Estoy leyendo este libro que se llama “Tribe Of Hackers” los autores son Marcus J. Carey y Jennifer Jin. El libro tiene que ver con la respuesta de varios especialistas en Ciberseguridad a un cuestionario de preguntas elaborado por los autores (la lista de preguntas es la misma para todos), una de esas preguntas es ”Cómo explica que el gasto en Ciberseguridad haya aumentado tanto, sin embargo las violaciones de datos siguen ocurriendo?”
Las respuestas tienen algunas variantes, sin embargo se puede percibir que estos expertos tienen un punto en común, estamos involucrados en “La Lucha contra los Ciberataques” pero el interés no es necesariamente resolver el problema. Las razones que se esgrimen van desde la importancia relativa que tienen los Departamentos de Tecnologías de la Información, hasta la muy superficial regulación legal que existe en la materia. En los últimos doce meses me he paseado por cursos de certificación en la materia, libros escritos por expertos en el asunto, charlas y presentaciones de productos y servicios relativos a este tópico, siempre me quedo con la sensación de que los esfuerzos que hacemos no son suficientes.
Empecemos diciendo que en el 95% de los casos, los problemas de seguridad en el Internet son atribuibles a los seres humanos. Dejaré de decir a los usuarios, como lo dice el estudio de IBM que arroja esa cifra, porque encontré un artículo que decía “Los profesionales de Seguridad Informática tienen que parar de echarle la culpa a los Usuarios, vosotros sois los responsables de este asunto”, creo que si de asumir responsabilidades se trata entonces esto que se ha dicho acerca de los colegas es cierto. Mientras que los usuarios comunes y corrientes le dan clic al primer hiperenlace que encuentran en su diario transitar por el Internet, los profesionales del sector invertimos largas horas en mantenernos actualizados sobre la materia, por tanto somos nosotros quienes debemos cuidar que la información de nuestras empresas esté a buen recaudo.
Cuando hablo de Seguridad, en términos generales, traigo a colación la experiencia de mi papá, él fue un oficial de la Policía de Investigaciones del Perú, como parte de su carrera profesional, mi viejo participo de actividades desde Criminalística, Inteligencia, Antiterrorismo, Narcotráfico y luego en sus últimos años fue Director de la Escuela de Suboficiales. Mi papá era muy celoso con su trabajo, él no ventilaba detalles de su trabajo, sin embargo en la biblioteca de la casa él tenía mucho material de lectura acera de todos estos tópicos, libros, revistas, informes, etc. Me gustaba pasar tiempo leyendo ese tipo de literatura policial. En el año 1976 fue asignado a un curso de entrenamiento en Washigton DC, dicho entrenamiento era dictado por la DEA (Drug Enforcement Administration por sus siglas en Inglés) justamente para preparar a jóvenes oficiales en la lucha contra el Narcotráfico.
Miren cuantos años han pasado desde entonces y el Narcotráfico en vez de haber mermado, ha inundado el mundo de sustancias de todo tipo. No solamente aquello, sino que se ha creado un medioambiente de “Lucha Contra El Narcotráfico”, en ese medioambiente viven una serie de elementos que sacados de ese ecosistema no tendrían razón de ser, un elemento adicional que me parece importante es que ese sistema de represión cuenta con grandes cantidades de dinero asignadas para ese fin, lo que lo hace muy atractivo para quienes viven de ese sistema. De todo ello podemos decir que, para quienes están involucrados, directa o indirectamente, en la “Lucha Contra El Narcotráfico” solucionar el problema de ese azote social no es el objetivo de corto plazo por lo menos. Si fuera que se soluciona el problema, habría que desmantelar todo el ecosistema que se ha montado, y creo que hasta generaría un caos al no saber que utilidad se le daría a los recursos humanos y tecnológicos que han sido entrenados y/o diseñados para ese fin.
Similar percepción tengo del asunto de Ciberseguridad, creo que cada día se construye un nivel más del ecosistema de la “Lucha contra el Cibercrimen” sin que eso necesariamente genere un beneficio tangente para quienes esperamos un grado de mayor seguridad para nuestra información. En alguna oportunidad le pregunté a unos de los ejecutivos de una prestigiosa firma de la Industria de Ciberseguridad “si en el 95% de los casos, los problemas de seguridad son atribuibles a los seres humanos, porqué su firma se enfoca solamente en el 5% del problema?”. Acepto que fue una pregunta punzante, la respuesta quizás era “porque en ese 5% es donde nosotros hacemos nuestro dinero”, aunque otra respuesta pudo haber sido “porque no tenemos idea de cómo darle frente al 95% del problema”, y claro, si uno usa la imaginación, podríamos elaborar una sería de respuestas a favor o en contra de este tópico que causa tanto estrés en el mundo del Internet.
