[30/09/2022] La seguridad de la información ha sido una parte intrigante de nuestro pasado, es una parte fundamental de nuestro presente, y será un factor determinante en nuestro futuro. Hay acciones que deben abordarse a nivel micro/individual, y desafíos que debemos abordar en colaboración como industria para avanzar.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
La economía de la seguridad es clara: "No hay estabilidad financiera sin ciberseguridad”, escribe Loretta J. Mester, presidenta y directora ejecutiva del Banco de la Reserva Federal de Cleveland. De hecho, se ha demostrado que la percepción de una ciberseguridad deficiente reduce el precio de las acciones y sus múltiplos, daña la reputación de la marca, disminuye la participación de mercado, reduce las ventas, precipita las multas, añade gastos legales y dificulta la contratación de empleados de calidad. Para tener un futuro se requiere dominar la seguridad de la información.
El camino hacia el dominio de la seguridad de la información en el futuro incluye:
- Reconocer las responsabilidades individuales,
- Hacer explícitas las creencias individuales en materia de la seguridad de la información,
- Practicar una buena higiene cibernética,
- Prestar atención a la cadena de suministro de software, y
- Reforzar los componentes de tecnología operativa.
No más espectadores
Durante la mayor parte de la era digital hasta la fecha, la seguridad de la información ha sido un deporte de espectadores con poca asistencia. Los trabajadores, clientes, ejecutivos y miembros de la junta se sentaban en las gradas mientras los magos de la información [profesionales de seguridad] luchaban contra los malos en la sombra.
La relación distante de la humanidad con la seguridad de la información se ha terminado. A partir de ahora, todo aquel que usa un dispositivo están involucrado con la ciberseguridad; todos los que utilizan dispositivos mejoran o degradan la ciberseguridad; y todos tienen un rol y un conjunto de responsabilidades en relación con la seguridad de la información.
Predigo que, para fines de esta década, las responsabilidades en materia de seguridad de la información estarán explícitamente especificadas para cada persona mayor de cinco años. Al final de cada día, trimestre, año y carrera, los ejecutivos serán juzgados y recompensados/castigados según hayan mejorado o degradado la seguridad cibernética de su comunidad y lugar de trabajo.
No es mi intención, ni una práctica efectiva, "culpar al usuario” de todos nuestros problemas cibernéticos. Sin embargo, debemos asegurarnos de que todas las personas de la empresa sepan que tienen un papel que desempeñar en la seguridad de la información.
Pensar, decir, hacer
No es necesario ser futurista, psicólogo o antropólogo para saber que con frecuencia existe una gran discrepancia entre lo que la gente piensa, lo que dice y lo que hace. En el futuro, la ciberseguridad tendrá menos que ver con la informática y más con la ciencia del comportamiento.
La seguridad de la información requiere un cambio de comportamiento. Para cambiar el comportamiento, tenemos que gestionar lo que la gente sabe y cómo piensa sobre la seguridad de la información. Para ello, tenemos que entender lo que la gente cree sobre la seguridad de la información.
Las creencias, el conocimiento y el cambio de comportamiento están inextricablemente vinculados. El primer paso es evaluar con precisión lo que cada empleado de la empresa cree sobre la seguridad de la información. Esto solo se puede lograr a través de entrevistas prácticas y aterrizadas realizadas por los gerentes. El encuestador Nate Silver califica el resultado de tales interacciones como "vibraciones en el suelo".
Pronostico que los resultados de tales evaluaciones persona por persona sacarán a la luz dos creencias fuertemente arraigadas y totalmente disfuncionales sobre la seguridad de la información:
- "No soy importante y nadie me tiene como objetivo”.
- "No puedo detenerlos, ni aunque quisiera”.
Practicar la higiene cibernética básica
Cada uno de nosotros necesita promover y practicar una buena higiene cibernética. La higiene cibernética incluye, entre otras cosas, buenas prácticas de contraseñas, procesos sólidos de parcheo de vulnerabilidades, detección, prevención y remediación oportunas, implementación de protecciones para prevenir y bloquear malware, y garantizar protocolos de acceso sólidos.
El cumplimiento de estas prácticas recomendadas contribuirá en gran medida a mejorar la seguridad general. Según el Informe de defensa digital de Microsoft de 2021, casi el 70 % de las violaciones de datos fueron causadas por phishing, y el 98 % de los ataques podrían prevenirse con una higiene básica de seguridad.
Desafíos del sector
A medida que nos hacemos responsables de manera individual por los buenos comportamientos de seguridad de la información, podemos esperar que cambie el enfoque de los ataques cibernéticos. Dos áreas por vigilar son la tecnología operativa y la cadena de suministro de software.
Los profesionales de la seguridad llevan años advirtiendo sobre ataques potencialmente devastadores contra la tecnología operativa [por ejemplo, líneas de producción de plantas, tecnología de fabricación, servicios públicos, ascensores, termostatos, luces y vehículos]. El ataque a Colonial Pipeline fue una llamada de atención para muchos.
Otro ataque, este a fines del 2020, puso la seguridad de la cadena de suministro de software en el punto de mira. El ataque al proveedor de software de monitoreo de red SolarWinds puso en riesgo a los usuarios de su software Orion, en particular a las instituciones y agencias del gobierno de Estados Unidos.
El desarrollo de software moderno se ha comparado con la elaboración de un pastel. Sin que muchos ejecutivos lo sepan, no todos los componentes del pastel de software se generan internamente. Los hackers inteligentes han descubierto que es mucho más rentable hackear un componente de software que está instalado en miles de empresas, que hackear cada una de esas mil empresas.
La gran preocupación del futuro inmediato de la seguridad de la información es que los componentes de software ampliamente implementados pueden haberse visto comprometidos. Las organizaciones están revisando cuidadosamente su "lista de materiales” de software.
Basado en el artículo de Thornton May (CIO)y editado por CIO Perú
El futurista Thornton A. May, autor de The New Know: Innovation Powered by Analytics, es orador, educador y consejero.