilustrar el concepto. Igualmente, si usted tomara cursos o talleres de otros temas, tendría pre-requisitos distintos.

Cuando esté aprendiendo, conecte lo nuevo con lo viejo. Una forma de comprender mejor lo que se está aprendiendo es conectar esos conceptos o ideas con lo que ya conoce. De esta forma el conocimiento nuevo tiene un contexto y es más fácil que tenga sentido. Una forma de hacerlo es generar preguntas que se basen en los conocimientos previos pero que tengan que ver con lo que está aprendiendo en ese momento.  En general habría que preguntarse ¿Cómo se relaciona esto que estoy aprendiendo con lo que ya sé?  ¿Cómo me va a servir esto que estoy aprendiendo?

Ejemplo: usted ya sabe los pre-requisitos de los firewalls y está aprendiendo a configurar reglas para un determinado equipo ¿Qué tipo de ataque puedo frenar o detectar con cada regla?  ¿Puedo escribir esta regla de otras formas? ¿En qué orden conviene que estén las reglas? ¿Cómo puedo dejar pasar el tráfico válido en cierto protocolo  y frenar el tráfico inválido o malicioso? ¿Hay reglas que se recomiendan por omisión,  y por qué?

Cuando aprenda algo, intente descubrir e identificar los conceptos sobre los que se basa o los principios genéricos. Mi abuelita decía “No memorices las recetas, mejor aprende las reglas para combinar los alimentos y sus sabores, así podrás crear tus propias recetas”. Por ejemplo, si usted aprende a realizar un análisis de riesgos en un taller, hágase estas preguntas: ¿Cómo lo pondría en práctica en mi organización?, ¿qué recursos necesitaría?, ¿qué conocimientos o experiencias me podrían faltar?  Si se imagina realizando la tarea de hacer el análisis de riesgos, las respuestas a estas y otras preguntas podrán resultar más sencillas y va usted a entender el curso de manera distinta.

Nota: Las dos recomendaciones anteriores están muy interconectadas;  al final lo que queremos es conectar lo nuevo con lo anterior y poderlo aplicar, en forma práctica y efectiva, en nuestra vida diaria.

Comparta lo que conoce. De esa forma se crea una cultura de compartir y además refuerza los conceptos al explicarlos y al contestar las preguntas de sus compañeros y amigos, o al identificar vacíos en sus conocimientos o experiencias.

Conecte sus conocimientos cuando resuelva problemas. Cuando se enfrente a un reto, primero observe cuál es el problema (de preferencia escríbalo), después defina o visualice la situación ideal y, a continuación, trate de asociar qué conocimientos y experiencias pasadas de usted y del equipo de trabajo involucrado pueden servir para resolver el problema.

La Dra. Shelley Carson, investigadora de la Universidad de Harvard, ha estudiado los modos en que opera el cerebro cuando resuelve problemas o enfrenta retos; en el modo que ella llama “de conexión” (connect en inglés), el cerebro utiliza la parte asociativa que se encuentra entre los lóbulos temporal y parietal. En la medida en que practicamos más la asociación o conexión de conceptos y conocimientos, mayor será el área que el cerebro dedique a esta tarea, e igualmente mayor será nuestra habilidad para resolver problemas.

Espero que las recomendaciones anteriores le sean de utilidad. Como siempre son bienvenidos sus comentarios. Hasta la próxima y no se olviden de conectar sus conocimientos.

[email protected]