Con Gonzalo Alvarez Marañon podríamos hablar de muchos temas.

Al final, nos confiesa lee (bueno, escucha), 50 libros al año, y con eso, es un gran aprendiz/maestro en muchas disciplinas.

Hoy hablamos de Ciberseguridad, de las heurísticas, de los atajos que utilizamos en nuestro día a día para las tomas de decisiones.

Algo que hacemos de manera ordinaria, que acierta mucho, pero no siempre.

Es una reflexión sobre ciberseguridad a nivel elevado. No hace falta ser informático para seguir la charla (cómo se nota su expertise en oratoria, adecuando mensaje a audiencia). Hablamos de cómo la cultura empresarial puede estar ligada/atada o no a la ciberseguridad.

No va de escribir, sino de actuar. De interiorizar, que la cultura interiorice. Totalmente imprescindible. ¡Como siempre!

Entrevista en vídeo

Entrevista en audio (podcast)

Ciberseguridad en las empresas

Escuchar los consejos de expertos en el área sirve de motivación para combatir el desinterés hacia la ciberseguridad, y tratar de evitar ataques a los sistemas corporativos, estableciendo un balance de las prioridades, y evitar futuros daños.

En esta ocasión fue entrevistado el Ingeniero Doctor en Informática Gonzalo Álvarez Marañon quien con su vasta experiencia en el tema, explica como la cultura empresarial está ligada o no, a la ciberseguridad.

¿Es necesaria la formación en Ciberseguridad?

Hoy en día la ciberseguridad está muy desatendida, porque se valora poco, en el campo de la empresa la ciberseguridad, realmente de lo que se trata es de un juego de decisiones, y el que toma la mejor decisión, gana.

Para Álvarez, hay que elegir entre dos opciones, si se elige una no se puede elegir la otra, opción “A” la seguridad y, la Opción “B” es la eficiencia en los procesos de la empresa. Si se elige la seguridad, la eficiencia, necesariamente va a ser menor, y si por el contrario, si se elige eficiencia, la seguridad necesariamente va a ser menor.

Un ejemplo de esto que trae como referencia el invitado, es el uso del móvil, si se quiere acceder al dispositivo y tiene seguridad, hay que desbloquearlo y hacer más pasos; en el otro extremo, para máxima eficiencia, se mantiene siempre conectado y abierto a todas las armas disponibles, se tiene mínima seguridad.

La seguridad en realidad es un compromiso de Trade-off, hay que elegir siempre dinámicamente, en cada momento o decisión, entre eficiencia y seguridad. Las decisiones tomadas por eficiencia, son algo concreto, ejemplo de esto son: los envíos de correos electrónicos, las salidas al mercado o la cantidad de clientes de una empresa; esas actividades se pueden medir y tocar.

Al contrario de la ciberseguridad, que es abstracta, porque aunque se aplique bien el trabajo, el resultado no se ve, lo que hace que los individuos no se conecten emocionalmente con algo que es abstracto, pero sí es fácil hacerlo, con lo concreto y medible.

Según el especialista, todo deriva de las decisiones que se toman, y asegura que, “por desgracia los seres humanos somos muy malos tomando decisiones, porque utilizamos atajos, que se llaman heurísticas”. Por lo general, cuando se tiene que tomar una decisión, hay que responder a una pregunta, para luego tomar una medida.

Según el entrevistado, se utiliza un sistema de toma de decisiones, que es muy rápido y eficiente que, en la mayoría de los casos, se acierta en la decisión con este ese sistema, pero aunque puede ser bueno, no es óptimo. Es muy complejo determinar con preguntas si algo va bien o mal.

En cada momento del día a día, hay que tomar decisiones de seguridad, se presentan situaciones como enviar un informe con los últimos datos que necesita la empresa, conectado desde el wifi de un sitio público; o el traspaso de documentos desde el dispositivo de uso personal o profesional, hacia uno desconocido, solo por cerrar una gran propuesta comercial.

Las dudas surgen, para tomar las decisiones, si se trata de ser eficiente y dejar la ciberseguridad a un lado. Todas las decisiones matemáticamente calculadas, pueden ser sencillas, considerando la ecuación del riesgo que, se reduce a calcular ¿cuál es la probabilidad de un evento, por el impacto económico?

