Cómo hacer que el conocimiento en ciberseguridad sea más accesible para todos

El año pasado se produjeron algunas de las mayores fallas de seguridad de todos los tiempos. La mitad de los clientes de Marriott Starwood tenían sus datos personales comprometidos. A más de 100 programas de investigación de universidades les han robado valiosa propiedad intelectual. Los ataques de ransomware interrumpieron los servicios municipales en Atlanta y Baltimore.

Y en medio de estos fracasos, el gasto en ciberseguridad excedió los 80 mil millones de dólares en 2018, más de 2.000 proveedores de seguridad operan solo en los Estados Unidos, y los ejecutivos y juntas corporativas están dedicando más tiempo que nunca a considerar los riesgos de seguridad. ¿En qué otro escenario es tan difícil el éxito generalizado, y por qué esta extraña anomalía persiste?

Sí, la ciberseguridad es difícil, y siempre lo será. Los atacantes continuarán innovando con nuevas técnicas, y las oportunidades para sembrar caos seguirán proliferando a medida que sigamos combinando nuestra vida cotidiana con el mundo digital.

La buena noticia es que podemos hacerlo mejor. El gran problema con la seguridad no son las personas, los procesos o la tecnología. Aunque es imperfecta, la industria de la ciberseguridad está llena de personas talentosas, que trabajan muy duro, la conciencia de la importancia de la seguridad va en crecimiento, los procesos mejoran muy rápido y la tecnología adecuada no es escasa. El asunto es más bien cultural, y es la raíz de todas las deficiencias en este campo.

Con demasiada frecuencia, la seguridad se envuelve en una cultura inmadura, de “artes oscuras” que perjudica la manera en que la gente, los procesos y la tecnología funcionan. Esto deriva en una falta de diversidad en su base de talentos y disuade a nuevos participantes, aumenta su debilidad en la comunicación efectiva con sus constituyentes reales, líderes corporativos y gubernamentales de los cuales los ciudadanos dependen para la seguridad en sus vidas digitales, y fomenta la tolerancia por herramientas arcanas, demasiado complejas y difíciles de usar.

Que esta cultura exista no debería sorprendernos. Hay un alto misticismo en el mundo cibernético. Muchos investigadores e ingenieros de seguridad se enorgullecen de haber ganado sus habilidades a base de un alto consumo de bebidas energéticas y muchas horas de trabajo nocturno, a menudo en estadios clasificados o en roles sujetos a la confidencialidad. Los equipos, los enfoques y las herramientas que surgen de esta mentalidad, favorecidos en la industria actual, son por lo tanto, en su mayoría auto-referenciales, dirigidos a expertos, a personas externas. Pero no hay suficientes defensores altamente calificados para cubrir las filas de organizaciones que enfrentan ataques cada vez más sofisticados, y los miembros de la comunidad de seguridad no son las personas a las que sirven.

Acabar con esta cultura del misticismo es algo imperativo para todo el que busque mejorar la seguridad digital a nivel mundial. Por fortuna, no es un imposible. Algunos cambios simples, aunque no por ello fáciles, nos ayudarían en mucho a alcanzar este objetivo.

Expandir el talento

Como primera medida, la cultura de la seguridad necesita abrazar una verdadera diversidad cognitiva, es decir, dar la bienvenida a personas que cuentan con un conjunto más diverso de habilidades, puntos de vista y experiencia. La industria de la ciberseguridad ya tiene más de 30 años, y algunas de sus tecnologías más prevalentes han existido desde el comienzo. Dado el impacto de los incidentes en seguridad que hemos visto en los últimos años, es seguro decir que los enfoques actuales no están funcionando. Parte del problema es que las mismas personas, a menudo muy inteligentes, que construyeron la industria, son las que están trabajando ahora en esos problemas, sin ofrecer suficientes aportes nuevos.

La cultura de la seguridad contribuye a interrumpir el equilibrio natural entre la oferta y la demanda de mano de obra. Esta desalineación es preocupante, sobre todo por la escasez endémica de talento en seguridad. Es probable que haya 3.5 millones de vacantes en seguridad cibernética sin llenar para el 2021, sin embargo, solo el 11% de la fuerza laboral en este campo es femenina. Tal vez por razones como el hecho de que pasaron 16 años para que la mayor feria comercial de la industria de la seguridad, RSA, prohibiera a los vendedores emplear a chicas de aparador en la exhibición. Sin embargo, tolerar esta hostilidad es solo un ejemplo de las fallas de la industria.