Vamos por soluciones, para no andar de acusetes o de quejones. Hay buenas noticias, el problema de Ciberseguridad forma parte de un Sistema con el que los seres humanos convivimos desde que nuestros antepasados empezaron a poblar el planeta. Ese Sistema tiene que ver con “Administrar el Riesgo”, es decir, un principio de Seguridad es que el riesgo no se elimina, el riesgo es parte de nuestro vivir, con nuestro comportamiento nosotros podemos subir o bajar el nivel de riesgo al que nos exponemos, por tanto una primera idea es definir cuál es el riesgo que enfrentamos, para que con ello podamos decidir que nivel de riesgo, de ese riesgo, estamos dispuestos a aceptar como un plan de administración de eso que percibimos como una posibilidad de ser perjudicados. Tenemos que ponerle nombre y apellido a nuestros temores, a nuestros riesgos, porque vivir en la generalidad hace o que no le prestemos importancia, o que cuando lo hagamos sea demasiado tarde.
Ciberseguridad, si uno lo enuncia de esa manera significa en muchos de los casos nada para una persona. Solamente cuando a usted le roban la clave de su tarjeta de crédito es que se preocupa de que alguien desde el Internet le ha sembrado un malware en su computador y desde ahí ha estado espiando cada golpe que le ha dado a su teclado. Por tanto a la gente hay que explicarle el riesgo en sus propios términos “este sistema de seguridad le permite proteger su identidad cuando elabora su declaración de impuestos, en el caso que un robo de identidad resultara, nosotros nos comprometemos a tomar acción inmediata para mitigar las consecuencias de ese atentado”. Este enunciado pone sobre la mesa otro factor que es importante cuando se habla de seguridad en el Internet, la respuesta ante el hecho consumado.
Uno de los grandes problemas que genera el uso del Internet es la poca presencia de la legislación convencional en sus actividades. En los Estados Unidos colectar el impuesto de ventas en actividades comerciales desde el Internet ha tenido progresos importantes, pero sigue siendo un asunto que inquieta a quienes necesitan el dinero para cubrir los presupuestos de los gobiernos locales. El Internet rompe con el mundo analógico en el que hemos vivido por milenios. El Internet ha creado un mundo digital en el que las cosas suceden de manera aleatoria, sin generar patrones de conducta que permanezcan por mucho tiempo entre quienes se involucran en sus actividades. Frente a esa realidad, los marcos legales de los países en el mundo mantienen una estructura analógica, uso este termino para decir que la ley en el mundo todavía espera que suceda un hecho, para que luego sea investigado, y que termine en la sentencia de alguna autoridad que tenga ese derecho otorgado por el sistema legal al que pertenecemos.
Mientras ese mecanismos que espera que sucedan cosas para actuar, sigue su lento paso, el mundo digital dispara hechos desde todos los ángulos, haciendo que la respuesta contra los problemas de seguridad sean torpes, lentos e ineficientes. Tenemos pues varios elementos que conjugados generan un jugo tóxico del que cual bebemos casi a diario. Después de haber afirmado que un principio de seguridad es que el riesgo no se elimina sino que se debe mantener bajo control, diré que otro principio de esta misma materia dice que el miedo o el pánico son elementos que debemos poner al margen de nuestro trabajo diario cuando enfrentamos problemas de Seguridad de manera general, y de Seguridad en el Internet de manera puntual.
En otro de los libros que ando leyendo estos día “Homo Deus”, Yuval Noah Harari, se informa que en el mundo la cantidad de personas que mueren por actos violentos es mucho menor, pero mucho muy menor, que quienes mueren por problemas de obesidad, cardiacos y de cáncer. Es decir, mientras los titulares de los telenoticieros, prensa escrita, y plataformas de redes sociales, se hace toda una cobertura al asunto de la violencia en el mundo, las personas morimos más por asuntos que tienen que ver con nuestra forma de vida, nuestros hábitos alimenticios, y nuestra salud mental. Le estamos apuntando fuera del objetivo! La industria de Ciberseguridad le apunta al 5% del problema, la cobertura mediática de la información le apunta a la violencia cuando esa actividad humana solamente se encarga en grado muy menor de la muerte de seres humanos.
