No existe la seguridad al 100% en el mundo virtual, por eso hay que estar preparados ante las amenazas, especialmente con la presencia de la inteligencia artificial.
Tu organización no está segura, y probablemente no lo ha estado por mucho tiempo. Según cifras de la Cámara Colombiana de Informática y Telecomunicaciones, el aumento de los ciberataques en el país fue de 30% respecto a años anteriores.
Es una situación desafiante para las empresas. Cuando se suman los muchos desafíos de seguridad de los modelos de lenguaje a las vulnerabilidades que crean la nube y los datos, el riesgo se dispara. Por eso, en octubre se vive el mes de hacer conciencia sobre la ciberseguridad, y para celebrarlo pudimos conversar más sobre el tema con el experto Sam Rehman, vicepresidente Senior y director de Seguridad de la Información en EPAM Systems, Inc.
«Cuando se trata de ciberseguridad, tu organización está viviendo en el siglo XX. La violación es inminente», afirma. «Lo importante en estos días es qué tan rápido puedes detectar y responder a ella, no el evitarla propiamente».
La antigua idea de que la seguridad consiste en rodear un negocio con software no solo está equivocada, sino que es una especie de farsa en la era de la inteligencia artificial generativa. Piensa en tu propio sistema inmunológico. Nunca estás completamente libre de infecciones, pero tu cuerpo tiene suficientes disuasivos, combinados con un sistema inmunológico activo, para contener y abordar las infecciones. Es un equilibrio constante.
«He estado en el negocio de proteger empresas durante décadas, y con el tiempo he aprendido la gran verdad sobre que la inseguridad relativa es la predeterminada. Parte de esto se debe a que las personas que no entienden los problemas involucrados exigen un 100% de seguridad, lo cual no existe», agrega el experto de la compañía líder en tecnología.
Inseguridad relativa, el escenario al que nos enfrentamos
Vivimos en la realidad de la inseguridad relativa, un espectro que fluctúa entre la total inseguridad y la seguridad absoluta, pero raramente alcanzamos extremos definitivos. Nuestra posición en este espectro es dinámica, afectada tanto por nuestra conducta como por las acciones de actores malintencionados y eventos externos.
«La inteligencia artificial generativa ha dado a los delincuentes una ventaja inesperada, ya que su alto índice de falsos positivos a menudo la hace insuficiente en la defensa», enfatiza Sam Rehman. «Podemos entenderlo como una pelea, donde el atacante, aún acertando solo uno de diez golpes, puede infligir daño significativo, mientras que el defensor, capturando siete de diez, aún enfrenta consecuencias graves. Esta dinámica destaca la inherente dificultad de la defensa, ya sea en el mundo real o en el ciberespacio».
Con todos estos cambios, se podría pensar que las empresas estarían profundamente preocupadas por la ciberseguridad y que la profesión estaría entrando en una especie de renacimiento. Las malas noticias es que muchos equipos de ciberseguridad se están desmoronando. El talento es un problema enorme. Como dijo Jay Parik, CEO de Lacework: «encontrar experiencia en seguridad es «muy difícil» en estos días. La demanda simplemente sigue superando la oferta de talento disponible».
Se debe entonces adoptar una postura que dependa mucho más de la autodefensa. Si se es un líder, hay que insistir en que las personas comprendan el pensamiento defensivo desde una perspectiva organizativa y estos son 3 puntos inminentes en la planificación empresarial del momento y el pensamiento defensivo vital.
1. Adoptar una mentalidad defensiva
Para fortalecer la autodefensa, los líderes deben priorizar el pensamiento defensivo en sus equipos. Esto implica no sólo conciencia de los peligros cibernéticos, sino también la integración activa de prácticas defensivas en el comportamiento organizativo.
2. Capacitación en toma de decisiones a corto plazo
En el corto plazo, es crucial capacitar a todo el personal en la toma de decisiones efectivas en materia de ciberseguridad. Ir más allá de la concienciación tradicional, permitiendo a los empleados simular situaciones de seguridad y tomar decisiones activamente. Inspirarse en métodos exitosos como los ejercicios médicos puede ser clave para resultados efectivos.
3. Ciberseguridad por diseño desde el principio
La seguridad no puede ser una ocurrencia tardía. Es esencial diseñarla como un proceso fluido y centrado en el ser humano. La colaboración entre profesionales de ciberseguridad y diseñadores es crucial para crear un enfoque conocido como «ciberseguridad por diseño». Arquitectar la seguridad desde el principio evita la acumulación de «deuda de seguridad», que puede tener impactos significativos en el futuro.
En los tiempos venideros, todos tendrán que compartir la responsabilidad de la ciberseguridad. Todo líder tiene una responsabilidad mucho mayor que la de sus empleados. El líder más fuerte admitirá esto y dará los primeros pasos para involucrar activamente a toda la organización en un comportamiento adecuado de ciberseguridad.
La verdadera sorpresa de octubre no será sobre la conciencia de ciberseguridad, sino sobre ser real.