Llegamos a ustedes gracias a:



Columnas de opinión

¿Por qué fallan los profesionales de seguridad (y qué hacer al respecto)

Por: Dan Lohrmann, director de tecnología de Michigan

[30/12/2010] Es probable que haya oído la frase, "El fracaso es la clave del éxito". ¿Pero los profesionales de seguridad realmente aprenden de sus errores? A medida que el robo de identidad y los riesgos en línea siguen creciendo, ¿está nuestra industria superando el desafío o repite los desaciertos del pasado? Si bien la tecnología de seguridad está mejorando, los malos también tienen acceso a mejores herramientas. Así que ¿los chicos buenos están trabajando de manera más inteligente?

La sabiduría convencional dice que necesitamos más formación del personal y certificaciones técnicas de seguridad. Otros dicen que salarios más altos, un mejor entendimiento de los chicos malos, más capacitación para el liderazgo ejecutivo o la incorporación de más ejecutivos de alto nivel. Si bien todo esto ayuda, he visto personal de seguridad que falla en todo lo anterior.
A medida que he viajado por el mundo, he identificado algunas trampas comunes que ocasionan que fallen los profesionales de seguridad. ¿Qué funciona y qué no en la consecución de los mejores resultados de seguridad? Si se llama a sí mismo un profesional de la seguridad, aquí hay siete lecciones que debe aprender.
Problema # 1: La seguridad se considera como un deshabilitador
Los profesionales de seguridad son a menudo vistos como aguafiestas. Esto amenaza la credibilidad de cada consultor de seguridad. ¿Ofrece problemas o soluciones? ¿Es visto negativamente en el negocio?
Tome la computación en la nube, por ejemplo. El mundo de la tecnología está avanzando hacia la nube. Mientras se escriben miles de artículos positivos se están escribiendo sobre el retorno de la inversión y los aspectos de transformación de las nuevas arquitecturas de nube, el mundo de la seguridad está ocupado imprimiendo artículos acerca de por qué la nube es una mala idea.
Clave # 1: Conviértase en un facilitador. Entonces, ¿qué se puede hacer? ¡Deje de decir "no" a sus clientes! Ofrezca soluciones seguras. Sea un facilitador. Dígales cómo se asegurará de que su proyecto se entregue a tiempo, dentro del presupuesto, y con el nivel adecuado de seguridad. Pregúntese a sí mismo si la empresa ve valor u obstáculos en su enfoque.
En el 2004, cuando era CISO de Michigan, estaba en el campamento "no inalámbrico", cité a numerosos expertos de la NSA y otras agencias de tres letras que dijeron que las redes inalámbricas no podían ser protegidas. Mi jefe en ese momento, Teri Takai, es ahora CIO de California. Ella me retó a implementar una infraestructura inalámbrica segura, siguiendo los ejemplos de varias compañías. Los consejos de Teri me hicieron repensar mi enfoque empresarial. Con el tiempo, llegue a ser conocido como un facilitador de nuevas tecnologías, y Michigan ganó premios por nuestras redes inalámbricas seguras.
Problema # 2: Seguridad ofrece una única solución
Un segundo error común que los profesionales de seguridad hacen es adoptar un enfoque de talla única para la seguridad cibernética. Vemos las cosas en blanco y negro -por ejemplo, o es encriptado o no lo es.
La percepción común es que los equipos de arquitectura de la empresa llegan con un gran diseño con el que los programadores, la gente de redes y todo el mundo está de acuerdo, solo para contar con seguridad y ofrecer una "solución" que cambia totalmente la arquitectura. Quieren agregar servidores de seguridad, zonas, restricciones, nuevas cajas negras y mucho más -es tanto el incremento de costos que se termina paralizando el proyecto. Mientras que el staff de seguridad puede ver la provisión de este tipo de respuesta como un concepto de sí se puede, otros lo ven como creación de impedimentos.
