Conciencia, conciencia, ¡divino instinto!

“Si crees que la tecnología puede solventar tus problemas de seguridad, entonces no entiendes los problemas y no entiendes de tecnología.”
Bruce Schneier

¡Vaya inicio de 2020! ¡Qué sacudida nos ha dado! John Lennon decía que mientras más realidad enfrentamos, más nos damos cuenta de que la irrealidad es el programa principal del día. Y es que cuando navegamos por internet, esta cuasi apocalíptica contingencia en la que vivimos pareciera ser la dosis de irrealidad que los medios nos suministran con el fin de reaccionar ante lo que, como sociedad, hemos dejado de hacer para proteger nuestro habitat. Sin embargo, y pecando un poco de optimismo, estoy seguro de que este enclaustramiento será un periodo de renovación en todos los aspectos; y en el caso de la ciberseguridad, sin duda será un impulso para generar esa conciencia en las organizaciones tan necesaria, ante el panorama al que nos enfrentamos. Y es que, nuevamente queda evidenciado que frente situaciones de emergencia como la que estamos viviendo, las personas son las que hacen la diferencia. Hace un mes, muchos de ustedes seguramente estaban en San Francisco o seguían a la distancia pero muy atentos, los acontecimientos que ahí se vivían en la RSA. Seguramente recuerdan que el tema elegido del 2020 fue el elemento humano. Y es que, ¿cuál es la herramienta más poderosa para prevenir ciberataques? Eres tú. Es increíble, ¿no? Vivimos en una época donde los ciberataques son cada vez mas sofisticados, los actores de amenaza utilizan tecnologías, estrategias e inteligencia artificial y, paradójicamente, todos coincidimos en que las personas, el elemento humano, son quienes nos salvarán. En Capa8, somos promotores de ello; las prácticas de concienciación son claves en una estrategia de ciberseguridad. Concienciar sin duda generará una disminución de incidentes de seguridad y de sus costos asociados —ese dato mágico que te permitirá justificar tus inversiones ante la alta dirección—. La concienciación fomenta iniciativas que puedes ejecutar sin necesidad de invertir grandes cantidades en recursos; y te ayudarán a minimizar el riesgo de manera tangible. Imagina que puedes convertir a tus usuarios en firewalls humanos, en tu primera línea de defensa.

Para que tu estrategia de concienciación sea exitosa, te recomendamos:

  • Generar un plan ad-hoc a tu situación y a tu cultura organizacional es clave para que el mensaje llegue de manera adecuada a tus usuarios. Tu plan debe considerar al menos:
    • Involucrar a las personas necesarias e interesadas.
    • Diagnosticar la situación actual.
    • Preparar campañas de entrenamiento.
    • Distribuir políticas.
    • Definir materiales de reforzamiento.
    • Medir y mejorar continuamente.
  • No la enfoques como un ejercicio anual, eso no funciona. La concienciación es la proteína para fortalecer tu músculo de ciberseguridad. Recuerda que buscamos modificar o fortalecer la cultura de seguridad; eso significa modificar actitudes y costumbres y para ello hay que trabajar todos los días.
  • ¡Hazlo divertido! Está comprobado que nuestro cerebro permite una mayor ingestión de información si ésta es atractiva para el receptor. Por eso utiliza dinámicas lúdicas e interactivas.
  • Reconocimiento: es importante que destaques y premies a los usuarios que se esfuercen más.
  • Construye alianzas previo al arranque de tu campaña. La Alta Dirección y áreas como Recursos Humanos, Marketing, Comunicación, Operaciones, Educación, Desarrollo organizacional, TI, son cruciales. Mientras más alianzas tengas, tendrás mayores posibilidades de éxito.
  • Genera liderazgos: si defines champions ellos pueden ayudarte a difundir el mensaje y no necesariamente deben pertenecer al área de seguridad.
  • Entrena como espartano: realiza simulaciones de phishing y de vishing; ejecuta pruebas de ingeniería social diariamente.
  • Mide todo lo que puedas. Llénate de estadísticas útiles, serán la píldora que te volverá inmune ante cualquier intento de boicotear tus esfuerzos. Justificarás de manera tangible que tu trabajo es valioso para la organización, que genera resultados y que los beneficios de negocio que prometiste sí son alcanzables.
  • Toma acciones con base en los resultados; mejora continuamente.

