Developing Talent in Security Operations

Clarke Rodgers:
Cuando quieres contratar a alguien, ya sea con recursos internos o una contratación externa, ¿qué es lo que buscas, ya sea para el puesto de SOC analyts u otros roles de la organización? ¿Buscas una mentalidad en particular o un conjunto de habilidades específico? ¿Cómo lo haces?

Tom Avant:
Dentro de nuestra organización, hay 12 familias laborales diferentes. Y mucha gente dice: “¿cómo? ¿Tiene una organización con 12 familias laborales diferentes?”. Y tanto que sí. De todo, desde PM, TPM, support engineers, systems engineers. Tenemos pequeños equipos de desarrollo táctico. Por lo tanto, tenemos software development engineers, SDM, security engineers. Bueno, lo estoy enumerando todo. La lista sigue y sigue.

Por lo tanto, en general, según el trabajo en particular al que vayas a dedicarte, habrá un conjunto determinado de cualificaciones básicas y requisitos específicos. Sin embargo, cuando se habla de trabajar en nuestra organización en su conjunto, buscamos personas con alta capacidad de juicio. Buscamos personas que estén acostumbradas a trabajar en situaciones ambiguas. Estamos acostumbrados a personas que tienen una disposición natural a hacer lo correcto y… No quiero decir que te metas de lleno en un incendio, no me gusta necesariamente esa imagen, pero quizás sí que te acerques, lo evalúes y te asegures de que lo abordas de la manera correcta.

Por lo tanto, buscamos a ese tipo de personas, aquellas personas que ya están predispuestas a responder y con una motivación más profunda independientemente de su puesto.

Clarke Rodgers:
Y me imagino que con un cierto nivel de curiosidad: “¿cómo puedo romper las cosas para asegurarme de que no se vuelvan a romper?”.

Tom Avant:
Sí, totalmente. Y también, personas a las que no les guste hacer lo mismo una y otra vez, porque aunque eso es parte de lo que ocurre cuando diriges un centro de operaciones global las 24 horas del día, los 7 días de la semana, vas a tener monotonía. Quiero a la gente que está cansada de eso. Quiero a gente que diga “oye, ¿llevas seis semanas haciendo esto? No quiero seguir haciendo esto”. Y luego encuentran formas de salir de eso o maneras más innovadoras de solucionarlo o automatizar las soluciones, o “mira, quizá podemos probar a hacer este proceso de una manera diferente”.

Esas son las personas que busco. Los que se preguntan “¿por qué hacemos esto de esta manera?”. Y si tiene sentido, entonces están de acuerdo. Y si no tiene sentido, entonces trabajan con otros para encontrar la manera de no hacerlo así más. Eso es lo que estoy buscando.

Clarke Rodgers:
Entonces, dijiste que se trabajaba de manera ininterrumpida. Eso puede ser muy estresante para una persona si se alarga en el tiempo. ¿Cómo se ven las cosas desde la perspectiva de la gestión humana para asegurarse de que el equipo no está agotado, de que tienen la capacidad de rotar entre una o más de esas 12 familias laborales y tener una carrera satisfactoria sin agotarse todos los días en el trabajo?

Tom Avant:
Muchos de los miembros de mi equipo de dirección contamos con trayectorias profesionales diferentes, en las que el desarrollo profesional era una piedra angular fundamental para el funcionamiento de esas trayectorias. No era así cuando asumí el mando de este espacio hace años. Pero era algo que me pareció importante incorporar para garantizar que las personas vieran el camino a seguir.

No solo por niveles. No se trata de pasar al siguiente nivel, sino de desarrollar habilidades, desarrollar roles y comprender la empresa. Conversaciones como esas son las que nos llevaron a avanzar desde lo físico a ese espacio de fusión de lo físico, lo cibernético y lo lógico, ¿verdad? Al decir: “¿cómo desarrollamos a estas personas que ya tienen un buen rendimiento? ¿Cómo les damos mayores oportunidades? ¿Cómo nos unimos a otros equipos? ¿Cómo podemos encontrar más oportunidades para ayudar, crecer y aprender? ¿Cómo contratamos y desarrollamos realmente a los mejores?”. Esa es la parte de “desarrollar lo mejor” que necesitaba ese enfoque. Así que ahí es donde realmente nos pusimos manos a la obra.

