Innovación en ciberseguridad: una mirada nacional y global
La RAE define innovar como la acción de alterar algo introduciendo novedades. Una definición genérica que no califica dichas transformaciones. En el mundo empresarial, hablar de innovación implica algún tipo de mejora en el producto o en el servicio en cuestión. Quizás sea esa diferencia la clave para estudiar cómo mejoramos en ciberseguridad. El principal mensaje de esta columna es sencillo: cambiemos cosas, removamos nuestro campo, tanto desde el punto de vista técnico como desde el punto de vista procedimental. Algunos de esos cambios, en realidad muy poquitos, supondrán una mejora en nuestro servicio; otros, la mayoría, no aportarán nada y habrá que retornar a la casilla de inicio o, incluso, mantenerlos porque, aunque añadan poco valor, también los implementó la competencia. Así es la vida y así se juega.
Tenemos que reconocer y aceptar la posibilidad de que un proceso de innovación, en probablemente la mayoría de los casos, no llegue a buen puerto. Si esperamos que el resultado de cambiar siempre implique un éxito, entonces volvemos al ¡que inventen ellos! de don Miguel de Unamuno. Me temo que nuestro sector nacional adolece aún de dicho pensamiento. El desafío viene cuando ampliamos el foco y nos fijamos en el panorama mundial.
Aquellos que empezamos en este sector en los años noventa del pasado siglo, vemos con estupor cómo algunos “temas clásicos”, verdaderos desafíos por aquel entonces, siguen sonando con fuerza en nuestras organizaciones. La controvertida visión del inversor Peter Thiel, convencido del actual “estancamiento innovador” mundial, especialmente en el mundo físico de los átomos, no está muy lejos de nuestra “ciber realidad”. Hablemos de algunos ejemplos:
• La gestión de identidades aún no ha visto la aparición de herramientas “rompedoras” capaces de ocultar y manejar la complejidad de la gestión de accesos.
• La gestión de eventos de seguridad aún depende en gran medida de la ejecución de reglas heurísticas más o menos automatizadas.
• El spam sigue siendo el mayor componente del tráfico mundial de correos electrónicos.
• La gestión de vulnerabilidades, probablemente ahora realizadas por servicios gestionados, sigue teniendo como tendón de Aquiles la conexión con un inventario de activos probablemente desactualizado.
• El papel que juegan los antivirus en el dispositivo final aún es necesario.
• Las contraseñas están todavía en nuestro día a día.
• Una de las “grandes innovaciones”, como es la arquitectura de confianza cero, surgió en 1994.
• La dependencia en ciberseguridad de las acciones del usuario final es aún patente.
• Nuestras principales anclas conceptuales son la confidencialidad, integridad y disponibilidad: ¿qué hay del riesgo intencional y de dimensiones como el valor, la accesibilidad y el anonimato?
Paro aquí para evitar un grado de depresión mayor. La buena noticia es que la digitalización aprieta y los tiempos se acortan. Ya todos somos usuarios de la ciberseguridad en casa, en la ciudad, en nuestros vehículos, nuestros trabajos. Cualquier innovación real en alguno de los aspectos arriba mencionados va a encontrar un verdadero mercado global deseoso de convertirse en su usuario. Hay multitud de “océanos azules sin explorar”. “Casi todo” está por hacer o, mejor dicho, es susceptible de mejora.
Urge avanzar más allá de esa seguridad tradicional de los noventa. A través de potentes marcos de innovación, bien financiados y dotados de recursos, necesitamos embarcarnos en iniciativas que desembocarán en éxitos innovadores o sonados fracasos. Y si los primeros suceden en España, mejor que mejor.
Un breve recordatorio de los ingredientes imprescindibles para preparar la receta de la innovación: tiempo, recursos y entrenamiento. Muy pocas organizaciones proporcionan a sus colaboradores esta combinación, no como una actividad a añadir al final de su jornada, sino como una más de sus responsabilidades. Para concluir, hace ya más de una década que mencionaba en mi primer libro publicado la necesidad de construir equipos de seguridad multidisciplinares que engloben campos tan inicialmente alejados de la técnica como la sociología, la psicología o las relaciones públicas. Esta recomendación es igualmente aplicable a la “ciber-innovación”. ¡Embarquémonos en este desafío!