La importancia de los mentores en Ciberseguridad

Publicado el | por admin

“En un lugar oscuro nos encontramos, y un poco más de conocimiento ilumina nuestro camino.” Yoda.

¿Cuántas veces hemos estado en medio de un proyecto y nos sentimos desorientados o peor aún solos? Seguramente, si eres CISO o el responsable de la seguridad de la información en tu organización te ha pasado más de una ocasión. Y es que tu día a día como guardián del reino es enfrentarte a monstruos de mil cabezas que buscan franquearte y robarse las joyas de la corona, y peor aún, defiendes el feudo con un arsenal limitado. ¿Y por qué no? Incrementando tensión al episodio cuando tus aldeanos no toman las medidas necesarias y con inverosímil inocencia asoman recovecos del reino que las bestias huelen como si se tratara de visceral festín. Escenario digno de secuela de batallas de orcos contra elfos, o del diario de un héroe desconocido. No exagero, la responsabilidad es grande y el crédito injusto. Y es ahí, cuando en uno de los capítulos el monstruo gana terreno y la espada no te alcanza, y volteas y tus armeros no te pueden dar una mano, que sientes que la historia se convierte en una tragicomedia, y te encuentras más solo que un ransomware detectado en un antivirus.

Pues bien, estimado amigo caballero de las mil batallas, esto no debe ser así. Mi humilde opinión es que requieres de un mentor.

Comencemos primero por entender el concepto de la orientación. ¿Qué es la mentoría? 

La mentoría es una relación de desarrollo personal que permite potenciar conocimientos a través del aprendizaje con un tutor o con un mentor, quien con sus consejos y reflexiones enseña a su aprendiz en el desarrollo de sus capacidades y hace de guía en su camino. Un mentor nos puede proveer información invaluable que no conseguimos en libros, la cual está basada en experiencias propias. Sus éxitos y fracasos son joyas que si sabemos aquilatar nos pueden acortar el viaje para llegar a nuestro destino. “Siempre dos hay, ni más, ni menos. Un maestro y un aprendiz.”

¿Quién puede ser un mentor?

En tu organización es común encontrar que se incorpora sangre nueva, y se convierten de inmediato en actores que sin ningún problema podrían fungir como mentores ya que su bagaje es tan amplio que poseen los elementos necesarios para guiar a colaboradores con cierto camino recorrido. Es decir, la mentoría, como casi todo en la vida, es una guía que no necesariamente va de la mano con la antigüedad, es una circunstancia que va empatada con la experiencia.

No se si te haya ocurrido, pero ¿Cuántas veces nos encontramos en nuestro trabajo con personas que tienen años en una organización pero que no necesariamente esta situación se traduce en experiencia, y menos aún en una capacidad de guiarnos? 

Simon Sinek toma como base este contexto para explicar el concepto de liderazgo y mentoría. Cuando comenzamos en un trabajo nuestra única responsabilidad es hacerlo bien. Comúnmente la organización nos brinda algunas herramientas -capacitación en el uso de soluciones tecnológicas, en procesos y mejores prácticas, en el cómo hacer mejor nuestro trabajo-. Algunos lo hacen tan bien que mejoran su quehacer y pueden obtener un ascenso teniendo entonces la responsabilidad sobre las personas que ahora hacen su trabajo. Pero lamentablemente no son muchas las organizaciones que te enseñan cómo hacer eso, y son todavía menos las que te enseñan cómo liderar. Y esa es la principal razón por la que tenemos gerentes o jefes de seguridad, pero no líderes.

Las personas que han conseguido el ascenso conocen cómo hacer mejor el trabajo, pero no saben cómo liderar al equipo. Y esa es una dura lección por aprender, ya no eres responsable del trabajo, eres responsable de las personas que hacen el trabajo.

El liderazgo es un trabajo duro. No es el arduo trabajo de hacer el trabajo, es el arduo trabajo de aprender a dejar ir. Es el arduo trabajo de entrenar personas, de ser su mentor, de creer en las personas y confiar en las personas. El liderazgo es una actividad humana. Y, a diferencia del trabajo, el liderazgo y la mentoría dura más allá de lo que ocurra durante la jornada laboral.

