La semana pasada en RSA, muchos hicieron compras de productos de seguridad luego de que les endilgaran la tarea, pero sin haber recibido una práctica o entrenamiento formal para hacerlo. Cuando directores de marketing poco informados empiezan a hacer compras de seguridad para TI, hay una brecha técnica severa. En consecuencia, las empresas en la conferencia contratan algo parecido a atracciones de carnaval, pensadas para arengar a los espectadores a aceptar algo que parece seguridad, pero luego son excepcionalmente incompetentes de evaluarlas.
Probablemente esto se deba al abismo creciente entre profesionales de TI centrados en la seguridad disponibles en el mercado y el número más pequeño que realmente está disponible; una brecha que se amplía cada mes a medida que el crecimiento supera las habilidades para mantener todo seguro.
La industria de seguridad necesita hacer más para ayudar a que los C-level entiendan
Ambas cosas son responsabilidad de la gente de TI, que tiene excesivas tendencias introvertidas y no está ansiosa por compartir sus conocimientos para ayudar a los ejecutivos C-level. Llámalo seguridad en el trabajo propio o simplemente pocas habilidades de relacionamiento: la gente de seguridad TI por lo general porta una inteligencia que los ejecutivos no saben aprovechar.
Del otro lado está el ejecutivo MBA a quien emplazaron como responsable de la seguridad de la organización. Alguien tenía que hacerlo. Ahora tienen que sacar de algún lado equipamiento de seguridad y, en lo posible, implementarlo. Considerando que este equipamiento quizá ni siquiera esté en la oficina si se implementa en la mítica nube, y que los fabricantes tienden a prometer que se puede "configurarlo y olvidarse", estas brechas cada vez mayores comienzan a tener sentido.
Para ocuparnos de esta falencia tendemos a hacer foco en la educación, centrándonos en llegar a grupos con menos conocimientos de informática de los que podamos sacar candidatos, dejando de lado al grupo estereotipado de (mal llamados) "hackers" encapuchados que operan desde el sótano de la casa de su mamá. ¿Cómo podemos atraer a más personas de grupos no tradicionales? Necesitamos trabajar en involucrarlos, mostrando que la seguridad es algo que pueden hacer y que realmente tiene sentido.
Somos fanáticos de los esfuerzos para ayudar a difundir conocimiento, y nos pone muy contentos que otras organizaciones traten de hacerlo, como hacemos nosotros. Pero no creo que podamos seguir el ritmo, a pesar de nuestro compromiso.
Entiendo que estamos tratanto de construir robots y machine-learning para que se ocupe de una parte del trabajo pesado, pero eso no es perfecto ni lo cura todo. Aún deberá haber personas que entrenen a los robots para que sepan sobre las últimas amenazas y métodos para remediarlas, y que estos no sean peor que lo que están tratando de resolver. Esta última parte no es trivial.
La industria de seguridad necesita hacer más para ayudar a que los C-level lo entiendan. No son tan estúpidos como algunos especialistas en seguridad TI creen; simplemente tienen diferentes criterios para tomar decisiones, básicamente mantener las puertas de la empresa abiertas vendiendo cosas que paguen su salario. Si podemos ayudarles a entender rápidamente (esperemos que sin necesidad de profundas explicaciones a cada rato), todo el ecosistema estará mejor.
La "C-suite" empezará a hacer mejor preguntas a los fabricantes y obtendrá respuestas mejores, más precisas y significativas. De la misma forma en que en machine-learning hacer malas preguntas resultará en malas respuestas, un buen conocimiento nos dará mejores respuestas. Necesitamos enseñarles cómo preguntar mejor si queremos ganar la guerra y mantener a todos a salvo en el mundo digital.