- “Cuando se trata de ciberseguridad, tu organización está viviendo en el siglo XX. Es hora de ser real.” Sam Rehman, Vicepresidente Senior y Director de Seguridad de la Información en EPAM Systems, Inc.
- De acuerdo a los datos otorgados por Ximena Aguilar, especialista en Inteligencia Estratégica de la Universidad Anáhuac, en lo que va de este 2023 el país azteca ha registrado más de 2 mil 244 ciberataques.
- De acuerdo con el estudio del Estado Global de la Ciberseguridad en México de 2023, realizado por Infoblox, el país ocupa el primer puesto de Latinoamérica en recibir más ciberataques y el noveno en el mundo.
México, Octubre 2023- Tu organización no está segura, y probablemente no lo ha estado por mucho tiempo. Antes de que la inteligencia artificial generativa entrara en escena, el 83% de las organizaciones encuestadas experimentaron al menos un incidente de violación de seguridad. Cuando sumas los muchos desafíos de seguridad de los modelos de lenguaje a las vulnerabilidades que crean la nube y los datos, el riesgo se dispara y para celebrar esta fecha pudimos conversar más sobre el tema con el experto Sam Rehman, Vicepresidente Senior y Director de Seguridad de la Información en EPAM Systems, Inc.
“La violación es inminente. Lo importante en estos días es qué tan rápido puedes detectar y responder a ella, no el evitarla propiamente.” Sam Rehman
La antigua idea de que la seguridad consiste en rodear un negocio con software no solo está equivocada, sino que es una especie de farsa en la era de la inteligencia artificial generativa. Piensa en tu propio sistema inmunológico. Nunca estás completamente libre de infecciones, pero tu cuerpo tiene suficientes disuasivos, combinados con un sistema inmunológico activo, para contener y abordar las infecciones. Es un equilibrio constante.
“He estado en el negocio de proteger empresas durante décadas, y con el tiempo he aprendido la verdad importante de que la inseguridad relativa es la predeterminada. Parte de esto se debe a que las personas que no entienden los problemas involucrados exigen un 100% de seguridad, lo cual no existe. A cambio, su organización acepta y hasta fomenta una falsa sensación de seguridad para que las personas puedan funcionar. Esto es muy peligroso, especialmente en estos días cuando el rendimiento es mucho mayor.”
Vivimos en la realidad de la inseguridad relativa, un espectro que fluctúa entre la total inseguridad y la seguridad absoluta, pero raramente alcanzamos extremos definitivos. Nuestra posición en este espectro es dinámica, afectada tanto por nuestra conducta como por las acciones de actores malintencionados y eventos externos. La inteligencia artificial generativa ha dado a los delincuentes una ventaja inesperada, ya que su alto índice de falsos positivos a menudo la hace insuficiente en la defensa. Podemos entenderlo como una pelea, donde el atacante, aun acertando solo uno de diez golpes, puede infligir daño significativo, mientras que el defensor, capturando siete de diez, aún enfrenta consecuencias graves. Esta dinámica destaca la inherente dificultad de la defensa, ya sea en el mundo real o en el ciberespacio.
Con todos estos cambios, pensaríamos que las empresas estarían profundamente preocupadas por la ciberseguridad y la profesión estaría entrando en una especie de renacimiento. Las malas noticias es que muchos equipos de ciberseguridad se están desmoronando. El talento es un problema enorme. Como dijo Jay Parik, CEO de Lacework: encontrar experiencia en seguridad es «muy difícil» en estos días. La demanda simplemente sigue superando la oferta de talento disponible».
Necesitamos adoptar una postura que dependa mucho más de la autodefensa. Si eres un líder, debes insistir en que tu gente comprenda el pensamiento defensivo, desde una perspectiva organizativa y estos son 3 puntos inminentes en la planificación empresarial del momento y el pensamiento defensivo vital.
1. Adoptar una Mentalidad Defensiva: Desarrollo: Para fortalecer la autodefensa, los líderes deben priorizar el pensamiento defensivo en sus equipos. Esto implica no sólo conciencia de los peligros cibernéticos, sino también la integración activa de prácticas defensivas en el comportamiento organizativo.
2. Capacitación en Toma de Decisiones a Corto Plazo:
En el corto plazo, es crucial capacitar a todo el personal en la toma de decisiones efectivas en materia de ciberseguridad. Ir más allá de la concienciación tradicional, permitiendo a los empleados simular situaciones de seguridad y tomar decisiones activamente. Inspirarse en métodos exitosos como los ejercicios médicos puede ser clave para resultados efectivos.
3. Ciberseguridad por Diseño desde el Principio:
La seguridad no puede ser una ocurrencia tardía. Es esencial diseñar como un proceso fluido y centrado en el ser humano. La colaboración entre profesionales de ciberseguridad y diseñadores es crucial para crear un enfoque conocido como «ciberseguridad por diseño». Arquitectar la seguridad desde el principio evita la acumulación de «deuda de seguridad», que puede tener impactos significativos en el futuro.
En el futuro, todos tendrán que compartir la responsabilidad de la ciberseguridad. Como líder, tienes una responsabilidad mucho mayor que tus empleados. El líder más fuerte admitirá esto y dará los primeros pasos para involucrar activamente a toda la organización en un comportamiento adecuado de ciberseguridad. Hazlo, y la verdadera sorpresa de octubre no será sobre la conciencia de ciberseguridad… sino sobre ser real.