En una profesión relacionada con Ciberseguridad, un vínculo así se vuelve clave, porque existen muchos aspectos de estas funciones que son relativamente nuevos al compararlo con profesiones -incluso de TI- donde el background es mucho más amplio y hay más “tela de donde cortar”. Cuando tienes un mentor aprenderás profundas lecciones de su experiencia, de su éxito y de sus errores, además de que revelarán tus mayores debilidades y te ayudarán a potencializar fortalezas.

Incluso, si ya cuentas con un mentor es recomendable buscar nuevos puntos de vista, ideas frescas y nuevos caminos que nos permitan tener diferentes perspectivas y en consecuencia descubrir y ser una mejor versión de nosotros mismos.

Puedes tener mentores con los cuales ni siquiera hables, pero de quienes aprendes solo observando o escuchando. Incluso, me atrevo a proponer que la guía no siempre tiene que venir de personas de la vida real. A menudo nos encontramos inspirados por personajes que viven en los reinos de los libros que leemos, las películas que vemos, los juegos que jugamos. Yoda de Star Wars, por ejemplo, es un gran mentor. El personaje demuestra, como mentor de mentores, cómo brindar apoyo a una persona con potencial, cómo ofrecer desafíos que le permitan aprender y crecer, y cómo brindar una visión para que el aprendiz gane confianza y, finalmente, independencia. Y estos mensajes, sin duda trascienden en la vida real. 

Me gustaría que te quedes con 3 puntos de esta lectura:

  1. La gente exitosa tiene mentores. Como discípulo nos queda prestar atención a la forma en que trabajan nuestros mentores, cómo interactúan con otros, cómo se comportan, y seguramente aprovecharemos algunas cosas. 
  2. Como mentores, nos queda convertirnos en confidentes, en escuchar, servir y aconsejar. En tener un genuino interés en ayudar a nuestros discípulos. No necesitamos ser sabios o tener 900 años como Yoda. Si tienes la oportunidad de ser mentor, no lo dudes. “Tú no eres el héroe, pero tu padawan puede ser.”
  3. Finalmente, recordemos que el que enseña aprende. No existe enseñar sin aprender ni aprender sin enseñar. Siempre se convierte esta relación en un círculo virtuoso, en una interacción de realimentación mutua, en la cual ambas partes crecen. En Ciberseguridad esto es imprescindible.

“Que la fuerza te acompañe»

Provehito in altum
Por: Juan Pablo Carsi

10 year challenge

Publicado el | por admin

Morgan Freeman decía: “Desafíate a ti mismo; es el único camino que conduce al crecimiento”. Una frase fuerte que evoca a la superación personal, y que nos hace recordar que los retos y su conquista son importantes en nuestro progreso como profesionales y en consecuencia como personas.

Photo by Mikito Tateisi on Unsplash

Lamentablemente, hay retos malentendidos que persiguen objetivos intrascendentes, difundidos masivamente por mera moda y peor aún, con resultados en ocasiones no muy gratos para los desafiados. En ese sentido ¿Cuántos retos se han viralizado en redes sociales? Saltan a mi memoria desde el “Ice bucket” hasta el tristemente célebre “In my feellings” mejor conocido en nuestro país como “Chona Challenge” -qué desafortunado nombre-. Ociosos todos ellos, algunos graciosos y otros más que representan un gran riesgo y que penosamente se han vuelto atractivos para menores. Recientemente ha ganado terreno en las redes sociales el “10 year challenge”, un reto que busca que la gente comparta fotografías de 10 años atrás y las compare con su imagen actual evidenciando las diferencias en su aspecto físico. Por cierto, este desafío parece inofensivo, sin embargo se sospecha que su difusión tiene como finalidad entrenar a algoritmos de sistemas de reconocimiento facial[1].