Usted quiere vivir más? Cuide su alimentación, haga ejercicio, duerma ocho horas cada día, eso no asegura que vivirá por la eternidad, pero si que su calidad de vida mejorará al punto que usted disfrute su paso por este mundo. En el caso de ciberseguridad, mantenga actualizado el software de todo aquello donde se opera y guarda la información que forma parte de su vida, de sus negocios, de su actividad profesional. Deje la rutina y busque maneras de que sus credenciales de acceso a las aplicaciones y dispositivos que usted utiliza, cambien con cierta frecuencia para que se le haga la tarea más difícil a quienes quieren robar sus datos. Déjeme decirle algo, el ladrón busca lo sencillo, es cierto que se ha sofisticado, que desarrolla programas de computación que son capaces de intentar aleatoriamente miles usuarios y passwords en segundos, pero su mentalidad delictiva es la misma “easy money”, es decir mientras más sencillo sea para ellos, es mejor, por tanto con un par de simples actividades como las que he mencionado (software actualizado, y romper la rutina del acceso) usted alejará a los maleantes del Internet, aunque también es cierto que eso no le asegura que nunca pasará ningún problema.
Finalizaré diciendo que, ya que al inicio pusimos la responsabilidad de la Seguridad en Internet sobre los hombros de los profesionales del sector, que la responsabilidad integral de la Seguridad de los seres humanos en este planeta, es de los Gobiernos Nacionales. El Internet ha abierto una serie de posibilidades, pero los Gobiernos Nacionales no pueden claudicar su responsabilidad ante un mundo que es de todos, pero que no puede constituirse en una fuente de zozobra, un lugar desde el que lleguen muchos beneficios, pero al mismo tiempo donde se gestan una serie de ataques contra los ciudadanos de los países del mundo. Estoy a favor de un Internet de libre acceso, pero al tiempo pido una mayor presencia de la ley en el Internet. Imagino esto como una plaza pública en donde las personas va a desarrollar una serie de actividades, un lugar donde las fuerzas de seguridad mantienen una presencia sigilosa, pero que dicha presencia es conocida y percibida por quienes asisten a ese lugar público, generando un ambiente seguro y distendido, en una de esas sucede algún problema, pero los agentes están prestos a auxiliar a las víctimas, y a reponer el orden, ese es el Internet que quiero ver.
Estoy leyendo este libro que se llama “Tribe Of Hackers” los autores son Marcus J. Carey y Jennifer Jin. El libro tiene que ver con la respuesta de varios especialistas en Ciberseguridad a un cuestionario de preguntas elaborado por los autores (la lista de preguntas es la misma para todos), una de esas preguntas es ”Cómo explica que el gasto en Ciberseguridad haya aumentado tanto, sin embargo las violaciones de datos siguen ocurriendo?”
Las respuestas tienen algunas variantes, sin embargo se puede percibir que estos expertos tienen un punto en común, estamos involucrados en “La Lucha contra los Ciberataques” pero el interés no es necesariamente resolver el problema. Las razones que se esgrimen van desde la importancia relativa que tienen los Departamentos de Tecnologías de la Información, hasta la muy superficial regulación legal que existe en la materia. En los últimos doce meses me he paseado por cursos de certificación en la materia, libros escritos por expertos en el asunto, charlas y presentaciones de productos y servicios relativos a este tópico, siempre me quedo con la sensación de que los esfuerzos que hacemos no son suficientes.
Empecemos diciendo que en el 95% de los casos, los problemas de seguridad en el Internet son atribuibles a los seres humanos. Dejaré de decir a los usuarios, como lo dice el estudio de IBM que arroja esa cifra, porque encontré un artículo que decía “Los profesionales de Seguridad Informática tienen que parar de echarle la culpa a los Usuarios, vosotros sois los responsables de este asunto”, creo que si de asumir responsabilidades se trata entonces esto que se ha dicho acerca de los colegas es cierto. Mientras que los usuarios comunes y corrientes le dan clic al primer hiperenlace que encuentran en su diario transitar por el Internet, los profesionales del sector invertimos largas horas en mantenernos actualizados sobre la materia, por tanto somos nosotros quienes debemos cuidar que la información de nuestras empresas esté a buen recaudo.
