Hoy en día no es necesario explicar con mucho detalle que es la ciber seguridad, ya la mayoría de personas que trabajan de alguna u otra manera frente a una computadora habrán escuchado al menos mencionar este término algunas veces, ya sea porque lo escucharon en la noticia o porque la empresa donde laboran se vio comprometida con alguno de los virus masivos que han estado rondando el Internet recientemente, de ahí la importancia de que las empresas ayuden a sus empleados a ser mejores patrocinadores de la ciber seguridad, a ir mas allá de los entrenamientos básicos de qué tipo de clave usar y otros protocolos básicos. Ya a estas alturas no debería haber claves como “12345678” o “qwerty”, lo triste es que hay todavía muchísimos casos de esos, pero no voy a tocar ese tema específico hoy. La mejor manera de entrenar a los empleados a defenderse de los hackers es básicamente enseñarles a pensar como uno.
El primer paso es básicamente entender lo que significa ser un hacker; lo mejor es empezar por olvidar todo lo que la industria de entretenimiento y publicidad nos ha dicho sobre los hackers; Estas industrias han sido sensacionalistas usando este término para ligarlo con ciber criminales, lo cual es absurdo, considerando que hay más de un tipo de hacker allá afuera.
Lo cierto es que, en más de una forma, los hackers son los ciudadanos modelos de esta era digital, considerando lo creativos que son, persistentes y la cantidad de recursos de los que disponen. Piensan en términos digitales y tienen la curiosidad y ganas de entender cómo funciona la tecnología; cada problema lo ven como una oportunidad; se paran firme en lo que creen y quieren que el mundo sea un lugar más seguro, por lo menos la gran mayoría de ellos.
Los hackers también saben algunas cosas sobre los límites de la tecnología, tienen una desconfianza sana hacia los sistemas computacionales, y entienden que no hay ningún software inmune a los bugs, y que aun sin bugs habrá vulnerabilidades de seguridad.
También saben y entienden que el hecho de que los programas computacionales sean creados para hacer cosas buenas no significa que no puedan ser usados para hacer cosas malas. Para ellos, esta de más decir que los programas siempre harán más de lo que fueron creados para hacer y están constantemente buscando vulnerabilidades.
Para aquellos de nosotros que nacimos antes de la digitalización de la sociedad, que quizá representa gran parte de tu fuerza laboral, estos conceptos suenan lejanos, pero para los hackers es muy simple la manera como todo esto funciona; es por ello que es tan importante para las compañías empezar a cultivar la mentalidad de hackers dentro de su organización hoy en día, no solamente puede cambiar la manera como los empleados verán el valor de la ciber seguridad, lo cual lleva a una mejor seguridad dentro de la organización, pero también puede llevar a tus empleados a ser más curiosos y con muchos recursos, que sin duda son dos de las habilidades más valiosas en un futuro a la vuelta de la esquina de inteligencia artificial y automatización.
Algunas de las cosas que empresas de cualquier tamaño pueden empezar a enseñar a sus empleados para que piensen como hackers son:
Competiciones de seguridad:
Anime a sus empleados a participar de competiciones de seguridad, aunque sea solo como observadores o para aprender. Estos eventos les dan a las personas la oportunidad de salir de su día a día por un momento para pensar creativamente a resolver algún tipo de problema, que básicamente es de lo que se trata el hacking.
A veces estos eventos están relacionados con algún producto o negocio especifico, pero pueden estar enfocado completamente en otra cosa. La idea es que la gente pueda ejercitar sus músculos mentales de nuevas formas, esto ayuda a los equipos a evitar una visión de túnel angosto o visión muy básica y pensar más bien como equipo y por supuesto, a pensar más creativamente. Hace que todos sean más observadores y curiosos del mundo alrededor de ellos, lo cual es ideal para una buena ciber higiene.
Compartir incidentes e información:
Cuando algo grande sucede en tu industria, anima a tus equipos a compartir sus hallazgos y análisis; evidentemente la idea no es que todo el mundo escriba reportes de 10 páginas, algo sencillo y básico debe bastar. Cuando se corta el camino que existe entre los equipos de diferentes empresas hoy, ayuda a crear una comunidad y compartir un propósito en común. Evidentemente esto no será posible en compañías en donde los datos sean sensitivos, será importante involucrar a su experto de seguridad informática para determinar que puede ser compartido y que no, pero al final esto va a crear una fuerza laboral más vigilante y con más probabilidades de detectar y responder a las amenazas de manera más efectiva.
Esto aplica y es sumamente importante sobre todo en equipos de seguridad. Cuando hay un incidente, usualmente se debe informar a otro grupo de que sucedió y como respondieron. Si las vulnerabilidades son encontradas y resueltas, deben trabajar con los programadores, diseñadores e ingenieros para evitar que se cometan los mismos errores en el futuro. Cuando industrias son golpeadas por ataques mayores como WannaCry o vulnerabilidades como Heartbleed, el equipo de seguridad informática debe circular regularmente actualizaciones e información con toda la empresa e inclusive entrenar a aquellos que deseen saber más.
Agruparse:
Enseñar a los empleados a trabajar en conjunto con otros departamentos y equipos; esto ayuda a abrir mejores líneas de comunicación dentro de la organización y también ayuda a resolver todo tipo de desafíos con una perspectiva fresca.
Aunque tu equipo de seguridad informática sea el mejor de la industria, la realidad es que todos los humanos somos falibles; cuando la misma gente está revisando el mismo código todos los días es solo cuestión de tiempo antes de que algo importante les pase por encima. Es por eso que las organizaciones más conscientes de la seguridad involucran ayuda externa.
Cuando adoptas una mentalidad de hacker, no te traumas fácilmente con los avances tan rápidos en la tecnología, al contrario, los aceptas y reconoces su habilidad en hacer un el mundo un mejor y más seguro lugar, eso no solamente es bueno para la seguridad en general sino también para el negocio.