Sobre este último reto me gustaría proponerles un giro. Si tuviéramos la oportunidad de jugar el mismo desafío y obtener una fotografía del estado de la seguridad en nuestro país hace 10 años y la comparamos con otra obtenida del día de hoy, ¿Qué nos encontraríamos? Es curioso pero al igual que esas fotos de personajes que te arrancan alguna carcajada, ya sea porque al individuo en cuestión le ha cobrado el tiempo alguna factura con varios kilos de más o cabellos de menos, el estado de la seguridad en el país refleja una entidad que ha perdido ciertos encantos por batallas que le han dejado en el camino aprendizajes, experiencias y por supuesto varios desaguisados. Una decada atrás se comenzaban a trazar los primeros esbozos en la costrucción de capacidades en la materia, sustentados en el Plan Nacional de Desarrollo y el Programa de Seguridad Nacional de esos ayeres[2], y que  posteriormente fueron tomando forma en una Estrategia Nacional de Seguridad de la Información, con esfuerzos aislados y sin el impulso que ésta ameritaba. Al igual que en el proceso de madurez de un ser humano, este ente no aprende a la primera, comete los mismos errores y es hasta que le duelen que toma conciencia de que hay que cambiar, que hay que evolucionar. Como referencia, estamos hablando que durante esa década, ya existía una preocupación latente en el orbe por los impactos económicos y políticos producidos por ciber-delincuencia, hacktivismo y ciber-espionaje; se vislumbra a la ciberseguridad como un riesgo global y en otras latitudes con economías no tan alejadas de la mexicana, emergen proyectos más sólidos: Argentina, Colombia, Panamá o España son algunos ejemplos. Finalmente, y muy de la mano de la OEA, llegamos a la definición de una Estrategia Nacional de Ciberseguridad, que si bien debe aterrizarse, madurar y darle continuidad en esta nueva administración, es un hito importante en nuestro país. 

Ahora bien, relativicemos el reto a nuestras organizaciones, ¿Qué nos encontramos? ¿Será una fotografía similar?

Photo by Tristan Colangelo on Unsplash

CISO, te reto a que rescates esa fotografía de hace 10 años en tu organización y la contrastes con la situación que vives ahora. ¿Es mejor? ¿Has ganado kilos y experiencia? Compártenos qué te has encontrado. Si la imagen no te es tan clara o peor aún, no tienes fotografías, creo que es un buen momento para emprender el reto. Analiza cómo estás -qué tal esa gestión del riesgo, tus controles de seguridad, tu respuesta a incidentes, tus lecciones aprendidas, tu estrategia…-. Busca mejorar, traza un camino, gana experiencia, compárate con los demás y mide tu evolución. Espero que en el próximo reto puedas preciarte de que tu organización se vea mejor. Desafíate a ti mismo.

Provehito in altum 
Por: Juan Pablo Carsi

[1]FACEBOOK’S ’10 YEAR CHALLENGE’ IS JUST A HARMLESS MEME—RIGHT? https://www.wired.com/story/facebook-10-year-meme-challenge/

[2]Revista de Administración Pública. Hacia una estrategia nacional de ciberseguridad en México. Edgar Iván Espinosa.

Huachicoleo cibernético

Publicado el | por admin | Deja un Comentario sobre Huachicoleo cibernético

“Cuando las barbas de tu vecino veas cortar, pon las tuyas a remojar”

Si usted se encuentra ubicado en el centro de México, seguramente estará leyendo estas líneas después de pasar largas horas esperando ser afortunado por obtener algunos litros de gasolina. Más allá de su opinión respecto a la estrategia que implementó nuestro gobierno para evitar el robo de combustible, estoy seguro de que coincidirá en que el “huachicoleo” es uno de los principales cánceres del país, y que, sin duda, desde nuestra trinchera -ciudadanos, empresarios, gobierno- debemos hacer todo a nuestro alcance por erradicarlo. Las consecuencias económicas saltan a la vista.

Huachicoleo
Imagen de BBC.com

Ahora bien, probablemente se preguntará, y este tema ¿Qué relación tiene con la seguridad de la información? A menos que usted colabore en PEMEX o una organización afín al sector, no la hay, sin embargo, me parece que la compleja problemática, la cual es objeto de conversación y polémica en charlas “banqueteras” y tertulias catárticas, es un excelente referente para hacer un símil con la importantísima función de un CISO.

