Sandy Fadale, CRISC, CISM, CGEIT
Es consultor senior en seguridad de la información en la consultora Mariner Security Solutions. Tiene más de 25 años de experiencia de TI en profundidad en el campo computacional empresarial con énfasis en seguridad de la información, lo cual incluye seguridad de TI, desarrollo de aplicaciones, y continuidad de negocio. Antes de Mariner Security Solutions, Fadale fue gerente senior en Bell Aliant, gerente en Ernst & Young LLP y gerente en Visteon Corporation en sus prácticas de consultoría en seguridad de la información y riesgo. Ella también sirvió al ejército de Los Estados Unidos en telecomunicaciones, utilizando varias técnicas de cifrado. Ella ha sido la presidenta del Capítulo Provincias Atlánticas de ISACA, desde 2008. Fadale enseña cursos de revisión de las certificaciones CRISC, CISM y CGEIT, y es una experta en materia quien ha asistido en la creación de las ediciones del manual de revisión de la certificación CRISC de ISACA de las ediciones 2012, 2013 y 2014.
¿Cuál es el mayor desafío de seguridad que será enfrentado en 2017? ¿Cómo debiera ser enfrentado?
Ciberataques contínuos de Rusia y China
¿Cuáles son tus metas para 2018?
- Obtener mi certificación CISA (Auditor Certificado de Sistemas de Información)
- Convertir la línea producción de Entrenamiento de Servicios de Seguridad Mariner (MSS) en una muy respetada oferta de entrenamiento en las Provincias Atlánticas de Canadá
- Ayudar a crecer el negocio de Servicios de Seguridad Mariner
¿Cuál es tu blog favorito?
Krebs on Security @briankrebs
¿Qué está sobre tu escritorio en este momento?
Café descafeinado, dos monitores, un teclado inalámbrico, un mouse inalámbrico, un mouse pad, una luz y mi libro de notas de clientes
¿A quién sigues en Twitter?
Green Party Canada, Digital Forensics, Peter Morin, Paul Jauregui, TrendLabs, Think Progress, Kaseya, The IoT, Dark Reading, entre otros
¿Cómo te han impactado profesionalmente las redes sociales?
Me permite tener las últimas tendencias al alcance de mis manos.
¿Cuál es tu consejo número uno para otros profesionales en Seguridad de la Información, especialmente mujeres?
Tener confianza en lo que uno conoce. Existe una fina línea entre la asertividad y la agresividad—no la cruces.
¿Qué haces cuando no estás en el trabajo?
Paso tiempo con mi esposa al aire libre, acampando, jugando Pickleball y practicando yoga
¿Cómo piensas que el rol de los profesionales de seguridad de la información está cambiando o ha cambiado?
Se ha dicho por mucho tiempo que los empleados son la mayor amenaza, pero creo que eso no ha sido tan cierto como lo es ahora. Creo que la administración del riesgo de la información es una de las más importantes habilidades que un profesional de seguridad necesita poseer actualmente para proveer valor. Desde pequeñas “start-ups” hasta grandes organizaciones, los activos de información están abandonando nuestras organizaciones y la habilidad de entender dónde están y cómo aseguraros es extremadamente desafiante.
Atrás han quedado los días en que emitíamos edictos (a finales de los 80s y 90s). Ahora somos consultores y necesitamos entender el gobierno y cumplimiento, privacidad, métricas y la analítica de datos, así como habilidades de consultoría de negocios.
Proteger la información, sin importar dónde esté localizada, requiere una forma diferente de pensar. Los profesionales de seguridad de la información quienes están acostumbrados a concentrarse en la tecnología necesitan cambiar su enfoque en los procesos de negocio y los datos. La computación en la nube y los dispositivos móviles están controlando esta evolución; ellos están requiriendo que los profesionales de seguridad pasen más tiempo en el gobierno y proveyendo consejo a las organizaciones, más que en las responsabilidades operacionales directas de los entornos en la nube y móviles.
¿Cuáles sientes que son las habilidades de liderazgo críticas para que los profesionales sean exitosos en el campo de la seguridad de la información?
Yo creo que las habilidades analíticas son críticas para los profesionales de seguridad de la información. Las habilidades analíticas se refieren a la habilidad de coleccionar y analizar información, resolver problemas y tomar decisiones. Estas fortalezas pueden ayudar a incrementar y beneficiar la productividad de una organización.
Los empleadores buscan empleados quienes usen pasos claros y lógicos, y un juicio excelente para entender un problema desde todos los ángulos antes de ejecutar una acción.
Hay cinco habilidades que caen en las habilidades analíticas que creo que son importantes de mejorar: comunicación, creatividad, pensamiento crítico, análisis de datos y capacidades de investigación.
¿Cuál es la mejor manera para que alguien desarrolle esas habilidades?
Tener un mentor para enseñarte como afinar las habilidades analíticas es de mucha ayuda. No sientas que lograste dominar esta área. Continúa siempre refinándola.
Pero, ¿cómo eliges un mentor? Encuentra a alguien a quien emular y estudia a esa persona. Después pídele que sea un mentor. Asegúrate que esa persona entiende el área en la cual quieres crecer y por qué lo elegiste a él o ella. Continuamente evalúa tu crecimiento y la relación con el mentor. Puede ser raro al principio, pero deja que la relación se desarrolle orgánicamente. A medida que la relación crece y los desafíos te ponen a prueba, no trates de huir.
