En la contratapa del libro Memorias de un amante sarnoso (Tusquets Editores), su autor Groucho Marx advertía “Quienquiera que compre este libro habrá de considerarse expoliado si se ha dejado engatusar por el título”. Como lector divertido por las obras de Groucho me he dejado llevar por poner un título caprichoso a este artículo sobre la cultura de seguridad y lo que los nombres de los platos han aportado a la alta cocina. Producto, creatividad, innovación, imaginación, son algunos de los elementos que se suelen citar para diferenciar la cocina del día a día, de la alta cocina y todas estas cualidades aliñadas con alusiones poéticas, comparaciones, eufemismos o guiños a recetas de otras gastronomías para bautizar platos en las cartas de algunos renombrados restaurantes.

Por eso me atrevo, en las proximidades de tanta cena navideña, de ponerle nombres a principios y conceptos de ciberseguridad, con la esperanza de que inspirándome en el estilo de las cartas de los afamados estrellas Michelin, tornen en interesantes, aquellos que conceptos que, si al escribirlos parecen aburridos, al leerlos te aburren aún más, pero que sin ellos el futuro de la sociedad tendrá serias dificultades para garantizar una calidad y nivel de vida adecuados a lo que nos gustaría fuera.

La concienciación en ciberseguridad

Si nos preguntamos qué es la cultura, como paso previo a preguntarnos por la cultura de seguridad, la RAE en su primera acepción la define como el “Conjunto de conocimientos que permite a alguien desarrollar su juicio crítico.” y su segunda definición comienza con “Conjunto de modos de vida y costumbres”, lo que me lleva a la definición que en una ocasión escuché y con la que me identifico plenamente; cultura es lo que a nivel colectivo se identifica como lo normal. Por ejemplo, nuestra cultura nos enseña que lo normal es comer con cubiertos, pero lo normal para tomar de un plato una lasca de jamón serrano es prenderla con la mano.

La concienciación, mediante la asimilación de los conceptos básicos en materia de ciberseguridad, debería ser el camino para obtener una cultura de seguridad. La formación y la capacitación para que sean útiles, requieren de un receptor concienciado.

Así los inventarios de activos correctos y completos, los roles y responsabilidades identificados, la gestión de riesgos, el cuerpo normativo y su cumplimiento, la seguridad por diseño, por defecto y en profundidad, la correcta práctica, la selección de controles en base a la gestión de riesgos, con la gestión de actualizaciones, identidades, cuentas privilegiadas, vulnerabilidades e incidentes, la continuidad y la recuperación, así como el desarrollo seguro, la protección contra el malware o el uso del doble factor de autenticación, deberían ser lo normal para todo el colectivo empresarial.

Un buen amigo mío y muy reputado profesional , no cree en la concienciación de los usuarios y lo expresa con convicción y vehemencia: “ya está bien de echarle la culpa a los usuarios”. Aquí se abriría una interesante discusión, entre los que no creen en la necesidad de concienciar, pues es quitarse la responsabilidad cargando sobre quién no la tiene y los que creemos que es necesario concienciar en conceptos básicos para que con información seamos menos vulnerables. La concienciación debe alcanzar a todos los niveles de la jerarquía empresarial; del presidente al más novel de los becarios.

La concienciación se consigue interesando a la audiencia, seduciendo, tratando que asimilen los conceptos como un beneficio personal, con píldoras -pequeñas, para combatir un mal y dosificadas- de seguridad enviadas por correo y/o publicadas en la intranet o en las red social interna, con pequeños talleres de seguridad en los que a través de la vía de interés personal dejar un poso para la vida profesional, mediante la utilización de herramientas técnicas como las que permiten la simulación de campañas de correo malicioso, con mensajes en salvapantallas, carteles, mini-videos, así como con un mensaje claro y creíble de la dirección de la compañía. Logrando que colectivamente se interiorice el contenido de esos mensajes como la forma normal de actuar.

Sin querer desviarme mucho del foco empresarial, he de decir que a nivel de sociedad, de concienciación en ciberseguridad, se están haciendo esfuerzos en los colegios (aún insuficiente), en los institutos (aún muy insuficiente), en las Universidades (aún muy insuficiente) y sobre el conjunto de la sociedad (con unos muy esporádicos esfuerzos en los medios).

Pero al igual que decíamos en otro artículo de #autelsinsights que los responsables de seguridad de la información solemos caer en los mensajes realistas, pero poco ilusionantes, como fue el del almirante Cervera antes de la inminente batalla con la flota de los EEUU, a lo mejor (en modo ironía) no nos cabe sino buscar nuevas formas de llamar la atención de los usuarios, para que como decíamos al principio mediante alusiones poéticas, comparaciones, eufemismos o guiños a recetas de gastronomía, alimentemos la curiosidad y con ella el interés.

Menú de ciberseguridad:

  • Degustación de empanada natural de cultura de seguridad
  • Crema de Norma fría al aroma del teletrabajo
  • Riesgos en su jugo y toques de Wasabi
  • Becario de seguridad con notas tiernas de conocimiento y brotes verdes
  • Deconstrucción de sistema vulnerable (plato actualizado)
  • Crujiente de contraseña poco hecha al doble factor ( nuestro plato más demandado)
  • Vacío de sistema configurado al gusto
  • Abierto picante de variado de puertos
  • Espumoso de desarrollo seguro a las finas hierbas
  • Timbal de excusas con trocitos de pase a producción a las brasas de negocio (plato de cocción lenta con un golpe final de calor. Se sirve muy caliente. Nota: plato de digestión lenta)

Carta de postres:

  • Torta de milhojas de Auditoría con culi de evidencias
  • Nube de loles de control, bien frío.
  • Polvorón de malware de la estepa ( se hace bola sino se acompaña con un vino dulce)
  • Batido ruso de de credential stuffing (advertencia: repite)
  • Torrijas de mantenedor

O a lo mejor, no debemos caer en el desánimo y seguir insistiendo con que:

Los inventarios de activos correctos y completos, la identificación de roles y responsabilidades, la evaluación y gestión de riesgos, el cuerpo normativo y su cumplimiento, la seguridad por diseño, por defecto y en profundidad, la correcta práctica de la ciberseguridad, la selección de controles en base a la gestión de riesgos y como parte de los controles: la gestión de actualizaciones, de identidades, de cuentas privilegiadas, vulnerabilidades e incidentes, la continuidad y la recuperación, así como el desarrollo seguro, la protección contra el malware o el uso del doble factor de autenticación, deben ser para todo el colectivo empresarial, la manera normal cuando trabajan con tecnologías de la Información y las Comunicaciones.

Francisco Lázaro, CISO Renfe, Presidente del Grupo de Seguridad de Autelsi .