La diversidad en todos los sentidos es la fuente de la innovación. Necesitamos nuevos puntos de vista sobre los problemas de ciberseguridad para tener una oportunidad real de desarrollar enfoques nuevos. Hemos de buscar talento en una gama más amplia de lugares, reclutar con procesos más estructurados promoviendo la diversidad y hacer un esfuerzo real en mejorar lo que se siente en el ambiente de trabajo para cada miembro de nuestro equipo. Corresponde a los líderes de la industria de la seguridad promover culturas corporativas y organizativas que brinden diversas perspectivas para desarrollar los nuevos enfoques de los problemas de seguridad que son necesarios para triunfar.

Hablar en un lenguaje común

La segunda forma en que el misticismo en la cultura de seguridad obstaculiza su eficacia es en cómo los líderes tienden a interactuar con los responsables de la toma de decisiones empresariales que apoyan. En general, la industria necesita evolucionar más allá del miedo y aprender a hablar de maneras que los consejos de administración y los equipos de administración puedan entender. Por ejemplo, la mayoría de los consejos y ejecutivos tienen más fluidez en el lenguaje contable que en Ruby o Java. Esto es en parte por su educación, y porque las generaciones nacidas en lo digital en muchos lugares aún no han ascendido a la cima de la escala corporativa. Pero la falta de fluidez no debe comprometer el buen gobierno.

Incumbe a los propios profesionales de la seguridad traducir los arcanos de su trabajo al lenguaje del riesgo empresarial, y a los equipos y juntas de administración les corresponde reunirse en un punto medio. La ciberseguridad no es algo extraño y exógeno que requiere un vocabulario y una visión del mundo completamente nuevos, es un riesgo empresarial central que debe gestionarse dentro de los marcos existentes. Eso puede hacer que la seguridad sea menos élite a los ojos de algunos profesionales, menos exclusiva, pero hará que sea más efectiva, lo que es el punto.

Hacer que las herramientas sean más fáciles de usar

Como último punto, la cultura de seguridad debe dejar de tolerar las herramientas y los estándares diseñados para proteger a los expertos, en lugar de hacer que sea más accesible para una gama más amplia de personas. Debemos aprender a adoptar la apertura y la facilidad de uso en productos de seguridad empresarial, de la misma manera que los productos de consumo satisfacen a sus usuarios.

La facilidad de uso no es solo una cuestión de conveniencia, sino de seguridad en sí. Tomemos la brecha en Target como ejemplo. No ocurrió porque las herramientas y los equipos de seguridad no estuvieran presentes, o porque no funcionaran. La brecha fue detectada, el producto funcionó y alertó al equipo sobre el problema. Pero esas banderas rojas relevantes fueron inundadas en un mar de otras alertas, ahogando a los operadores con minucias. En lugar de separar la señal del ruido, las señales se convirtieron en ruido porque los productos eran demasiado difíciles de usar, abrumando a sus operadores humanos en lugar de empoderarlos.

Este no es un problema imposible de resolver. Consideremos como ejemplo el tema simple de la sintaxis de consulta. Una tarea de rutina de la ciberseguridad es preguntar a través de su infraestructura si puede ser vulnerable a un nuevo ataque en particular y en qué lugar. Por lo general, esto requiere el conocimiento para elaborar una pregunta muy compleja. En su lugar sería más conveniente reunir los avances en la ciencia de datos y la experiencia del usuario para traducir esa sintaxis compleja en un comando simple y sencillo como «Buscar PowerShell malvado».

La gente, el proceso y los productos están relacionados.Un analista de la industria afirmó al respecto que «el diagrama de Venn de organizaciones con productos capaces y personas capaces de usarlos de manera efectiva se parece al logotipo de Mastercard». Dos círculos en su mayoría no superpuestos. Las organizaciones deben considerar la experiencia del usuario y la facilidad de uso como la forma de realinear ese diagrama de Venn: un producto capaz, usado de manera efectiva, que protege mi negocio de daños y pérdidas.

Cambiar la cultura de seguridad puede animar a nuevos participantes a aprovechar la oportunidad de aprender y ser productivos rápidamente, incluso si al inicio carecen de experiencia profunda. Puede ayudar a cerrar la brecha entre los equipos de seguridad y los equipos de administración para los que trabajan. Y para darles a esos equipos una oportunidad de éxito, podemos cambiar las normas para que todos se centren en crear herramientas que sean fáciles de aprender y usar. Solo entonces, con una base de talentos más amplia, comunicándonos bien y estando equipados con productos más utilizables, tendremos la oportunidad de luchar para revertir el fallo sistémico de la seguridad.

Publicamos nuevo contenido todos los días, no olvides seguirnos en nuestras redes sociales, Twitter, Facebook y LinkedIn para recibir nuestros artículos más recientes de primera mano.

*Fuente: Fast Company.