Cuando hablo de Seguridad, en términos generales, traigo a colación la experiencia de mi papá, él fue un oficial de la Policía de Investigaciones del Perú, como parte de su carrera profesional, mi viejo participo de actividades desde Criminalística, Inteligencia, Antiterrorismo, Narcotráfico y luego en sus últimos años fue Director de la Escuela de Suboficiales. Mi papá era muy celoso con su trabajo, él no ventilaba detalles de su trabajo, sin embargo en la biblioteca de la casa él tenía mucho material de lectura acera de todos estos tópicos, libros, revistas, informes, etc. Me gustaba pasar tiempo leyendo ese tipo de literatura policial. En el año 1976 fue asignado a un curso de entrenamiento en Washigton DC, dicho entrenamiento era dictado por la DEA (Drug Enforcement Administration por sus siglas en Inglés) justamente para preparar a jóvenes oficiales en la lucha contra el Narcotráfico.
Miren cuantos años han pasado desde entonces y el Narcotráfico en vez de haber mermado, ha inundado el mundo de sustancias de todo tipo. No solamente aquello, sino que se ha creado un medioambiente de “Lucha Contra El Narcotráfico”, en ese medioambiente viven una serie de elementos que sacados de ese ecosistema no tendrían razón de ser, un elemento adicional que me parece importante es que ese sistema de represión cuenta con grandes cantidades de dinero asignadas para ese fin, lo que lo hace muy atractivo para quienes viven de ese sistema. De todo ello podemos decir que, para quienes están involucrados, directa o indirectamente, en la “Lucha Contra El Narcotráfico” solucionar el problema de ese azote social no es el objetivo de corto plazo por lo menos. Si fuera que se soluciona el problema, habría que desmantelar todo el ecosistema que se ha montado, y creo que hasta generaría un caos al no saber que utilidad se le daría a los recursos humanos y tecnológicos que han sido entrenados y/o diseñados para ese fin.
Similar percepción tengo del asunto de Ciberseguridad, creo que cada día se construye un nivel más del ecosistema de la “Lucha contra el Cibercrimen” sin que eso necesariamente genere un beneficio tangente para quienes esperamos un grado de mayor seguridad para nuestra información. En alguna oportunidad le pregunté a unos de los ejecutivos de una prestigiosa firma de la Industria de Ciberseguridad “si en el 95% de los casos, los problemas de seguridad son atribuibles a los seres humanos, porqué su firma se enfoca solamente en el 5% del problema?”. Acepto que fue una pregunta punzante, la respuesta quizás era “porque en ese 5% es donde nosotros hacemos nuestro dinero”, aunque otra respuesta pudo haber sido “porque no tenemos idea de cómo darle frente al 95% del problema”, y claro, si uno usa la imaginación, podríamos elaborar una sería de respuestas a favor o en contra de este tópico que causa tanto estrés en el mundo del Internet.
Vamos por soluciones, para no andar de acusetes o de quejones. Hay buenas noticias, el problema de Ciberseguridad forma parte de un Sistema con el que los seres humanos convivimos desde que nuestros antepasados empezaron a poblar el planeta. Ese Sistema tiene que ver con “Administrar el Riesgo”, es decir, un principio de Seguridad es que el riesgo no se elimina, el riesgo es parte de nuestro vivir, con nuestro comportamiento nosotros podemos subir o bajar el nivel de riesgo al que nos exponemos, por tanto una primera idea es definir cuál es el riesgo que enfrentamos, para que con ello podamos decidir que nivel de riesgo, de ese riesgo, estamos dispuestos a aceptar como un plan de administración de eso que percibimos como una posibilidad de ser perjudicados. Tenemos que ponerle nombre y apellido a nuestros temores, a nuestros riesgos, porque vivir en la generalidad hace o que no le prestemos importancia, o que cuando lo hagamos sea demasiado tarde.
Ciberseguridad, si uno lo enuncia de esa manera significa en muchos de los casos nada para una persona. Solamente cuando a usted le roban la clave de su tarjeta de crédito es que se preocupa de que alguien desde el Internet le ha sembrado un malware en su computador y desde ahí ha estado espiando cada golpe que le ha dado a su teclado. Por tanto a la gente hay que explicarle el riesgo en sus propios términos “este sistema de seguridad le permite proteger su identidad cuando elabora su declaración de impuestos, en el caso que un robo de identidad resultara, nosotros nos comprometemos a tomar acción inmediata para mitigar las consecuencias de ese atentado”. Este enunciado pone sobre la mesa otro factor que es importante cuando se habla de seguridad en el Internet, la respuesta ante el hecho consumado.