Como responsable de la seguridad de la información de su organización, usted tiene que salvaguardar sus datos y permitir que éstos puedan procesarse de manera adecuada para generar valor. Esos datos son la “gasolina” de su organización. Sin ellos, la organización se detiene, no funciona y sus actividades sustantivas no pueden realizarse. Disfunción estructural.

Dichos datos transitan por sus redes -sus ductos-. Un caudal digital que permite que la gasolina llegue a su destino en tiempo y forma. Usted tiene como misión garantizar que los ductos no sean “ordeñados”.

Dado lo anterior, tengo algunas preguntas para Usted:

  • ¿Está seguro de que no están extrayendo sus datos?
  • ¿Tiene certeza de que la gasolina de su empresa llega a donde está destinada?
  • ¿Su gasolina no está adulterada?
  • ¿Sabe si no hay “huachicoleo” de su información en mercados negros?

Recuerde que los “huachicoleros” conocen su logística, los horarios en que se mueve el combustible que necesitan, así como las personas que lo gestionan, y es así como preparan una operación en el momento adecuado para perforar los ductos.

Regresando a la situación que vive nuestro país, como sabe nuestro gobierno ha recibido cuestionamientos de cierto sector de la población derivado de la efectividad de su estrategia y del impacto que han tenido sus acciones en el día a día de los ciudadanos. En su organización ¿Cuál es su estrategia contra el “huachicoleo cibernético” -valga la expresión-? En la mayoría de los casos, no se permitiría que sus usuarios se formen para esperar el “combustible” que requieren para procesar su información y realizar sus actividades laborales. ¿Tiene un plan de contingencia? ¿Sabe qué hacer si hay escasez de “gasolina”? O peor aún, ¿Está preparada la organización para reaccionar ante “huachicoleros digitales”? ¿Usted cerraría la llave de todos sus ductos arbitrariamente o tiene la posibilidad de detectar el punto donde se ordeñan datos y detener el flujo de gasolina (datos) de inmediato?

Me parece que este periodo de debate y reflexión ciudadana es relevante llevarlo en el mismo sentido al plano laboral de los especialistas de ciberseguridad. Usted debe hacer ver a la alta dirección que la seguridad es un habilitador para el negocio, y que no es solo un gasto para hacer cumplimiento normativo, el cual por supuesto es importante pero no lo fundamental. Debe transmitirles confianza y hacer ver que pueden existir contingencias, pero que, con base en su buena estrategia sustentada en procesos y planes adecuados, la organización puede salir a flote cuando sucedan los incidentes, ahorrando costos, minimizando riesgos y disminuyendo la posibilidad de vivir una crisis de “huachicol”. 

Provehito in altum
Por: Juan Pablo Carsi

¿Cuál es el rol del CISO dentro de una organización?

Publicado el | por blogcapa8 | Deja un Comentario sobre ¿Cuál es el rol del CISO dentro de una organización?

El rol de CISO es una función clave en una organización ya que de manera horizontal es la responsable de asegurar que la estrategia de seguridad de la información y ciberseguridad esté debidamente alineada a la habilitación y cumplimiento de los objetivos de negocio en todas y cada una de las áreas de la estructura organizacional que los soportan.

Dentro de sus funciones se encuentran:

  • Diseño, implementación y medición de la efectividad de la estrategia de seguridad y ciberseguridad de la información.
  • Evaluar, monitorear y medir el nivel de riesgo de una organización identificando con claridad sus amenazas (actores, motivaciones y vectores de ataque)
  • Implementar y dar continuidad al cumplimiento regulatorio.
  • Diseñar la arquitectura de seguridad de acuerdo a las necesidades actuales y con crecimiento y tendencia al crecimiento y a los objetivos de negocio a mediano y largo plazo.
  • Coordinar y orquestar a todas las áreas de la organización para diseñar y ejecutar planes de:
    • Respuesta a incidentes de seguridad
    • Continuidad del negocio

¿Es necesaria la presencia de CISO en una organización?