Clave # 2: Ofrezca opciones de oro, plata y bronce. Intente ofrecer al menos tres alternativas. Busque otras soluciones de Gartner, Forrester, revistas tecnológicas y de colegas u otras empresas. Verifique en asociaciones de la industria, ex compañeros de trabajo y expertos externos que puedan ayudarlo con un rango de soluciones. Ayude al negocio a entender los riesgos asociados a cada opción, entonces deje que sus miembros hagan la selección final.
Una advertencia: Cuidado con las personas que siempre escogen la opción más barata como respuesta. No ofrezca alternativas que no funcionan o con las que no pueda vivir. Si el estilo es el bajo costo, asegúrese de que los riesgos se han explicado claramente antes de comenzar a implementar un enfoque "bronce".
Puede ser que incluso tenga que traer a un experto externo para explicarle a todo el mundo. Si tiene una mala relación con la gente de negocios, considere permitirles que elijan ellos al experto -pero asegúrese de que la persona tiene credibilidad en el área que está siendo discutida.
Problema # 3: No hay disculpas suficientes
Sin duda, los clientes de todo el mundo prefieren trabajar con alguien que tiene una actitud positiva, amable, humilde y paciente. Desafortunadamente, esta descripción no se ajusta a muchos profesionales de seguridad (excepto cuando están hablando con otros profesionales de seguridad). Más bien, tienden a eludir los procesos y la demanda de acción de urgencia para las prioridades de cielo-es-la caída de nivel.
Nosotros predicamos contra el miedo, la incertidumbre y la duda (MID) -pero no practicamos lo que predicamos. ¿Por qué? Debido a que (actualizado periódicamente) el MID por lo general funciona. El personal de seguridad utiliza como carta de presentación la compatibilidad con la ley, hackers del lado oscuro, problemas de malware, amenazas del tercer mundo y robos de identidad. El staff puede actuar como si estos retos fueran los únicos problemas que realmente importara arreglar. En pocas palabras, nos olvidamos de nuestro lugar y la razón de ser del equipo de seguridad.
Clave # 3: Exhiba una genuina humildad con excelencia profesional. El viejo adagio "El orgullo precede a la caída" tiene que estar en la mente de los profesionales de seguridad". Los malos están siempre mejorando. Ellos están trabajando más duro que nunca para derrotar lo que sea que esté haciendo para proteger su empresa. Este conocimiento por sí solo va a cambiar su perspectiva sobre su trabajo y cuando está realmente hecho. Lo que funcionó hoy puede no funcionar mañana. Así que tenga cuidado con las promesas que hace a los demás con respecto a la protección que va a implementar.
Los objetivos en esta área deberían incluir una buena colaboración, seguida de procesos establecidos del ciclo de vida del proyecto que construyen la seguridad. Declare una emergencia solo en raras ocasiones, u otras personas pensarán que usted grita que ahí viene el lobo. Busque ser un jugador de equipo respetado. Trate a los demás como le gustaría que lo traten. Un consejo: Únase al equipo de fútbol de la oficina, o participe en alguna actividad de entretenimiento de la compañía.
Problema # 4: Creer que el cliente no tiene ni idea
Así que está con ese cliente molesto. Lo ha pensado y ha llegado a la conclusión de que la gente de negocios no entiende de seguridad informática. No se dan cuenta los riesgos que están tomando. Ellos solo quieren marcar la casilla rápidamente y seguir adelante. No van a pagar por los controles, y está siendo forzado a intentar convencer a los auditores que está de acuerdo.
Peor que eso, ha llegado a la conclusión de que el equipo humano de negocios nunca lo conseguirá. Está emocionalmente desprotegido. Esto ha dado lugar a un tácito enfrentamiento de mentalidad de nosotros contra ellos en las reuniones de proyecto. El problema es que ellos tienen el dinero, la influencia y el poder para hacer que las cosas sucedan.
