Llevo 25 años trabajando en ciberseguridad, así que es normal que muchas personas me pidan consejo sobre cómo ayudar a las empresas y organizaciones a infundir confianza entre sus clientes y partners.
Siempre respondo lo mismo: «No seas siniestro».
Sé que es un cliché buscar paralelismos en las películas, pero un buen ejemplo de lo que estoy diciendo lo encontramos en Minority Report. La película imaginaba un mundo en el que se podía predecir cuándo alguien iba a cometer un crimen, pero la parte más siniestra de la película, al menos para mí, es cuando el personaje que interpreta Tom Cruise va a una tienda en la que le escanean el globo ocular y le dicen exactamente la ropa que quiere comprar. Puede parecer un servicio impecable, pero es extraño, y creo que a la gente le asusta todo lo que es extraño.
Cuando las empresas dicen que van a usar tecnologías avanzadas como la inteligencia artificial, no deben olvidar que los datos de los clientes se pueden usar para crear perfiles de los usuarios. Por tanto, las empresas que utilicen inteligencia artificial deben hacerlo con integridad y de manera ética. Solo así las personas confiarán en que estos datos se van a usar por un buen motivo y para un buen fin. Como te pases de la raya, perderás esa confianza.
Mi trabajo consiste en ayudar a las organizaciones a usar la tecnología de forma que infunda confianza. Es por eso que quiero compartir algunas ideas importantes que creo que los CISO o responsables de la seguridad de la información deben considerar al abordar la seguridad en la era digital.
La importancia de los «saltos de fe»
Una persona que ha influido enormemente en mi concepción de la confianza es Rachel Botsman y, en particular, lo que ella denomina saltos de fe. Para Botsman, un salto de fe es cuando las personas tienen que dar un salto mental de lo conocido a lo desconocido. Estos saltos se caracterizan por una emoción en concreto: la incertidumbre.
Cuando las organizaciones mueven sus infraestructuras locales al cloud realizan un salto de fe, lo que significa que tienen que hacer frente a la incertidumbre. Así que cuando damos el salto a la transformación digital, necesitamos suficiente información y visibilidad para que ese salto sea lo más cómodo posible.
Los CISO que adoptan la migración al cloud buscan proveedores de servicios de cloud a hiperescala como Microsoft y se plantean las siguientes preguntas:
- ¿Crees que tu organización va a cuidar de mis datos?
- ¿Podré controlar esos datos cuando los ponga a tu disposición?
- ¿Tendré visibilidad de lo que ocurre en el servicio de cloud?
- ¿Puedo saber cómo vas a operar en segundo plano?
- ¿Se me informará si surge algún riesgo?
Nosotros hacemos todo lo que está en nuestra mano para responder a estas y otras preguntas porque sabemos que la migración al cloud es un salto de fe abismal para algunas organizaciones. Cuanta más información proporcionemos y más transparentes seamos, menos abrumador será ese salto. Porque, en última instancia, la confianza consiste en sentir que tienes el control, y lo que los clientes esperan que va a suceder, sucederá.
Cómo la transparencia reduce la necesidad de confianza
La transparencia es una palabra que se menciona a menudo cuando hablamos de confianza. Pero Rachel Botsman me hizo una aclaración que se me ha quedado grabada: la transparencia no infunde confianza, reduce la necesidad de confianza. Cuando eres transparente, reduces lo que las personas desconocen y el salto para generar confianza es menor.
En lo referente a la seguridad, disponer de los controles adecuados para saber qué está ocurriendo, supervisar lo que ocurre y demostrar implicación aumenta la transparencia y reduce la falta de confianza.
Pero también creo que en las circunstancias adecuadas la transparencia sí se puede usar para infundir confianza. La filtración de datos de Norsk Hydro es un buen ejemplo de ello.
Norsk Hydro es un gran multinacional de fabricación de aluminio cuyas fábricas utilizan las tecnologías digitales para operar sus máquinas. Así que cuando sufrieron un ataque de ransomware masivo, el desastre para su línea de producción y la imagen de la marca parecía inevitable, pero su respuesta les salvó.
Cuando se produjo el ataque, mantuvieron una rueda de prensa pública. Fueron muy transparentes sobre lo que había ocurrido. Fueron transparentes sobre el propio ataque, la investigación y su manera de abordarlo. Así que en lugar de que el ataque tuviera un efecto negativo en su imagen, lo que consiguieron fue multitud de comentarios sobre la confianza y el respeto que obtuvieron en el sector por la forma transparente en que respondieron.
O como reza el dicho: «Si la vida te da limones, aprende a hacer limonada». Y eso fue posible gracias a que fueron transparentes, éticos, honestos y responsables con la confianza de los clientes y partners cuyos datos pusieron en peligro.
Asumir la responsabilidad de la ciberseguridad
Una de las características de la confianza y la privacidad es que tienen que ver con las emociones. Confiar significa ser vulnerable, cosa que los ciberdelincuentes saben, y por ese motivo nuestra confianza es a menudo la puerta que intentan atacar para conseguir entrar en nuestras organizaciones.
Y como las personas somos seres humanos y seguimos cometiendo errores, sus ataques seguirán teniendo éxito. Es muy fácil decir «si ves un enlace, no hagas clic en él». Pero los expertos en seguridad tienen que recordar que durante mucho tiempo hemos alentado a las personas a hacer clic en los enlaces. Asi que decir «no hagas clic en el enlace» es como decir «no hagas lo que te hemos dicho que hagas durante los últimos 15 años». Es poco realista, y creo que los expertos en seguridad son demasiado duros con los usuarios finales al esperar que se comporten de una forma antinatural.
La mejor respuesta es esperar el ataque y estar preparados. Así es como yo funciono: espero que se produzcan crímenes. Espero que las personas cometan errores. Y acepto la responsabilidad de intentar gestionar esa ecuación y mitigar su impacto.
Tal como yo lo veo, la tecnología es la mayor defensa con la que contamos en esta lucha.