Todo estará conectado, todo será hackeado
por Bright B. Simons
África no es lo que se llamaría un semillero de experiencia en seguridad de la información (infosec). Algunos expertos en el campo me dicen que en tres subprofesiones cruciales de la seguridad de la información (experiencia en malware, redacción de exploits y criptoanálisis y criptografía), el continente no puede presumir de tener ni un solo experto de talla mundial.
Por lo tanto, podría parecer arrogante sugerir que África tiene mucho que enseñar a un directivo que diseñe la estrategia de seguridad de la información en una empresa con aspiraciones de talla mundial. Sin embargo, las conversaciones con especialistas en seguridad me han convencido de que De hecho, África podría ser un buen lugar para aprender y experimentar con nociones novedosas y emocionantes sobre la seguridad de la información corporativa.
Esto se debe a que las estrategias corporativas de seguridad de la información en la mayor parte del mundo están diseñadas centrándose un 99% en la impenetrabilidad. Casi todos los recursos (tiempo, talento y material) se dedican a reforzar y ampliar los perímetros. Como explicaré, eso puede resultar en una enorme mala asignación de recursos.
Empecemos por la empresa para la que trabaja.
¿Adquiere escritorios o estaciones de trabajo, tabletas o incluso teléfonos inteligentes para que los usen sus empleados en la oficina y fuera de ella? ¿Cómo sabe si un par de puertas lógicas del procesador de su ordenador (un área que solo se ve con un microscopio potente) se han visto comprometidas para permitir la lenta «exfiltración» de información valiosa o confidencial hasta que los valiosos datos puedan ser transportados a través de una red externa a algún grupo o persona hostil o rival? ¿Tiene alguna política de «antivirus de hardware»?
¿Cuánto tiempo dedican sus agentes de seguridad a investigar la cadena de suministro de su equipo en busca de máquinas falsificadas que puedan albergar gusanos mortales en los microcircuitos reales?
Otra pregunta: ¿se les permite a sus compañeros de trabajo y a usted llevar dispositivos de trabajo fuera del edificio de oficinas? ¿Se le permite llevar sus propios dispositivos a la oficina? ¿Cuál es la política sobre «redes de confianza»? Si usted o sus colegas utilizan sus dispositivos en las redes, ¿usted o su empresa no controlan cómo los «desinfecta» antes de permitir que interactúen con otros dispositivos y sistemas de su red?
Y teniendo en cuenta que la suplantación de direcciones de correo electrónico se ha vuelto tan sofisticada (normalmente recibo spam malicioso de las direcciones de trabajo de colegas de firmas respetables), todo lo que un agente deshonesto tiene que hacer es saber lo suficiente sobre una situación actual en particular como para falsificar un correo electrónico completamente plausible de su jefe diseñado para extraer información vital sobre, por ejemplo, una negociación que pueda estar gestionando. Los infractores también pueden falsificar un correo electrónico del administrador de la intranet para convencerlo de que tome ciertas medidas que podrían revelar o comprometer sus credenciales de acceso a la red corporativa. Con un acceso suficiente, pueden incluso duplicar su perfil y trasladar su actividad a un dominio espejo, obtener un estatus de confianza en la red y recomponer un espacio de trabajo dinámico y plausible para usted durante varios días o incluso una semana. El daño que puedan causar durante ese período sería enorme.
Es difícil argumentar, a partir de los escenarios descritos anteriormente, que su actual La estrategia de seguridad de la información está a la altura.
Está claro que solo hay dos inevitabilidades: TODO lo que tenga o utilice estará conectado a la «red de información» y TODO lo hackearán. La única manera de romper este ciclo de inevitabilidad es dejar de ser competitivos, innovadores y receptivos. Que es lo mismo que pedirles a usted y a su empresa que cierren la tienda y se vayan a una isla desierta.
Mis conversaciones con algunos de los pocos profesionales de la seguridad corporativa radicados en África, así como con algunos que trabajan en el Norte Global pero son de origen africano, me apuntan a una mentalidad diferente en cuanto a la penetrabilidad. En África se reconoce fácilmente que es probable que los sistemas ya estén siendo violados o que se infrinjan pronto sin que se detecten. Por lo tanto, los profesionales africanos de la seguridad de la información están implicándose cada vez más en la creación de una relación de trabajo con los directores de operaciones para que puedan trabajar mano a mano en el diseño de las funciones empresariales y los procedimientos operativos diarios, como si la infracción fuera algo natural. Eso es duro y no siempre coherente, pero tengo la impresión de que el tiempo y la práctica harán que lo hagan mejor.
El otro componente clave de esta mentalidad es una asignación sensata de los recursos para el salvamento y la preparación para la recuperación, de modo que si los sistemas críticos fallan en caso de infracción, las funciones empresariales diarias pueden continuar porque se puede extraer una cantidad razonable de funciones críticas de los escombros. Eso sí, esto no es lo mismo que proteger dos veces las «joyas de la corona» del negocio, un enfoque utilizado por los pensadores progresistas de seguridad en Occidente que aún no está lo suficientemente alejado de la lógica/doctrina de la «impenetrabilidad».
Es fácil entender por qué un profesional africano de la seguridad de la información corporativa aborda las cosas de manera diferente. Muy pocas empresas africanas tienen las joyas de la corona ya en red. Sin embargo, han estado funcionando, aunque no al ritmo más eficiente. Por lo tanto, es posible imaginarse un escenario en el que siga funcionando incluso en un contexto de conectividad parcial.
Otra forma de decirlo es que la directora de seguridad de la información africana puede negociar un estado de «reducción de la dependencia tecnológica» con los directores de operaciones desde una posición de mayor credibilidad que su homóloga occidental. El profesional de la seguridad informática occidental está colocado en un pedestal olímpico vulnerable y expuesto y armado con armas mitológicas para mantener a raya a los titanes. La profesional africana de la seguridad de la información, consciente de que es parcialmente prescindible, sufre mucha menos arrogancia.
Así que la próxima vez que visite una sucursal bancaria africana totalmente conectada que insista en que llene un comprobante de papel, espero que comprenda el panorama general.
Artículos Relacionados
La IA es genial en las tareas rutinarias. He aquí por qué los consejos de administración deberían resistirse a utilizarla.
Investigación: Cuando el esfuerzo adicional le hace empeorar en su trabajo
A todos nos ha pasado: después de intentar proactivamente agilizar un proceso en el trabajo, se siente mentalmente agotado y menos capaz de realizar bien otras tareas. Pero, ¿tomar la iniciativa para mejorar las tareas de su trabajo le hizo realmente peor en otras actividades al final del día? Un nuevo estudio de trabajadores franceses ha encontrado pruebas contundentes de que cuanto más intentan los trabajadores mejorar las tareas, peor es su rendimiento mental a la hora de cerrar. Esto tiene implicaciones sobre cómo las empresas pueden apoyar mejor a sus equipos para que tengan lo que necesitan para ser proactivos sin fatigarse mentalmente.
En tiempos inciertos, hágase estas preguntas antes de tomar una decisión
En medio de la inestabilidad geopolítica, las conmociones climáticas, la disrupción de la IA, etc., los líderes de hoy en día no navegan por las crisis ocasionales, sino que operan en un estado de perma-crisis.