Hace más de un año, un destacado experto en seguridad en América Latina, con quien colaboraba para fomentar una cultura de seguridad más robusta y al igual que yo tenía una obsesión por identificar y responder ante riesgos cibernéticos, compartió un video muy interesante sobre security champions conmigo y otros colegas. En este, Tanya Janca expone su visión sobre la transformación de campeones de seguridad; encontré su perspectiva particularmente interesante, y me llevó a reflexionar sobre varios desafíos que he enfrentado en los últimos 18 años de carrera.
Durante este tiempo, he tenido la responsabilidad de ayudar a crear o liderar equipos de alto rendimiento en aspectos ofensivos y defensivos de la seguridad y la ciberseguridad. Si has leído mi opinión sobre la simplificación de la ciberseguridad, sabrás que, desde mi punto de vista, como industria estamos atrapados en un ciclo vicioso: buscamos constantemente más y mejores practicantes en ciberseguridad, pero, al mismo tiempo, fomentamos la escasez de personal al no siempre buscar y mantener una cultura centrada en la ingeniería y la resolución de problemas, más bien, nos enfocamos en la adopción desmedida de mejores prácticas y tecnología. Por eso, en este artículo quiero compartir mi experiencia sobre los security champions y las características que los definen. Esta visión será general, pero en futuras publicaciones profundizaré en algunos de estos aspectos. No olvides ver la charla de Tanya Janca y considerar la aplicación de algunos o todos los puntos que menciona.
A lo largo de mi carrera he tenido la oportunidad de interactuar con diversos cybersecurity champions, lo que me ha llevado a darme cuenta de que son personas con ciertas cualidades y habilidades, las cuales no estan relacionadas directamente con una profesión, sino que son una mezcla de su personalidad, experiencia o inexperiencia, cultura, y su historia; sin embargo, comparten algunas condiciones que me gustaría mencionar.
En primer lugar, señalo que el término security champion se usa frecuentemente en el contexto de seguridad aplicativa, sin embargo, prefiero adoptar una definición personal y más amplia. Considero que es una persona dinámica y conocedora de la tecnología, que se dedica a crear entornos seguros. Por naturaleza, es una persona inquieta, ansiosa por entender cómo funcionan las cosas. Esto lo lleva a leer, escribir, compartir conocimientos y participar activamente en foros y comunidades. Estas características los convierten en actores clave para mantener una postura de ciberseguridad efectiva, no solo en su lugar de trabajo, sino también, en muchas ocasiones, en la sociedad en general.
Entre sus cualidades más destacas se encuentran:
- Conocimientos técnicos sólidos: más que solo acumular títulos universitarios o certificaciones de la industria, poseen una profunda comprensión de una amplia gama de conceptos, principios, diseños y prácticas en diversas áreas de la ciberseguridad y la tecnología. Su fortaleza no reside necesariamente en ser expertos en cada pequeño detalle, sino en su capacidad para abstraer y comprender los contextos. Esto les permite entender de manera amplia y completa tanto los problemas como los beneficios de la tecnología, así como sus implicaciones en el ámbito de la ciberseguridad.
- Adaptabilidad y aprendizaje continuo: su naturaleza inquisitiva y su interés en comprender ‘por qué’ y el ‘cómo’ de las cosas los mantiene en una constante búsqueda de conocimiento que abarca tanto aspectos teóricos como técnicos. Esta curiosidad los impulsa a investigar activamente, a realizar laboratorios, a participar en congresos y a integrarse en comunidades de conocimiento. Además, su pasión por el aprendizaje va más allá de la seguridad o la tecnología. Se interesan en una variedad de campos, desde la neurociencia y modelos de aprendizaje hasta habilidades prácticas como preparar el mejor café del mundo. Esta amplia gama de intereses les permite enriquecer su enfoque en la ciberseguridad con perspectivas y habilidades diversas.