Clave # 4: Mejorar la atención al cliente mediante la separación de la gente por un lado y la seguridad por otro. Un experto de la industria que ha completado con éxito decenas de esfuerzos de integración importante me dijo esto: "Es cierto que siempre hay que superar a las personas, cuestiones de procedimiento y la tecnología, pero no están ni siquiera cerca de ser iguales en dificultad. Más de 90% de los problemas son realmente asuntos de personas.
Para empezar, el negocio se compone de personas. Estas personas tienen familia, juegan fútbol (u otro juego) y animan a los equipos deportivos locales. Recordar esto le ayudará a resistir la tentación de demonizarlos o cesarlos. Más que eso, le ayudará a tomar el tema difícil al que usted está apuntando, y separarlo de la persona con la que está en desacuerdo. Recuerde que la relación suele durar más que el desafío actual. Conozca la empresa, una persona a la vez. Genere confianza. Si escucha a sus clientes durante el almuerzo, naturalmente, construye relaciones que sobreviven a las cosas malas que suceden. Habitualmente el cliente tiene idea, así que pregúntese si desea conocer lo que él o ella hace.
Problema 5: Ciber ética personal: ¿Es usted un amenaza interna?
Muchos profesionales de seguridad se ven como los hackers de sombrero blanco que están exentos de las políticas que todos los demás deben seguir. ¿Esta cita de un hacker anónimo se ajusta a su caso?
"¿Cyber ética? ¿Perdón? La mayoría de los hackers que conozco piensan que esa frase es una paradoja. Las reglas son para los niños y otras personas que necesitamos mantener en una caja. ¿Políticas? ¿Está bromeando? Estas normas no se aplican a nosotros y esto es la guerra, nena. La ciberguerra nunca duerme. Todo vale en el amor y la guerra".
Esta perspectiva lo coloca a usted en una pendiente resbaladiza. La realidad es que cuanto más inteligente es usted, más avanza como un experto de seguridad cibernética, cuanto más lejos se llega como hacker, mayor es la tentación. A medida que aprenda lo que los malos hacen y cómo lo hacen, las nuevas formas para evitar ser detectados, los secretos del comercio y las mejores maneras de construir y conseguir defensas, se enfrentará a una serie de encrucijadas. Su ética, valores y creencias, inevitablemente, se pondrán a prueba. Esto es similar a un policía que arresta a los capos de la droga y encuentran un cargamento de cocaína y dinero en efectivo. ¿Deberían él o ella tomar un poquito mientras nadie mira?
Clave # 5: Búsqueda de rendición de cuentas, encuentre un buen mentor y practique la integridad virtual. Proclamamos estar integrados en la administración del riesgo y aún yo, nunca termino de asombrarme de cómo los profesionales de seguridad subestiman los riesgos online que corren en su vida profesional y personal. Arriesgan sus puestos de trabajo, su reputación, sus matrimonios y sus familias -inclusive están en riesgo de ir a la cárcel. En pocas palabras, creen que nunca serán sorprendidos haciendo lo que hacen en el ciberespacio.
Éstos son algunos consejos para evitar caer en esta trampa:
1) Solicite el asesoramiento de respetados colegas con respecto a la conducta ética práctica. Encuentre uno o más socios de rendición de cuentas que compartan sus valores profesionales. Recuerde que la responsabilidad es para los ganadores, no para los perdedores. Los mejores músicos, artistas y atletas son responsables ante los entrenadores. Todo aquel que se esfuerza por mejorar necesita rendir cuentas.
2) Encuentre un mentor de confianza de la industria a quien admire. Hágase responsable frente a esta persona con respecto a la dirección de sus decisiones en su carrera profesional.
3) Practique los siete hábitos de la integridad en línea que se encuentran aquí www.govtech.com/pcio/Seven-Habits-of-Online-Integrity.html. Después de identificar sus creencias fundamentales y los límites éticos, adhiérase a sus valores.
Problema 6: Carrera agotada
La mayoría de profesionales de seguridad experimenta síntomas de agotamiento en algún momento de sus carreras profesionales. En una encuesta realizada el año pasado, más de la mitad de los profesionales de la seguridad encuestados dijeron que estaban contentos en sus puestos de trabajo. De acuerdo con una guía de ayuda en línea, usted podría estar dirigiéndose hacia el agotamiento si:
* Cada día es un mal día.