Aunque se dice fácil solo emplear la calculadora para obtener esos datos, según Álvarez, el problema es  que, se desconoce cuál es la probabilidad y el impacto y, si se conocieran esos datos, faltaría el tiempo para hacer los cálculos. Por lo cual, se van tomando decisiones, guiados por estas heurísticas o atajos mentales, porque así es como funciona el cerebro.

Por eso, las organizaciones no son inseguras, porque la gente no está comprometida o es incapaz, la razón por lo que no están ciber seguras, es porque la gente es humana, y tiene una forma de razonamiento que es imperfecta, la cual puede ser cambiada, a través de la cultura corporativa.

Porque tanto las personas como las empresas, tienen dos dimensiones: hay una dimensión exterior y una dimensión interior. La dimensión exterior es lo que se puede ver, pero todo eso, es reflejo de la dimensión interior, la cual se puede decir que en un individuo son sus valores, creencias y prejuicios

Asimismo, esa dimensión se puede trasladar igualmente a una empresa, donde también hay una serie de valores, mitologías, historias de prácticas no escritas de códigos, que no están reflejados en ningún mármol, pero que están ahí animando cuáles son las acciones de esa compañía.

Gonzalo Álvarez, define valor de manera operativa, como “el criterio que tú usas en cada instante, cuando tienes que tomar decisiones, en cada momento”. Por lo tanto recalca que los individuos y las empresas deben ser congruentes con lo que dicen o creen, y lo que hacen al momento de tomar decisiones.

Una empresa puede vender la ciberseguridad, es lo más importante, pero se debe detectar que criterio sigue en cada momento y, a cuál le da prioridad. Para brindar una mejor explicación, el invitado menciona el ejemplo de un desarrollador, que le pide a su jefe que le dé tres días más para entregar un software, porque tiene que hacer unos tests de seguridad, el jefe dice que no puede, y que lo entregue así.

Con esa actitud de dejar a un lado la ciberseguridad por la eficiencia, el representante de la empresa, está  comunicando cuál es el valor que hay en esta compañía, independientemente de lo que aparece en el mármol, o de lo que aparece en los pósteres de ciberseguridad de la empresa.

Las formas actuales y las más extendidas de trabajar la ciberseguridad en la empresa, se centran en el comportamiento humano, en tratar de cambiar la forma como actúan las personas. Cuando se está mirando constantemente a la gente, esta va a cambiar cómo se comporta, pero cuando se deja de mirar, revierte a sus viejos comportamientos.

Si los individuos no han cambiado la cultura, tampoco lo han hecho con los valores, lo que es determinante en la toma de decisiones diarias en la empresa, entonces ese comportamiento, es algo exterior que no va, y no vuelve a permear hacia adentro, ese cambio se logra a largo plazo.

¿Cómo se puede tocar la cultura desde el punto ciberseguridad en una empresa?

El especialista compara el caso actual de ciberseguridad con los inicios del safety security, estrategia de seguridad que a lo largo de los años ha pasado a estar en primera línea de prioridad de las empresas, sobre todo las que más se exponen al peligro como las de construcción, metalurgia, electricidad, entre otras; las cuales tienen bien imbuidas esas normas de seguridad.

La gran diferencia entre el safety segurity y ciberseguridad es que, es el riesgo concreto y el riesgo abstracto, se puede ver en un accidente, si hay una baja de un trabajador; mientras que un ciberataque no se ve con la misma relevancia, no se valora de la misma manera, y mientras security no se ha valorado no será posible este cambio en el adn corporativo.

Hoy en día, en el área de ciberseguridad, aún se están dando los primeros pasos, pero el especialista conserva las esperanzas de que va a haber un cambio al respecto, y para eso están los procesos de formación, que son pasitos muy pequeños, pero que tienen cambios alineados.

Cibercrimen como negocio

El cibercrimen es un negocio organizado, perfectamente estratificado con roles totalmente asignados. Es un auténtico negocio y cuanto más se sofistican los atacantes, a su vez se sofistican las defensas, sin embargo, el problema es que se entiende la ciberseguridad, como una carrera tecnológica y es algo a considerar por cualquier persona.