En general el tema presupuestario es un tema crítico en cualquier organización no importando su tamaño, sin embargo en aquellas de mayor tamaño suele ser más común la creación de un área y una estructura organizacional enfocada a temas de seguridad y ciberseguridad de la información, sin embargo aquellas organizaciones micro, pequeñas y medianas normalmente suelen “ahorrar” en sus presupuestos estas figuras y funciones, pensando entre otras cosas lo siguiente:

  • “El tamaño de mi organización no es relevante para ser objetivo de un ataque de este tipo”
  • “Aún no tengo los ingresos relevantes que puedan llamar la atención de un atacante”
  • “En mis bases de datos tengo información de mis clientes, sin embargo está no es relevante para ningún atacante”
  • “Ampliar la estructura organizacional a funciones relacionadas con seguridad o ciberseguridad encarecerán mis precios y me pondrán fuera del mercado”
  • “A mis clientes, usuarios o proveedores no les es relevante que tenga implementados controles de seguridad por el tamaño de mi organización”

El ser víctima de un incidente de seguridad puede tener diferentes impactos en cualquier tipo y tamaño de organización, encontrándose entre estos:

  1. Que la privacidad de los datos de mis clientes, aliados y proveedores, sea divulgada perdiendo la confianza de estos que puede derivar en cancelación de contratos.
  2. Que mi infraestructura sea utilizada con fines de minería de datos sin que me de cuenta, pero si afectando el rendimiento y la efectividad de desempeño de mis sistemas de información
  3. Que información propia de mis procesos de negocio sean divulgados en la competencia haciendo que mi organización pierda contratos, clientes, innovaciones, etc.
  4. Que en caso de ocurrir un incidente de seguridad que pueda ser evidente en la organización a pesar de la carencia de controles, la organización no sepa como reaccionar correctamente desde el punto de vista de contención, respuesta, contención y medición del impacto cualitativo y cuantitativo.

#HablemosDeSeguridad
Por: Ana Cecilia Pérez

Google lanza la eliminación automática para ubicación e historial de actividades.

Publicado el | por blogcapa8

Puede que estés contento, o tal vez decepcionado, por las noticias sobre que ya no tienes que acordarte de iniciar sesión para eliminar las cosas que no sabías que Google estaba monitorizando sobre ti.

Google anunció nuevos controles para la eliminación automática del historial de ubicación y los datos de actividad: «Ya sea que se busque las últimas noticias o la ruta de coche más rápida, nuestro objetivo es hacer que nuestros productos sean útiles para todos. Los datos pueden hacer que los productos de Google sean más útiles, como recomendar un restaurante o ayudar a continuar donde lo dejó en una búsqueda anterior».

Más información

#HablemosDeSeguridad

Vía @cybersecurityES

Millones de dispositivos afectados por errores de Cisco.

Publicado el | por blogcapa8

La primera vulnerabilidad está en la lógica que maneja los controles de acceso a uno de los componentes de hardware en la implementación de inicio seguro de Cisco. La vulnerabilidad podría permitir a un atacante local autenticado «escribir una imagen de firmware modificada en el componente». Cisco ha confirmado que las actualizaciones de software se publicarán para solucionar la vulnerabilidad.

La segunda vulnerabilidad se encuentra en el sistema operativo Cisco IOS XE, que se utiliza para impulsar el acceso, la agregación, el núcleo y los productos WAN inalámbricos y por cable de las empresas. Cisco explicó que esto ocurre cuando «el software afectado desinfecta de forma incorrecta la entrada suministrada por el usuario».

Más información

#HablemosDeSeguridad

Vía @ncsc

Organizaciones instadas a parchar Microsoft SharePoint.

Publicado el | por blogcapa8

El Centro Canadiense de Seguridad Cibernética y el Centro Nacional de Seguridad Cibernética de Arabia Saudita publicaron avisos de advertencia sobre la explotación activa de un exploit que otorga ejecución remota de código contra Microsoft SharePoint.

Los investigadores de seguridad han identificado sistemas comprometidos pertenecientes a los sectores académico, de servicios, industria pesada, fabricación y tecnología.

Microsoft lanzó actualizaciones de seguridad que abordan esta vulnerabilidad en febrero y marzo de 2019; Sin embargo, muchos sistemas permanecen obsoletos.

