El año pasado presenciamos algunos de los mayores fallos de seguridad de todos los tiempos. Medio billón de clientes de Marriott Starwood tuvieron comprometidos sus datos personales. Más de 100 programas de investigación universitarios en Estados Unidos sufrieron el robo de propiedad intelectual valiosa. Los ataques de ransomware interrumpieron los servicios municipales en Atlanta y Baltimore. En medio de estos espectaculares fracasos, el gasto en ciberseguridad superó los 80 mil millones de dólares en 2018, más de 2,000 proveedores de seguridad operan solo en Estados Unidos, y los ejecutivos corporativos y los consejos de administración dedican más tiempo que nunca a considerar los riesgos de seguridad. ¿En qué otro ámbito el éxito generalizado es tan esquivo y por qué persiste esta extraña anomalía en la seguridad?
Sí, la ciberseguridad es difícil y siempre lo será. Los atacantes seguirán innovando con nuevas técnicas dinámicas y las oportunidades para sembrar el caos se multiplicarán a medida que llevemos más aspectos de nuestra vida cotidiana al ámbito digital. Pero podemos hacerlo mejor. El gran problema en la seguridad no son las personas, los procesos o la tecnología. Aunque imperfecta, la industria está llena de personas trabajadoras y talentosas, la conciencia de seguridad y los procesos están mejorando rápidamente en la mayoría de las organizaciones, y no hay escasez de buena tecnología. El gran problema es cultural y es la raíz de todas estas deficiencias.
La seguridad a menudo se envuelve en una cultura inmadura y oscura que perjudica a las personas, los procesos y la tecnología. Esta cultura permite la falta de diversidad en su base de talento y disuade a nuevos participantes, agrava sus debilidades en la comunicación efectiva con sus verdaderos destinatarios: los líderes corporativos y gubernamentales en quienes los ciudadanos dependen para su seguridad en su vida digital diaria, y fomenta la tolerancia hacia herramientas arcanas, excesivamente complejas y difíciles de usar.
Que exista esta cultura no debería sorprendernos. Hay un misticismo en el mundo cibernético. Muchos investigadores y ingenieros de seguridad se enorgullecen de haber adquirido sus habilidades después de innumerables horas nocturnas impulsadas por bebidas energéticas, a menudo en áreas clasificadas o en roles sujetos a confidencialidad. Los equipos, los enfoques y las herramientas nacidos de esta mentalidad y favorecidos en la industria hoy en día son en su mayoría autorreferenciales, dirigidos a expertos e indescifrables, por diseño, para los externos.
Pero no hay suficientes de estos defensores hiper-capacitados para llenar las filas de las organizaciones que se enfrentan a ataques cada vez más sofisticados, y los miembros de la comunidad de seguridad no son las personas a las que sirve.
Es hora de un cambio de rumbo en la cultura de la ciberseguridad. Necesitamos fomentar la diversidad en la industria, tanto en términos de género como de origen étnico. La diversidad trae consigo una variedad de perspectivas y enfoques que pueden ayudar a abordar los desafíos de seguridad de manera más efectiva.
También debemos mejorar la comunicación. La jerga técnica y los conceptos complejos pueden ser alienantes para aquellos que no están familiarizados con el campo de la ciberseguridad. Debemos esforzarnos por comunicar de manera clara y accesible, de modo que los líderes corporativos y gubernamentales puedan tomar decisiones informadas sobre la seguridad de sus organizaciones y ciudadanos.
Además, es fundamental desarrollar herramientas y soluciones de seguridad que sean intuitivas y fáciles de usar. La complejidad excesiva solo sirve para obstaculizar la adopción y el uso efectivo de las medidas de seguridad.
En resumen, la cultura de la ciberseguridad necesita evolucionar. Debemos dejar atrás la imagen de las “artes oscuras” y trabajar hacia una cultura más inclusiva, comunicativa y centrada en la usabilidad. Solo así podremos enfrentar los desafíos de seguridad de manera efectiva y proteger nuestra vida digital.