Tom Avant:
El panorama de las amenazas cambia constantemente, más rápido de lo que la mayoría de la gente puede imaginar. Por lo tanto, si únicamente desarrollamos a expertos en seguridad que solo son buenos en un área, entonces no hay manera de que podamos mantenernos al día con los cambios tan rápidos que se están produciendo en el mundo.

Así que, trabajando con la dirección, empezamos a pensar en cómo podemos crear lo que yo llamo un security analysts de “espectro completo”. ¿Cómo formamos a una persona que esté bien versada en una disciplina para que comience a desarrollar habilidades en otra disciplina? Y empezamos por asumir responsabilidades más pequeñas. Así que hicimos un poco de formación, trabajamos con diferentes programas de formación, cursos de ventas, cosas por el estilo. Y luego, al final, decidimos que, vale, nos ocuparemos de algunas de las cosas que están haciendo nuestros otros equipos porque operamos muy bien a escala.

Y lo bueno del SOC es que, aunque contamos con el respaldo de nuestra gente, nuestro primer objetivo es siempre automatizar primero la búsqueda de soluciones. Los humanos son nuestro último recurso. Y al hacerlo, pensamos “a ver, hay algunas cargas de trabajo que, aunque cuenten con las mejores intenciones de automatización, todavía necesitan una persona con buen juicio para poder realizar algunas acciones”. Pero en algunas de ellas, tenemos personas con diferentes habilidades. No querrás coger a un individuo de ciencia computacional muy hábil y luego darle algo que no requiera el uso al completo de su habilidad, porque sería desperdiciar ese recurso.

Así que, si lo piensas, es como la administración de recursos. Cuando tuvimos esa conversación, dijimos “vale, podemos aprovechar algunas de esas cosas y desarrollar la capacidad de nuestro personal para poder operar en todos los dominios”. Y, al mismo tiempo, liberar algunos recursos para mis compañeros del otro lado de la organización para que puedan abordar la tarea más ambigua.

En cuanto a las cosas del día a día, queremos asegurarnos de que podamos hacer pequeñas cosas sencillas, como tener una cafetería disponible. Te sorprendería que a mucha gente que ha trabajado en centros de operaciones antes, le resultaba muy difícil…

Clarke Rodgers:
La pizza hace mucho.

Tom Avant:
La pizza hace mucho. Pizza, un par de bebidas, patatas fritas. La gente está contenta. No es ninguna tontería, quiero decir que realmente…

Clarke Rodgers:
No, claro. Es algo real.

Tom Avant:
Es algo real. Estás en ese centro de operaciones y, a veces, estás tan metido en lo que está pasando, que cuando te das cuenta, has estado solucionando un problema durante cuatro horas seguidas. Ni siquiera lo notaste, ¿sabes? Y necesitas poder disponer de combustible para seguir adelante.

También nos aseguramos de que las personas tengan la oportunidad, como dije, de rotar los puestos para que sepan que “oye, estos son los requisitos necesarios para pasar a un puesto diferente”.

Todavía tenemos guardias. Las guardias son inevitables cuando se ejecuta un sistema global. Sin embargo, en muchos lugares, hemos podido mudarnos a un sistema globalizado, donde hacemos un traspaso, otro equipo se encarga y seguimos en movimiento.

Clarke Rodgers:
Como preparación para esta entrevista, consulté la wiki de tu equipo interno y vi que tienes tus principios publicados allí. Principios que utilizamos en AWS para ayudar a las personas a obtener orientación cuando no hay algo prescriptivo para cada situación en particular. Así es como trabajas. Y mencionaste uno anteriormente: “el último recurso es escalar con humanos”, por lo que, está claro, hay que centrarse realmente en la automatización, donde tenga sentido, y luego que el ser humano pueda tomar esas decisiones basadas en el riesgo. Hay un par más de los que me gustaría que hablaras porque creo que son fantásticos.

Tom Avant:
Claro.

Clarke Rodgers:
El primero: “no posponemos, actuamos”.

Tom Avant:
Es cierto.

Clarke Rodgers:
Háblame de eso.

