[20/04/2024] No es ningún secreto que los trabajos de ciberseguridad están quemando a la gente. Es un entorno de alta presión que parece aumentar cada vez más la demanda diaria de profesionales de la seguridad. Hay muchas razones para ello, pero subyacente a todas ellas está la forma en que pensamos sobre la seguridad. Si reconocemos conscientemente estas mentalidades, podemos cambiarlas y posicionar mejor a todos para el éxito.
Por qué es importante la mentalidad
La ciberseguridad es un campo muy técnico. En cierto modo, es una ciencia dura. Pero en otro, es una batalla muy humana, impulsada por la psicología y la moral. La eficacia de los profesionales de la seguridad depende de su estado mental. Éste se ve afectado por varias suposiciones que el sector en general tiene sobre la seguridad y su papel en el negocio.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
He aquí siete formas de pensar sobre la ciberseguridad que deben transformarse en creencias más empoderadoras y de apoyo, para que florezca un entorno de seguridad más saludable:
1. La seguridad es un destino
Probablemente la creencia subliminal más insidiosa sobre la ciberseguridad es que es un lugar al que podemos llegar, donde se ha completado y se puede dejar a un lado. Esto no se sostiene conscientemente -conscientemente, sabemos que asegurar el negocio digital es un esfuerzo continuo. Pero subconscientemente, imaginamos que acabaremos con la parte de la seguridad, al menos por un tiempo, y podremos relajarnos.
Esto sólo crea un estrés innecesario. Cuando tenemos la idea de que el esfuerzo de la seguridad tiene un final finito, creamos una sutil sensación de decepción o fracaso cuando resulta que siempre queda más por hacer. De alguna manera, es culpa nuestra que nunca lleguemos; pero en realidad, eso es sólo la naturaleza de la bestia.
Al aceptar que la seguridad es un viaje, un proceso continuo, podemos alinearnos con la realidad y eliminar la capa extra de estrés, que es que nunca parecemos llegar a ese lugar de resolución y descanso cuando llegamos a la completitud de la ciberseguridad. La respuesta no es cargar con el estrés sin ninguna esperanza de resolución. Por el contrario, hay que verlo como una aventura por terrenos variados. A veces cuesta arriba, a veces cuesta abajo. A veces agotador, a veces fácil. Hay muchos lugares de descanso en el camino, y luego retomamos el viaje.
2. La seguridad es cosa de profesionales
A menudo pensamos que los profesionales de la seguridad son los dueños de la seguridad, pero eso no es exacto y conduce a dos resultados desafortunados. En primer lugar, parece liberar de responsabilidad a todos los demás. En segundo lugar, aísla sutilmente a los profesionales de la seguridad, como si lucharan solos.
Los desarrolladores de software deberían pensar siempre en la seguridad, en cada fase del ciclo de vida, en lugar de ignorarla hasta el momento de la entrega. Como todos los demás. Sólo teniéndola presente estará el personal preparado para detectar el phishing y otros ataques.
Por supuesto, los profesionales de la seguridad son los líderes y guías, pero en última instancia, la seguridad es responsabilidad de todos, y cada empleado debe sentirse capacitado para contribuir a la postura general de la organización. Si vemos la seguridad como algo que pertenece a todos, como un esfuerzo de colaboración, formamos una comunidad más fuerte.
3. La seguridad es cada vez más difícil
No hay nada más desalentador que una tarea interminable que no hace más que complicarse. A veces, proteger la empresa parece como si Sísifo empujara la roca colina arriba, con la diferencia de que cada día la roca es un poco más grande. Los delincuentes se vuelven más sofisticados y utilizan mejores herramientas y organización, y la infraestructura digital que debe protegerse se vuelve más extensa, compleja e interconectada.
En realidad, la batalla entre los sombreros blancos y los sombreros negros es una marea que va y viene. A veces los buenos van por delante, a veces por detrás. La idea del ransomware es un buen ejemplo: durante un tiempo, los delincuentes parecían tener la iniciativa. Pero la industria ha evolucionado en respuesta y ha contraatacado con resultados mensurables. Por supuesto, las idas y venidas continúan, pero en general, nos encontramos en una posición mucho más estable.
Aceptando la naturaleza cíclica del asunto, podemos adoptar una actitud que nos permita prepararnos cuando la amenaza aumenta y encontrar el nivel adecuado de alerta en reposo cuando disminuye. Siempre estamos alerta, pero no siempre en un nivel Defcon-1, de alerta roja. Mantener el equilibrio mental es absolutamente clave para el éxito a largo plazo.
4. La seguridad es un producto
A menudo se considera la seguridad como una función independiente o un producto adicional que se atornilla a la infraestructura real o como algo discreto que hay que finalizar y entregar. Se trata de una visión arraigada en el desarrollo de software, algo similar a la forma en que antes pensábamos en la calidad: como un componente distinto y separado de las cosas.