¿Qué consejo tienes para los profesionales de seguridad de la información a medida que planifican su carrera y miran el futuro de la seguridad de la información?
Este no es un tópico que sea claro y definitivo. Es extremadamente complejo y normalmente depende de una combinación de habilidades técnicas, habilidades no técnicas e intereses personales. No creo que alguien pueda solo ser un profesional técnico de seguridad de la información. Uno debe entender sobre redes, conmutación, técnicas comunes de hackeo más muchas otras áreas. He construido mi carrera bajo el alcance de la gente, los procesos, el gobierno y la administración del riesgo. Por lo tanto, aquellos quienes comienzan su carrera deben entender realmente cuál es el camino que quieren tomar: el genial lado técnico “¿Cómo piensan los hackers?”, o el lado del gobierno, riesgo y cumplimiento.
La manera en que las personas obtienen conocimiento es tan particular como el individuo. Por ejemplo, uno puede ir a la universidad y especializarse. Una vez que la universidad es completada y uno está en un rol junior, entonces puedes perseguir una certificación (y hay muchas de ellas). Dicho esto, sin embargo, solo tener una certificación y conocimiento de libros no hace automáticamente un profesional de seguridad efectivo. Me preocupa que los reclutadores y los departamentos de Recursos Humanos comúnmente confían demasiado en cualificaciones plasmadas en papel, dada la imperiosa necesidad de ocupar los puestos vacantes.
La seguridad de la información como una elección de carrera profesional es altamente recompensable. Sin importar la disciplina elegida, la seguridad requiere una larga vida de aprendizaje y cambio constante. Los profesionales de seguridad de la información nunca se aburren.
¿Cuáles piensas que son las formas más efectivas de atender las brechas en las habilidades en materia de ciberseguridad, especialmente, la falta de mujeres en el ámbito laboral de ciberseguridad?
Parte del problema se deriva de la falta de información acerca de carreras en seguridad de la información. Este problema tiene sus raíces en los padres y los consejeros escolares que no conocen la gama completa de oportunidades o, en el mejor de los casos, reducen el campo solo a mirar la especialidad de prácticas de hackeo.
Comúnmente, a los padres y estudiantes se les dice que el único modo de seguir una carrera de seguridad es ir a través de un tradicional programa de ciencias computacionales o un programa de Redes Computacionales, y luego cambiarse a la disciplina de seguridad. Esta debió ser la realidad 10 años atrás, pero hoy este ya no es el caso: Un creciente número de escuelas están ofreciendo cursos de grado e incluso de posgrado que alimentan las carreras de seguridad de la información.
Las organizaciones necesitan retener a los empleados a medida que las oportunidades de cambiar de trabajo por más dinero son numerosas en este campo. Las técnicas de retención incluyen proveer oportunidades de educación continua y desarrollo profesional y establecer un programa claro de desarrollo.
Los profesionales de seguridad de la información pueden trabajar juntos para comenzar a hacer una diferencia en la brecha de talentos de ciberseguridad. Los esfuerzos pueden ir desde retener a los empleados existentes, reclutar alumnos de preparatoria en caminos educacionales específicos, y unir al sector gubernamental, el sector privado y académicos para compartir asombrosas oportunidades de empleo y crecimiento en elsiempre creciente campo de la ciberseguridad.
Tú serviste al ejército de Los Estados Unidos. ¿Cómo es que esa experiencia modeló tu experiencia profesional como un civil?
Cuándo estuve en el ejército a finales de los años 70, probé un poco de la seguridad a medida que configuraba el cifrado de 16 bits de los canales de comunicación, y supe que esta era la carrera para mí. La seguridad no era un tema después de mi salida del ejército como un veterano discapacitado en 1980. Sin embargo, en 1986, yo regresé a la escuela y me gradué en ciencias de la computación y posteriormente me sucedió una oportunidad para trabajar como administrador de seguridad en 1989 y la tomé. El resto es historia.
Yo creo que fui formada por el ejército en mi disciplina y respeto por la gente. Me crie con la idea de que tu palabra lo es todo y el estrechar las manos es un compromiso, y el estar en el ejército me reforzó eso.
¿Cuál ha sido el mayor desafío de tu lugar de trabajo o carrera profesional y cómo lo enfrentaste?
Al trabajar en una organización verdaderamente global varios años atrás, me enfrenté con el tener que entender las leyes de privacidad, leyes de seguridad y regulaciones alrededor del mundo. Las políticas de seguridad no pueden ser escritas en una compañía matriz y eliminadas de sus filiales porque las leyes de los países difieren.
Tuvimos un incidente en Italia que necesitábamos investigar. Durante la investigación, recibí una llamada de nuestro departamento legal preguntando qué estaba yo haciendo, así que les conté. Por lo que fui inmediatamente avisada que Italia tiene algunas de las más estrictas leyes de privacidad en el mundo y que no debí haber visto lo que había visto. Terminamos construyendo un pequeño centro de datos allí con el objetivo que la información se mantuviera dentro del país.
Tuve que actualizar las políticas para reflejar de mejor manera las leyes alrededor del mundo.