- Curiosidad y mentalidad analítica: su constante indagación sobre el ‘por qué’ y el ‘cómo’ los conduce a un enfoque analítico y metódico. Esta actitud conlleva a no conformarse simplemente con seguir las mejores prácticas o el statu quo. En su lugar, buscan activamente nuevas estrategias y enfoques para mejorar su entorno. En resumen, aunque poseen un pensamiento crítico riguroso, es su forma única de comprender y buscar conocimiento lo que posibilita el abordaje de los problemas desde perspectivas innovadoras y pensar out of the box.
- Comunidad y liderazgo: a menudo emergen como líderes naturales, más allá de cualquier rol formal asignado. Su profundo conocimiento y experiencia los convierten en figuras influyentes en sus entornos. Los colegas buscan trabajar con ellos, aprender de ellos y, lo más importante, les gusta escucharlos. Aunque muchos de estos líderes tienden a ser introvertidos y prefieren trabajar de manera aislada, demuestran una habilidad notable para comunicar y defender sus ideas cuando es necesario. Saben cómo articular sus pensamientos, sostener sus puntos de vista y establecer claramente su postura, lo que refuerza su influencia y respeto dentro de la comunidad.
- Manejo de las expectativas: el manejo de las expectativas es crucial al trabajar y liderar a los cybersecurity champions, quienes representan un desafío constante debido a su naturaleza dinámica. Estos no solo cuestionan el statu quo y se entregan completamente a su labor, sino que también utilizan de manera eficaz sus habilidades de comunicación para comprender las expectativas que recaen sobre ellos; a medida que ganan experiencia y madurez profesional, he observado cómo crean entornos en los que logran satisfacer estas expectativas, al mismo tiempo que establecen sus propias reglas. Este equilibrio les permite destacar en sus entornos laborales, cumpliendo con sus objetivos sin perder su esencia.
- Ética y responsabilidad: son individuos íntegros que actúan con una firme adhesión a los estándares éticos. La confiabilidad es un pilar en su desempeño; un aspecto importante a destacar es su tendencia a asumir riesgos, a veces de manera temeraria. Aunque no todas las acciones arriesgadas resultan como esperan, asumen plenamente su responsabilidad y actúan siempre de buena fe, buscando lo mejor para su entorno y su equipo.
Tanya Janca acierta al señalar que no deberíamos simplemente nominar a alguien para ser un security champion. En cambio, si estás buscando mejorar la cultura y la resiliencia en tu organización y crees que este tipo de rol podría ser beneficioso, es crucial considerar que la cultura organizacional y la confianza son pilares fundamentales para el surgimiento y desarrollo de estos champions.
Por otro lado, si te identificas con las cualidades que he mencionado anteriormente, recuerda que la perseverancia trae recompensas. Buscar grupos, asociaciones o proyectos que fomenten este tipo de cultura podría ser el entorno ideal para ti.
Cabe destacar que no todo se reduce a ser un cybersecurity champion. He conocido a personas brillantes, con una visión estratégica excepcional y una gestión impresionante de la seguridad, que son referentes en la industria debido a sus vastos conocimientos técnicos y de negocio, pero que no están interesadas en ser un champion. Estas personas encuentran el éxito en otro tipo de roles. Por lo tanto, ser un security champion no es una solución universal ni el único camino hacia el éxito en el campo de la ciberseguridad.
¡Vaya viaje! Tu experiencia y tus reflexiones son tan cercanas y concretas que se siente como si estuviera leyendo la entrada de un diario de vida profesional. La forma en que articulas la importancia de los security champions y las cualidades que los definen es muy clara y convincente. También me gusta cómo mencionas que ser un cybersecurity champion no es para todos y que hay múltiples caminos hacia el éxito en el campo de la ciberseguridad. Esa mentalidad abierta y flexible es invaluable en un mundo tan dinámico como el de la tecnología y la seguridad. ¿Tienes pensado profundizar más en algún aspecto específico en futuras publicaciones? Eso sería muy interesante de leer.