Uno de los grandes problemas que genera el uso del Internet es la poca presencia de la legislación convencional en sus actividades. En los Estados Unidos colectar el impuesto de ventas en actividades comerciales desde el Internet ha tenido progresos importantes, pero sigue siendo un asunto que inquieta a quienes necesitan el dinero para cubrir los presupuestos de los gobiernos locales. El Internet rompe con el mundo analógico en el que hemos vivido por milenios. El Internet ha creado un mundo digital en el que las cosas suceden de manera aleatoria, sin generar patrones de conducta que permanezcan por mucho tiempo entre quienes se involucran en sus actividades. Frente a esa realidad, los marcos legales de los países en el mundo mantienen una estructura analógica, uso este termino para decir que la ley en el mundo todavía espera que suceda un hecho, para que luego sea investigado, y que termine en la sentencia de alguna autoridad que tenga ese derecho otorgado por el sistema legal al que pertenecemos.
Mientras ese mecanismos que espera que sucedan cosas para actuar, sigue su lento paso, el mundo digital dispara hechos desde todos los ángulos, haciendo que la respuesta contra los problemas de seguridad sean torpes, lentos e ineficientes. Tenemos pues varios elementos que conjugados generan un jugo tóxico del que cual bebemos casi a diario. Después de haber afirmado que un principio de seguridad es que el riesgo no se elimina sino que se debe mantener bajo control, diré que otro principio de esta misma materia dice que el miedo o el pánico son elementos que debemos poner al margen de nuestro trabajo diario cuando enfrentamos problemas de Seguridad de manera general, y de Seguridad en el Internet de manera puntual.
En otro de los libros que ando leyendo estos día “Homo Deus”, Yuval Noah Harari, se informa que en el mundo la cantidad de personas que mueren por actos violentos es mucho menor, pero mucho muy menor, que quienes mueren por problemas de obesidad, cardiacos y de cáncer. Es decir, mientras los titulares de los telenoticieros, prensa escrita, y plataformas de redes sociales, se hace toda una cobertura al asunto de la violencia en el mundo, las personas morimos más por asuntos que tienen que ver con nuestra forma de vida, nuestros hábitos alimenticios, y nuestra salud mental. Le estamos apuntando fuera del objetivo! La industria de Ciberseguridad le apunta al 5% del problema, la cobertura mediática de la información le apunta a la violencia cuando esa actividad humana solamente se encarga en grado muy menor de la muerte de seres humanos.
Usted quiere vivir más? Cuide su alimentación, haga ejercicio, duerma ocho horas cada día, eso no asegura que vivirá por la eternidad, pero si que su calidad de vida mejorará al punto que usted disfrute su paso por este mundo. En el caso de ciberseguridad, mantenga actualizado el software de todo aquello donde se opera y guarda la información que forma parte de su vida, de sus negocios, de su actividad profesional. Deje la rutina y busque maneras de que sus credenciales de acceso a las aplicaciones y dispositivos que usted utiliza, cambien con cierta frecuencia para que se le haga la tarea más difícil a quienes quieren robar sus datos. Déjeme decirle algo, el ladrón busca lo sencillo, es cierto que se ha sofisticado, que desarrolla programas de computación que son capaces de intentar aleatoriamente miles usuarios y passwords en segundos, pero su mentalidad delictiva es la misma “easy money”, es decir mientras más sencillo sea para ellos, es mejor, por tanto con un par de simples actividades como las que he mencionado (software actualizado, y romper la rutina del acceso) usted alejará a los maleantes del Internet, aunque también es cierto que eso no le asegura que nunca pasará ningún problema.
Finalizaré diciendo que, ya que al inicio pusimos la responsabilidad de la Seguridad en Internet sobre los hombros de los profesionales del sector, que la responsabilidad integral de la Seguridad de los seres humanos en este planeta, es de los Gobiernos Nacionales. El Internet ha abierto una serie de posibilidades, pero los Gobiernos Nacionales no pueden claudicar su responsabilidad ante un mundo que es de todos, pero que no puede constituirse en una fuente de zozobra, un lugar desde el que lleguen muchos beneficios, pero al mismo tiempo donde se gestan una serie de ataques contra los ciudadanos de los países del mundo. Estoy a favor de un Internet de libre acceso, pero al tiempo pido una mayor presencia de la ley en el Internet. Imagino esto como una plaza pública en donde las personas va a desarrollar una serie de actividades, un lugar donde las fuerzas de seguridad mantienen una presencia sigilosa, pero que dicha presencia es conocida y percibida por quienes asisten a ese lugar público, generando un ambiente seguro y distendido, en una de esas sucede algún problema, pero los agentes están prestos a auxiliar a las víctimas, y a reponer el orden, ese es el Internet que quiero ver.