Tom Avant:
Mira, hemos visto demasiadas veces que, cuando la gente está ocupada, cuando están pasando muchas cosas, lo primero que dicen, normalmente al principio de su carrera profesional, es “ese no es mi trabajo”. No les decimos eso a los clientes, internos o externos. Si no somos los responsables, entonces te ayudaremos a encontrar a la persona adecuada que sí lo sea, y haremos una transición fluida y cordial. No nos limitamos a decir “oye, no es cosa nuestra”, y luego simplemente lo descartamos.

Y lo mismo de forma interna. Si llamas y estás buscando al equipo A y contactas con el equipo C, el equipo C no te dice que es cosa del equipo A. El equipo C se acerca al equipo A y le dice “oye, equipo A, ¿te encargas de esto? ¿Todo bien?”. He estado en el otro lado y después de la segunda o tercera vez que te transfieren, piensas: “¿qué pasa con esta organización?”.

Clarke Rodgers:
Sí, “¿no son la misma empresa? ¿Cómo es que no se hablan entre sí?”.

Tom Avant:
¿Cómo es que no se hablan entre sí? Exactamente. Justamente por eso lo hicimos.

Clarke Rodgers:
Me encanta eso. Y luego otro, que puede requerir un poco de explicación: “la seguridad no es una sociedad secreta”. ¿Qué significa?

Tom Avant:
Creo que muchas personas que no tienen experiencia en ciberseguridad o que no han trabajado en campos altamente tecnológicos se sienten intimidadas. Piensan “oh, Dios mío, no puedo aprender eso” o “no puedo programar.” Y yo pienso: “vaya, la mayoría de la gente que conozco no sabe programar”. También conozco a mucha gente que podría programar mucho mejor que nosotros.

Hay ambos tipos, pero se necesitan todos los tipos en la industria de la ciberseguridad, como todos sabemos. Si juntas a dos militares, especialmente si son del mismo servicio, en unos cinco minutos de conversación, hablan un idioma diferente debido a los acrónimos que usan, a las bases de las que nunca has oído hablar y a las diferentes palabras para las misiones, despliegues y esas cosas.

Y lo mismo ocurre en el campo de la ciberseguridad. Vienen personas que usan todos estos nombres en clave y acrónimos y, si preguntas qué significan, cobran sentido. Pero si no lo sabes y te limitas a escuchar, no te enterarás de nada. Y resulta tan intimidante que la gente piensa “oh, no puedo hacer eso”. Y nada más lejos de la realidad.

Por lo tanto, buscamos desmitificar, decir “¿sabes qué? Vamos a crear un entorno donde podamos aprender. Creemos un entorno en el que no haya una sensación de miedo”. Pregunta (esto lo demuestro en las reuniones); si dices un acrónimo y nunca lo he escuchado antes, te voy a preguntar. No me avergüenza, “¿qué significa eso? ¿Qué es?”. Ahora lo sé y puedo decírselo a alguien. Te sorprendería saber cuántas veces he preguntado y una persona ha dicho: “Ah, no lo sé.”

Clarke Rodgers:
Todo el mundo lo usa.

Tom Avant:
Todo el mundo se acostumbra al acrónimo. Ese tipo de cosas. Y luego creo que la otra parte es poder ser más... no solo precisos con nuestro idioma, sino también entender qué y cómo usamos nuestros términos y nuestras palabras. Crea un entorno en el que más personas se sienten bienvenidas y capaces de contribuir. Y la ventaja de eso, de verdad lo creo, es que hay alguien en esa sala que sabe la respuesta, o hay alguien en la sala que ha pensado en algo que nosotros no hemos pensado. Y si lo único que los detiene es que tienen miedo de sentirse avergonzados o de que nos riamos de ellos porque hay algo que no saben, quiero que alcen la voz. Quiero saber a qué se debe porque eso podría cambiar por completo la forma en que hacemos negocios.

Clarke Rodgers:
Ayudaría a AWS y ayudaría a los clientes de AWS y posiblemente más que eso, ¿verdad?

Tom Avant:
Ayudaría al mundo.

Clarke Rodgers:
Ayudaría al mundo.

Tom Avant:
Por supuesto.

Clarke Rodgers:
Bueno, ha sido fantástico, Tom. Gracias por estar aquí hoy. Gracias.

Tom Avant:
Muchas gracias por invitarme. Lo agradezco mucho.