Sé que parece una labor titánica, pero no te asustes no es así, existen muchísimas herramientas y aliados que te ayudarán en el camino. La constancia y la disciplina serán cualidades que deberás establecer como sello en tu estrategia.

¡Hablemos de seguridad!

Provehito in altum
Por: Juan Pablo Carsi

¡Ah, el amor! Ya estamos en medio de febrero donde por supuesto puedes percibir que el amor está en el aire y… claro, se incrementa el riesgo de sufrir ciberataques por el tan asediado San Valentín.

Y si bien muchos CISOs afilan sus espadas, algunos aún estamos sufriendo de la resaca de las fiestas de año nuevo. Otros más, cargan con el arrepentimiento por excederse con los festines que han traído como consecuencia algunos kilos de más, pero creo que la mayoría muy contentos por contar con una nueva oportunidad para que esos propósitos, ahora sí, sean cumplidos a cabalidad.

Si eres el responsable de alguna estrategia de ciberseguridad, seguramente tendrás propósitos que estableciste con el fin de optimizarla y, de paso, intentar hacerte la vida más fácil. Si no estás inmerso en ese mundo, pero eres consciente de su importancia, al menos estarás contemplando emplazar alguna iniciativa al respecto.

¿Hacia dónde dirigir los esfuerzos en este 2020?

Casi como el mismísimo Nostradamus, los analistas predicen catastróficos impactos por ciberataques para este año. Escuchamos a los gurús en la materia y leemos acerca de las tendencias, y muchos apuntan a protegerte de amenazas relacionadas con ciberataques cada vez más sofisticados; incluso los que emplean inteligencia artificial, lo cual sin duda se traduce en un importante reto para nuestra “fortaleza medieval”. Por otro lado, las tensiones geopolíticas y los conflictos que lamentablemente hacen resonar trompetas de guerra en Oriente Medio, vuelven más tenso el contexto. Y claro, aunado a ello, la escasez de recursos económicos para justificar inversiones ante la dirección nos ubica en un desolador panorama, ¿cierto?

Y entonces, ¿se puede hacer algo al respecto? ¡Claro que se puede! Es cierto que en este ámbito siempre nos encontramos un paso atrás ante el cibercrimen. Ellos tienen recursos y tiempo y en tu caso no siempre es así; pero puedes “jugar” tus piezas estratégicamente. Esa es la clave.

En este sentido, te recomendamos que retomes ese análisis de riesgos y que valides su vigencia. Responde a las preguntas:
¿Cuál es tu postura de seguridad?
• ¿Quiénes son los actores de amenaza que pueden atentar contra tu organización?
• ¿Cuáles son sus motivaciones y los vectores de ataque que utilizarán?
• ¿Cuáles son tus puntos débiles y qué áreas debes reforzar?
• ¿Tus inversiones en seguridad están alineadas a tu contexto real (industria y ubicación geográfica)?
• ¿Puedes justificar ante la Dirección o Consejo las inversiones en ciberseguridad dada tu postura de riesgo y que ésta se traduzca en pesos?

Si puedes responderlas entonces ya sabes hacia donde dirigir tus esfuerzos. Si no es así, te recomendamos que realices lo más pronto un ejercicio de este tipo.

Así que, manos a la obra, ¡mueve tus piezas! Y que este 2020 sea un ciclo de salud, prosperidad y muchos éxitos y… no está de más: unas cuantas horas adicionales de sueño.

Provehito in altum
Por: Juan Pablo Carsi