Foto: ITRESMURCIA. ¿Qué esperamos de la ciberseguridad? Esta es una pregunta que todas las empresas deberían hacerse.
Tras más de 20 años en el sector de la seguridad informática, luego seguridad de la información y, por el momento, de la ciberseguridad, asisto con cierta impotencia a la incapacidad de las organizaciones, de cualquier tamaño, de atajar de forma efectiva las 2 grandes causas raíces que están detrás de la amplísima mayoría de incidentes de ciberseguridad.
Al tiempo, también veo como la propia industria de la que soy parte, movida por intereses claramente pecuniarios, no siempre es todo lo clara que debería sobre dónde deberían las organizaciones centrar sus esfuerzos.
"la ciberseguridad se ha convertido en querer conducir a 180km/h, sin carnet, un coche de hace 20 años, esperando que un cinturón de seguridad raído nos salve la vida"
La primera causa que suele aparecer en todo ciberincidente es una mala gestión del ciclo de vida del software. Seré claro: somos muy reacios a aceptar los tiempos de vida del software. Queremos productos eternos y los querríamos, además, sin que fuera necesario mantenerlos. ¿Parches? ¿Actualizaciones? ¿Fin del ciclo de vida? Bobadas. Da igual que sea un producto propio o de un tercero. Si por muchos fuera, seguiríamos con Windows XP y Visual Basic 6. Bueno, no nos engañemos, algunos de los que me lean seguirán teniendo un XP en algún lugar y algún desarrollo en Visual Basic 6 escondido en el armario de los secretos. Y, sin ser tan extremista, muchos, la mayoría algún que otro sistema sin aplicar actualizaciones y, posiblemente, fuera de ciclo de vida desde hace uno, dos o tres años.
La segunda causa está ligada a las personas. Existe una mala gestión de la formación y la concienciación en materia de tecnologías de la información y, especialmente, en ciberseguridad. Tenemos profesionales de TI para los que la ciberseguridad continúa consistiendo en poner una contraseña, no muy robusta; y un antivirus y no en todos los equipos. Al tiempo, tenemos usuarios, empezando por muchos directivos, para los que la ciberseguridad no pasa de ser una molestia. Asisto cada día a situaciones en las que se espera que la ciberseguridad nos proteja de nuestra propia irresponsabilidad y negligencia, y que además lo haga de forma automática, casi mágica, y sin crearnos ningún tipo de interrupción en lo que sea que en ese momento tratemos de hacer, por muy loco, absurdo o directamente estúpido que sea. Si no revertimos esto, estaremos haciendo bastante poco.
Los símiles son burdos, e injustos. Pero, por momentos, siento que la ciberseguridad se ha convertido en querer conducir a 180km/h, sin carnet, un coche de hace 20 años, sin mantenimiento, esperando que un cinturón de seguridad raído nos salve la vida. Y no sólo esto, sino que el mercado, la todopoderosa industria trata de convencerte de que lo que debes hacer es equipar ese coche de hace 20 años, pobremente mantenido, y que no sabes ni conducir con una pléyade de sensores inteligentes que envíen en todo momento tú posición y otros parámetros del vehículo a un centro receptor, especializado en accidentes, dotado de inteligencia artificial, y con servicio 24x7, para cuando te estrelles, algo que ya se da por hecho, poder ir en tiempo récord a rescatarte con una UVI móvil y un equipo humano del más alto nivel. Y, además, en caso de que mueras, no te debes preocupar porque transplantarán tus órganos muy deprisa a alguien que se parecerá mucho a ti y será casi como si siguieras viviendo.
¿No véis algo perverso en el planteamiento? ¿Nadie de verdad alza la voz y plantea que el objetivo real debería ser mantener el coche en buen estado, correctamente mantenido, conducido por alguien formado y que respete las normas básicas de circulación?
Dudas que me asaltan.
Javier Medina Munuera
Director Ciberseguridad ITRES
