Hablamos con dos estudiantes que están haciendo prácticas en equipos de gestión de riesgos cibernéticos. Vienen de carreras completamente diferentes y eso afecta cómo abordan los problemas.
David estudia ingeniería informática en su cuarto año. Le asignaron analizar vulnerabilidades en aplicaciones web de la empresa. Su ventaja es que entiende el código y puede evaluar si una vulnerabilidad es realmente explotable o solo teórica. Revisa aproximadamente veinte hallazgos de escaneos automatizados cada semana. El ochenta por ciento resultan ser falsos positivos o tienen impacto mínimo. Lo que le cuesta más trabajo es explicar el riesgo técnico a gente de negocio. Tiende a enfocarse en los detalles técnicos cuando lo que realmente quieren saber es cuánto dinero podría perder la empresa.
Laura viene de criminología y está en un máster de ciberseguridad. Trabaja en análisis de riesgo de terceros proveedores. No programa ni hace pentesting, pero resulta que eso no importa tanto como pensaba. Su trabajo consiste en revisar contratos, políticas de seguridad y certificaciones de proveedores. Evalúa aproximadamente cinco proveedores nuevos al mes. Lo que aporta desde su formación es experiencia en análisis de comportamiento y evaluación de riesgos no técnicos. Detectó problemas en un proveedor revisando cómo manejaban incidentes previos, algo que los técnicos habían pasado por alto.
Ambos usan los mismos marcos de referencia pero los aplican desde ángulos distintos. David prefiere métricas técnicas como CVSS. Laura se fija más en controles organizacionales y cumplimiento normativo. Sus supervisores dicen que los dos enfoques son necesarios porque el riesgo cibernético no es solo un problema técnico.