Recientemente participé en un panel con un grupo de mujeres que están en la primera línea de la seguridad en Intel, cada una con su propia experiencia en la industria y en su área de especialización en seguridad. Estas talentosas profesionales de la seguridad ayudan a analizar, investigar y mitigar las principales ciberamenazas actuales.
Nos hemos reunido para debatir los retos a los que se enfrenta el sector de la seguridad en el próximo año y más allá, y el debate no podía ser más importante y oportuno. En el último año, hemos sido testigos de la ampliación de la superficie de ataque que pueden aprovechar los adversarios, gracias a los avances tecnológicos, el crecimiento de la cadena de suministro, el cambio hacia el trabajo remoto o híbrido, etc.
Maggie Jauregui, investigadora de seguridad ofensiva, Katie Noble, directora del Equipo de Respuesta a Incidentes de Seguridad de Productos de Intel y de Bug Bounty, Amit Elazari, director de Política Global de Ciberseguridad, y yo hablamos de cómo esta superficie de ataque en evolución afectará a todos los ámbitos de la seguridad en 2022, desde el hardware hasta la cadena de suministro y las normativas. Junto con el intercambio de posibles implicaciones de seguridad en el próximo año, compartimos los retos a los que nos enfrentamos las mujeres en el ámbito de la ciberseguridad y cómo podemos y debemos trabajar juntas para apoyarnos mutuamente en esta industria.
En general, lo que más aprendí de mis compañeras fue que se necesitará la colaboración del ecosistema para que el sector de la seguridad avance, ya sea a través de programas establecidos como las recompensas por errores, entre los responsables de las políticas gubernamentales o asociándose para crear un entorno laboral inclusivo.
Establecer la visibilidad será una prioridad para fortalecer el firmware
Para muchos, el firmware es un “punto de entrada soñado para los actores de amenazas”. Jáuregui comentó que el firmware es un gran objetivo porque es donde los malos actores pueden “esconderse y persistir”, obteniendo un poder significativo sobre las propiedades físicas de una plataforma. La buena noticia es que hay formas accesibles e intuitivas de mejorar las defensas del firmware. El primer paso es el conocimiento de los activos y la comprensión de la infraestructura de seguridad general de su organización. Esta visibilidad es un componente crítico para abordar la seguridad del firmware en el próximo año y se vuelve aún más importante a medida que los ataques contra el firmware y el hardware de los dispositivos siguen aumentando.
Para reforzar la visibilidad crítica, es esencial actualizar y diseñar continuamente los productos teniendo en cuenta la seguridad. Jáuregui sugirió que las empresas deberían pensar en esta idea de la misma manera que se fabrica un coche: Desde el momento en que se diseña un coche, no está listo para ser vendido; incluso un año más tarde podría no estar listo para salir al mercado. Se necesitan actualizaciones y ajustes a lo largo del proceso.
También es fundamental crear un foro y fomentar la colaboración en todo el sector. La mitigación de las amenazas comienza con la difusión de las vulnerabilidades y los ataques que estamos viendo. Esto incluye la colaboración con investigadores de seguridad de diversos ámbitos para ayudar a explicar las amenazas y sus complejidades.
Priorizar la concienciación sobre la seguridad proactiva frente a la reactiva
Junto con esta necesidad de mayor visibilidad y colaboración en el sector viene la necesidad de cambiar hacia medidas de seguridad proactivas. Hoy en día, muchas organizaciones dependen de respuestas reactivas a las amenazas. En los próximos años, las empresas tendrán que asociarse cada vez más con los investigadores para desarrollar programas coordinados de divulgación de vulnerabilidades y recompensas por errores para adelantarse a las amenazas. Noble considera que esto es una oportunidad para fomentar un mayor intercambio de información dentro de la industria, que es fundamental para las medidas proactivas. En pocas palabras: “Si ves algo, dilo”.
Ya vemos una tendencia de medidas proactivas que va más allá del campo de la ciberseguridad. El gobierno de Estados Unidos y los reguladores de todo el mundo se centran en la importancia de los programas y las prácticas coordinadas de divulgación de vulnerabilidades. Elazari cree que esto demuestra la importancia de la seguridad a gran escala, así como un mayor énfasis en la reparación de las vulnerabilidades.
La aplicación de programas de recompensas por errores y de gestión de vulnerabilidades seguirá extendiéndose también a otros sectores. Ahora vemos este tipo de programas en todos los sectores, ya sea en la banca o en el sector de las aerolíneas, o en la seguridad electoral. Incluso el Departamento de Defensa ha empezado a dar prioridad a la colaboración de los investigadores. Esto no sólo crea un cambio y un impulso hacia una mentalidad que da prioridad a la seguridad, sino que también abre más puertas a los investigadores y profesionales de la seguridad en general. Esto sienta las bases de una cultura más holística en la que los responsables políticos, los investigadores, los hackers y otras entidades están deseosos de colaborar.
Las mujeres en la ciberseguridad: Reconocer la mentoría frente al patrocinio
Es difícil hablar de un enfoque holístico de la seguridad y del fomento de una cultura acogedora sin tocar el tema de la inclusión. El Aspen Institute descubrió que sólo el 24% de los trabajadores de ciberseguridad se autoidentifican como mujeres. Ahora es más importante que nunca crear una plataforma para las mujeres en este campo, en lugar de competir entre ellas. Como dijo Jauregui, “si una de nosotras gana, es una victoria para todas”.
Aunque la mentoría es impactante, no se trata sólo de que las mujeres levanten a otras mujeres. Las mentoras pueden (y deben) provenir de todos los ámbitos y también incluir a los hombres. Dicho esto, tenemos que fomentar un cambio intencionado para dar prioridad al patrocinio en el lugar de trabajo. Mientras que los mentores apoyan, enseñan y guían, los patrocinadores van un paso más allá: defienden a una persona cuando no está presente. Esta idea de responder por alguien que “no está en la sala” es una parte esencial para fortalecer y fomentar la inclusión. Este cambio de la tutoría al apadrinamiento puede empoderar a la próxima generación de ciberprofesionales, inspirando a las generaciones más jóvenes que se inician en esta línea de trabajo y preparándolas para ser líderes seguros y empoderados en seguridad.
El sector de la seguridad no difiere de otros campos en su capacidad para beneficiarse de la creación de un entorno inclusivo que reúna a personas de diferentes orígenes y perspectivas únicas. Es lo que, en última instancia, impulsará y hará avanzar el espacio tecnológico.
Tal vez Noble lo exprese mejor: “La tecnología es agnóstica. A la tecnología no le importa quién eres, dónde vives, cuál es tu origen étnico, cuál es tu orientación, no le importa. Es inclusiva por naturaleza, y creo que es muy importante que lo reconozcamos”.
Por Suzy Greenberg, vicepresidenta del Grupo de Seguridad y Garantía de Productos Intel de Intel Corporation