Se sabe que las siguientes versiones de Microsoft SharePoint están afectadas:

  • Microsoft SharePoint Enterprise Server 2016
  • Microsoft SharePoint Foundation 2013 SP1
  • Microsoft SharePoint Server 2010 SP2
  • Microsoft SharePoint Server 2019

Más información

#HablemosDeSeguridad

Vía @ncsc

Las actualizaciones de mayo de Windows vuelven a tener problemas con algunos Antivirus.

Publicado el | por blogcapa8

Hace unos días se lanzaron 16 parches de seguridad para Windows y Office, incluyendo Windows 7 y XP. Como ya empieza a ser habitual, algunos usuarios empezaron a reportar problemas al actualizar, con parches que se instalaban 2 veces o problemas en Windows 10 para entrar a algunas páginas web. Esas mismas actualizaciones de mayo de Windows vuelven a tener problemas con algunos antivirus.

Más información

#HablemosDeSeguridad

Vía @hackinland

Cibercriminales estafan a buscadores de empleo.

Publicado el | por blogcapa8

Un análisis sobre el spam y phishing durante el primer trimestre del año detectó una gran cantidad de correos electrónicos no deseados muy complejos, con ofertas de trabajo falsas que parecían provenir de reclutadores en departamentos de Recursos Humanos de grandes corporaciones.

Sin embargo, los correos electrónicos provienen en realidad de spammers (remitentes de correo indeseado) e instalaban malware en los dispositivos de los usuarios para robar dinero.

Más información

#HablemosDeSeguridad

Vía @eleconomista

Europol y la policía de los Estados Unidos desmantelan una pandilla de ciberdelincuentes.

Publicado el | por blogcapa8

Europol y las autoridades estadounidenses reclaman la victoria después de «desmantelar» una importante banda internacional de delitos informáticos que utilizó el troyano bancario GozNym en un intento de robar 100 millones de dólares a las empresas.

Ayer se desveló una acusación federal acusando a 10 miembros del grupo de conspiración para cometer fraude informático, conspiración para cometer fraude electrónico y fraude bancario, y conspiración para cometer lavado de dinero. Un undécimo ya ha sido acusado en una acusación previa. Cinco de las pandillas tienen su base en Rusia y, por lo tanto, probablemente escaparán a la justicia.

Más información

#HablemosDeSeguridad

Vía @cybersecurityES

Un nuevo programa para ayudar a las jóvenes a acercarse a la ciberseguridad.

Publicado el | por blogcapa8

La ciberseguridad y la inteligencia artificial (IA) son dos de los campos tecnológicos más pujantes de la actualidad y en ambos surgen a diario nuevas oportunidades laborales. Sin embargo, a nivel global, las mujeres ocupan menos del 20% de los puestos de trabajo dentro del campo de la alta tecnología, y solo una de cada 20 jóvenes opta por una carrera STEM (ciencia, tecnología, ingeniería y matemáticas).

Más información

#HablemosDeSeguridad

Vía @cybersecurityES

La ciberdelincuencia mueve tanto dinero como la pornografía y el tráfico de drogas juntos.

Publicado el | por blogcapa8

Además de la libertad, la ciberseguridad afecta a la economía y al orden mundial. “Hoy por hoy la principal motivación de los ciberataques es el dinero. Antes lo podían hacer por ideas, pero cada vez más los hackers lo hacen por dinero. Creo que no se exagera cuando se dice que la ciberdelincuencia mueve tanto dinero como la pornografía y el tráfico de drogas juntos”. Miguel Juan socio fundador y co-director general de S2 Grupo.

Más información

#HablemosDeSeguridad

Vía @cybersecurityES

Detienen a banda de hackers en Guanajuato, México.

Publicado el | por blogcapa8

Héctor N y su grupo de cibercriminales fueron capturados por la FGR este jueves en León, Guanajuato. Este grupo de cibercriminales habrían estado detrás del ataque a la banca electrónica en el 2018.

La captura llega después de una serie de cateos en domicilios leoneses, luego de que el banco BBVA Bancomer interpusiera una denuncia por fraude electrónico cuando el grupo de hackers intentó comprar un equipo de Tercera División, cuyo nombre aún no ha sido revelado.

Más información

#HablemosDeSeguridad

Vía @record