* El cuidado de su trabajo o de su vida doméstica parece una pérdida total de energía.
* Está agotado todo el tiempo.
* La mayor parte de su día lo dedica a tareas que encuentra ya sea abrumadoramente aburridas o agobiantes.
* Siente como si nada de lo que hace marca la diferencia o es apreciado.
Clave # 6: Balance de perseverancia y vida laboral. Todos tenemos que reconocer que el estrés -e incluso el agotamiento potencial- minan el territorio. Prepárese para el estrés así como usted se anticipa a los cambios del clima. Busque las señales de advertencia. Sea consciente de que la posibilidad de agotamiento es un primer paso.
En segundo lugar, tome algún tiempo para dar un paso atrás y analizar su situación por lo menos una vez al año. Programe tiempo para escapar, e intente desconectarse en una parte de la pausa. Si revisa el trabajo durante las vacaciones, ponga barreras alrededor de su tiempo. Hable acerca de cómo van las cosas en el trabajo con personas de su confianza, pero que tienen una perspectiva diferente. Consiga la ayuda profesional de un médico, si es necesario.
En tercer lugar, reconozca que su carrera es más como una maratón que una carrera de velocidad. Me gusta esta cita de predicador Charles R. Swindoll: "Estás en el final. Acabado. Agotado. Usado. Has sido sustituido, olvidado. Eso es mentira...". Siempre hay esperanza.
Problema 7: Línea de carrera atascada
Todos tenemos que aprender el poder del principio de Pareto, que establece que el 80% del efecto de nuestro trabajo viene de un 20% de las causas. En el libro de John C. Maxwell, Liderazgo 101: Lo que todo líder necesita saber, describe el poder del principio de Pareto en el trabajo. Aquí están algunos ejemplos:
* 20% de su tiempo produce el 80% de sus resultados.
* 20% de la gente toma el 80% de su tiempo.
* 20% de su trabajo le da un 80% de su satisfacción en el trabajo.
* 20% de la población hará el 80% de las decisiones.
* 20% de la presentación produce el 80% del impacto.
Maxwell señala que es necesario desarrollar habilidades en cuatro áreas para tener éxito y maximizar nuestra eficacia: la actitud, las relaciones, el equipamiento y el liderazgo. Sin embargo, muchos profesionales de seguridad han renunciado a tratar de mejorar en absoluto, o solo trabajan en la mejora de las habilidades técnicas.
Clave 7: Lidere yendo más allá de la descripción de su puesto.  
Entonces, ¿cómo podemos evitar este callejón sin salida en la carrera? ¿Qué es pensar fuera de la caja en un contexto de seguridad? ¿Cómo podemos todos tener una perspectiva más amplia para ayudar a nuestras carreras y a nuestros clientes de negocios?
Aquí están algunas estrategias pragmáticas:
1) En primer lugar, entienda que la caja colocada alrededor de su posición es una buena cosa que debe respetar. Siempre complete sus deberes establecidos, o pueden ser etiquetado como vago y no respetado.
2) Propóngase como voluntario para los comités clave o importantes equipos ad hoc. Esfuércese por ser líder, entregar y superar las expectativas en estas funciones. Inicie un blog o un wiki. No acumule conocimientos, ofrézcalos gratuitamente.
3) Genere buenas ideas. Busque las necesidades de organización que no se están satisfaciendo. Discuta estos problemas y posibles soluciones de bajo costo con su gestión. Piense en las asociaciones - más allá de su propia organización. ¿Qué oportunidades puede aprovechar en toda la industria?
En conclusión, mi entrenador de fútbol de la escuela fue el primero en convencerme de que "no se puede seguir haciendo lo mismo y esperar un resultado diferente". Vamos a aplicar esta verdad a la seguridad.
CSO, US