"La calidad no es un acto, es un hábito", según una elegante paráfrasis de Aristóteles. Al igual que la calidad, la seguridad no es un producto acabado, sino una disciplina continua. Cuando vemos la seguridad como una práctica, que hay que refinar y perfeccionar continuamente, se libera la energía para dedicarse a ella como tal. Nos volvemos más sanos haciendo ejercicio regularmente y controlando nuestra dieta a diario; así es la seguridad. Si queremos llegar a ser buenos con la guitarra o en un arte marcial, debemos volver a ello y perfeccionarlo, pero siempre hay algo más que desarrollar, igual que en la seguridad.
En lugar de lamentarnos, podemos apoyarnos en ella y utilizarla para alimentar nuestros esfuerzos. En realidad, es una bendición trabajar en un campo en el que siempre hay espacio para el crecimiento y en el que podemos aprovechar al máximo nuestras capacidades. Esta perspectiva debe compartirse con toda la empresa para que todo el mundo adopte la mentalidad de que todos practicamos la seguridad. Los profesionales son los maestros, pero todos estamos juntos en la empresa, siempre aprendiendo.
La seguridad no debe ser nunca un producto, sino un hábito. Los productos y las herramientas no son más que corolarios y ayudas. Lo que realmente estamos construyendo con la seguridad es cultura, actitud y concientización. En resumen, la seguridad es lo que practicamos cada día, individual y organizativamente.
5. La delincuencia impulsa la seguridad
A veces da la sensación de que jugamos al topo con los delincuentes, como si ellos tuvieran el control del juego. Estamos constantemente apagando fuegos o buscando nuevas formas de que los malos actores encuentren la manera de comprometer nuestros sistemas. Cuando pensamos en la seguridad como un mero trabajo de respuesta a la actividad de los delincuentes, nos exponemos a la impotencia y la frustración.
Lo cierto es que las empresas llevan la voz cantante. Los valores y la creatividad de la empresa constituyen un objetivo tentador que impulsa a los poco éticos a intentar aprovecharse de él. No estamos tratando de subestimar a los ciberdelincuentes, la verdad es que pueden ser muy inteligentes en sus ataques, y tenemos que tomarlos en serio.
Pero el valor sólo existe gracias al negocio legítimo: la delincuencia es parasitaria. Está claro que la seguridad está impulsada por el negocio; sin el negocio, la ciberdelincuencia no tendría nada de lo que alimentarse. Los profesionales de la seguridad son los guardianes de la empresa legítima, y los delincuentes están fuera intentando robar todo lo que pueden. Podemos insistir en este punto tomando medidas proactivas como la realización de análisis de penetración.
6. La seguridad es 100% alcanzable
Los factores medibles son fundamentales para una buena seguridad. Métricas como el tiempo medio hasta la detección (MTTD) nos permiten controlar la situación y calibrar la eficacia de los programas. El problema es cuando empezamos a pensar que los indicadores deben moverse siempre en la dirección positiva o, peor aún, permanecer en la zona cercana a la perfección.
Las métricas son indicadores que nos guían, más que objetivos que se pueden completar. La clave está en dar pasos que muevan las cosas en la dirección correcta y utilizar la información para tomar medidas cuando indiquen un problema. La seguridad, por tanto, requiere la aceptación honesta de las mediciones. Al vigilar los KPI, deberíamos verlo como un control del tablero de mandos, vigilando la salud del sistema inmunitario del organismo. Plantearse la exigencia poco realista de avanzar siempre hacia la perfección y mantenerse en ella es, en realidad, una invitación a obtener métricas sesgadas. La evaluación honesta es la clave.
7. La seguridad es ingrata
La vieja idea es que la seguridad sólo se tiene en cuenta cuando falla. Peor aún, la seguridad se percibe a veces como un mal necesario, un impedimento para innovar o hacer el trabajo. Si todo el mundo pudiera olvidarse de la seguridad, podríamos avanzar mucho más rápido, igual que podríamos centrarnos en la creación de software si nos olvidáramos de la calidad y la satisfacción del cliente. Suena absurdo, igual que es absurdo lamentarse de la necesidad de pensar en la seguridad en cada fase del desarrollo.
La tendencia es montar un escándalo cuando algo sale mal y se descubre una brecha importante. ¿Cómo ha podido ocurrir? ¿Quién ha metido la pata? Tienen que rodar cabezas. Pero todo el tiempo, cuando las cosas van bien, ignoramos a las personas que lo hacen posible o, peor aún, actuamos como si estorbaran.
La tendencia a fijarse en la seguridad sólo cuando falla tiene que cambiar. Pero la seguridad debe apreciarse siempre; debemos verla como un trabajo que se hace para que todo el mundo pueda hacer su trabajo en las mejores condiciones posibles.
Basado en el artículo de Matthew Tyson (CSO) y editado por CIO Perú
Matthew Tyson, arquitecto de software, es uno de los fundadores de Dark Horse Group, Inc. Él cree en la tecnología que prioriza a las personas. Cuando no toca la guitarra, Matt explora las áreas rurales y las filosóficas internas. Ha escrito para JavaWorld desde el 2007.