InnovaciĆ³n en ciberseguridad: una mirada nacional y global
La RAE define innovar como la acciĆ³n de alterar algo introduciendo novedades. Una definiciĆ³n genĆ©rica que no califica dichas transformaciones. En el mundo empresarial, hablar de innovaciĆ³n implica algĆŗn tipo de mejora en el producto o en el servicio en cuestiĆ³n. QuizĆ”s sea esa diferencia la clave para estudiar cĆ³mo mejoramos en ciberseguridad. El principal mensaje de esta columna es sencillo: cambiemos cosas, removamos nuestro campo, tanto desde el punto de vista tĆ©cnico como desde el punto de vista procedimental. Algunos de esos cambios, en realidad muy poquitos, supondrĆ”n una mejora en nuestro servicio; otros, la mayorĆa, no aportarĆ”n nada y habrĆ” que retornar a la casilla de inicio o, incluso, mantenerlos porque, aunque aƱadan poco valor, tambiĆ©n los implementĆ³ la competencia. AsĆ es la vida y asĆ se juega.
Tenemos que reconocer y aceptar la posibilidad de que un proceso de innovaciĆ³n, en probablemente la mayorĆa de los casos, no llegue a buen puerto. Si esperamos que el resultado de cambiar siempre implique un Ć©xito, entonces volvemos al Ā”que inventen ellos! de don Miguel de Unamuno. Me temo que nuestro sector nacional adolece aĆŗn de dicho pensamiento. El desafĆo viene cuando ampliamos el foco y nos fijamos en el panorama mundial.
Dr. Alberto Partida
linkedin.com/in/albertopartida
Aquellos que empezamos en este sector en los aƱos noventa del pasado siglo, vemos con estupor cĆ³mo algunos ātemas clĆ”sicosā, verdaderos desafĆos por aquel entonces, siguen sonando con fuerza en nuestras organizaciones. La controvertida visiĆ³n del inversor Peter Thiel, convencido del actual āestancamiento innovadorā mundial, especialmente en el mundo fĆsico de los Ć”tomos, no estĆ” muy lejos de nuestra āciber realidadā. Hablemos de algunos ejemplos:
ā¢ La gestiĆ³n de identidades aĆŗn no ha visto la apariciĆ³n de herramientas ārompedorasā capaces de ocultar y manejar la complejidad de la gestiĆ³n de accesos.
ā¢ La gestiĆ³n de eventos de seguridad aĆŗn depende en gran medida de la ejecuciĆ³n de reglas heurĆsticas mĆ”s o menos automatizadas.
ā¢ El spam sigue siendo el mayor componente del trĆ”fico mundial de correos electrĆ³nicos.
ā¢ La gestiĆ³n de vulnerabilidades, probablemente ahora realizadas por servicios gestionados, sigue teniendo como tendĆ³n de Aquiles la conexiĆ³n con un inventario de activos probablemente desactualizado.
ā¢ El papel que juegan los antivirus en el dispositivo final aĆŗn es necesario.
ā¢ Las contraseƱas estĆ”n todavĆa en nuestro dĆa a dĆa.
ā¢ Una de las āgrandes innovacionesā, como es la arquitectura de confianza cero, surgiĆ³ en 1994.
ā¢ La dependencia en ciberseguridad de las acciones del usuario final es aĆŗn patente.
ā¢ Nuestras principales anclas conceptuales son la confidencialidad, integridad y disponibilidad: ĀæquĆ© hay del riesgo intencional y de dimensiones como el valor, la accesibilidad y el anonimato?
Paro aquĆ para evitar un grado de depresiĆ³n mayor. La buena noticia es que la digitalizaciĆ³n aprieta y los tiempos se acortan. Ya todos somos usuarios de la ciberseguridad en casa, en la ciudad, en nuestros vehĆculos, nuestros trabajos. Cualquier innovaciĆ³n real en alguno de los aspectos arriba mencionados va a encontrar un verdadero mercado global deseoso de convertirse en su usuario. Hay multitud de āocĆ©anos azules sin explorarā. āCasi todoā estĆ” por hacer o, mejor dicho, es susceptible de mejora.
Urge avanzar mĆ”s allĆ” de esa seguridad tradicional de los noventa. A travĆ©s de potentes marcos de innovaciĆ³n, bien financiados y dotados de recursos, necesitamos embarcarnos en iniciativas que desembocarĆ”n en Ć©xitos innovadores o sonados fracasos. Y si los primeros suceden en EspaƱa, mejor que mejor.
Un breve recordatorio de los ingredientes imprescindibles para preparar la receta de la innovaciĆ³n: tiempo, recursos y entrenamiento. Muy pocas organizaciones proporcionan a sus colaboradores esta combinaciĆ³n, no como una actividad a aƱadir al final de su jornada, sino como una mĆ”s de sus responsabilidades. Para concluir, hace ya mĆ”s de una dĆ©cada que mencionaba en mi primer libro publicado la necesidad de construir equipos de seguridad multidisciplinares que engloben campos tan inicialmente alejados de la tĆ©cnica como la sociologĆa, la psicologĆa o las relaciones pĆŗblicas. Esta recomendaciĆ³n es igualmente aplicable a la āciber-innovaciĆ³nā. Ā”EmbarquĆ©monos en este desafĆo!
