00:00:07 Introducción al tema del riesgo cibernético en supply chains durante la epidemia del coronavirus.
00:00:36 Antecedentes de Richard Wilding como profesor de estrategia de supply chain y su trabajo en el campo de la gestión del riesgo en supply chains.
00:03:24 Visión general de los desafíos para detectar y prevenir riesgos cibernéticos en el desarrollo de software.
00:06:06 La dificultad para determinar quién es responsable de prevenir los ciberataques en supply chains.
00:07:44 La importancia de la educación del usuario para resolver problemas de seguridad y la necesidad de un enfoque específico en el diseño de la seguridad.
00:08:00 Discusión sobre la seguridad que depende del comportamiento humano.
00:09:04 Postura contraintuitiva adoptada por empresas como Google en materia de seguridad.
00:09:57 Personas siendo conscientes de sus responsabilidades en la seguridad.
00:13:06 Personas que traen sus propios dispositivos cuando la seguridad es demasiado estricta.
00:15:04 GDPR y la importancia de conservar únicamente los datos necesarios.
00:16:00 Discusión sobre la situación actual con personas trabajando desde casa debido al coronavirus y los riesgos introducidos.
00:17:01 Discusión sobre la seguridad de los dispositivos personales y la necesidad de que las empresas eduquen a sus empleados para trabajar de forma segura desde casa.
00:18:58 Consejo de Joannes sobre cómo proteger a una empresa de que el personal tome malas decisiones.
00:19:31 La importancia de utilizar “white hats” (hackers legítimos) para mejorar la seguridad informática.
23:44 Reflexiones finales sobre la batalla continua en la seguridad cibernética y la necesidad de que los buenos se mantengan un paso por delante.
Resumen
La entrevista entre Kieran Chandler, Joannes Vermorel y Richard Wilding se centra en el tema del riesgo cibernético en supply chains. Vermorel y Wilding destacan la creciente vulnerabilidad de las supply chains debido a su mayor conectividad y enfatizan la necesidad de un enfoque más integral en materia de seguridad. Discuten los trade-offs entre conveniencia y seguridad, la naturaleza contraintuitiva de algunas medidas de seguridad y el impacto del trabajo remoto en la ciberseguridad. La conversación enfatiza la importancia de un enfoque multifacético para la ciberseguridad, incluyendo la concientización, los white-hat hackers y la mejora de las soluciones de software y hardware. Tanto Vermorel como Wilding subrayan la naturaleza continua de la batalla contra las amenazas cibernéticas y la necesidad de que individuos y empresas se mantengan vigilantes y adaptables.
Resumen Extendido
Kieran Chandler, el anfitrión de la entrevista, presenta a los dos invitados, Joannes Vermorel, el fundador de Lokad, una compañía de software de optimización de supply chain, y Richard Wilding, Presidente (Profesor Titular) de la Estrategia de supply chain en el Centre for Logistics and Supply Chain Management de Cranfield School of Management, Reino Unido, e innovador en supply chain. El tema de la discusión es el riesgo cibernético en supply chains.
Richard Wilding ofrece una visión general de su trayectoria, habiendo caído accidentalmente en la academia tras iniciar su carrera en la industria. Con experiencia en el manejo de disruptions en supply chains desde principios de los años 90, se ha convertido en profesor de estrategia de supply chain. Su objetivo es llevar el conocimiento a la acción, desafiando e inspirando a los líderes de supply chain para que innoven y creen valor económico, social o ambiental. El enfoque de la Cranfield University es capacitar a los líderes de supply chain para que innoven y generen valor en sus negocios.
Joannes Vermorel aborda el tema del riesgo cibernético y su impacto en supply chains. Lo describe como contraintuitivo y esquivo, ya que las metodologías de prueba tradicionales y las prácticas de desarrollo típicas no logran abordar los problemas de seguridad. También señala que la evolución del enterprise software en las últimas décadas ha aumentado el área de ataque superficial, haciendo que el software esté más expuesto a ciberataques. Pasar a entornos de computación en la nube puede aumentar la seguridad, pero también ofrece más puntos de entrada para posibles atacantes.
Richard Wilding analiza la dificultad de asegurar las supply chains debido al deseo de apertura y conectividad entre proveedores y clientes. Esta apertura crea múltiples puntos de entrada para ciberataques, los cuales pueden tener efectos devastadores en los negocios. Ejemplos de posibles alteraciones incluyen ataques de denegación de servicio en sitios web, interrupciones en los sistemas de gestión de warehouse, y la interferencia con vehículos autónomos. Wilding enfatiza que la gravedad de los ciberataques puede aumentar cuando estos se dirigen a las supply chains, en contraposición a sitios web o aplicaciones individuales.
La entrevista resalta la creciente importancia del riesgo cibernético en supply chains y los desafíos que enfrentan las empresas para abordar las preocupaciones de seguridad. Ambos invitados enfatizan la necesidad de innovación en esta área, así como la importancia de replantear los métodos tradicionales para asegurar las supply chains. Sin embargo, la discusión continúa incompleta, y se espera que la conversación prosiga en el futuro.
La conversación destaca la mayor vulnerabilidad de las supply chains debido a su creciente conectividad, con un enfoque en los ciberataques.
Richard enfatiza que los ciberataques a supply chains se han vuelto más prevalentes en los últimos años, y es responsabilidad de todos asegurar la seguridad. Afirma que es esencial educar a todas las partes involucradas sobre los riesgos potenciales. Joannes, sin embargo, cree que depender únicamente de la educación del usuario es insuficiente. En cambio, aboga por la “correctness by design”, en la que las medidas de seguridad se integran en los sistemas para reducir la posibilidad de error humano.
Para ilustrar su punto, Joannes comparte el ejemplo del “ataque de la llave USB en el estacionamiento”, donde se deja una llave USB infectada con malware en un lugar público, aprovechándose de la curiosidad humana para comprometer los sistemas. Contrasta esto con los enfoques de seguridad de empresas como Google, que asumen que las personas cometerán errores y diseñan sus sistemas en consecuencia.
Richard está de acuerdo en que la correctness by design es crucial, pero también insiste en que el error humano sigue siendo un factor significativo en muchas brechas de ciberseguridad. Menciona ejemplos como la brecha de datos de Target, que resultó de un ataque a un proveedor a través de correos electrónicos de phishing. Esta brecha le costó a la empresa millones y ejemplifica la importancia tanto de la concientización como del diseño del sistema para asegurar las supply chains.
Tanto Joannes como Richard coinciden en que se necesita una combinación de educación del usuario, concientización y diseño del sistema para mejorar la seguridad de las supply chains. Equilibrar la apertura para la innovación y el bloqueo del sistema es un desafío que las empresas deben enfrentar para garantizar la seguridad de su información y activos.
La conversación aborda el equilibrio entre accesibilidad y seguridad, la naturaleza contraintuitiva de algunas medidas de seguridad y el impacto del trabajo remoto debido a la pandemia del coronavirus.
La discusión destaca que las medidas de seguridad a veces pueden tener efectos adversos, conduciendo a consecuencias no deseadas. Por ejemplo, cuando las empresas implementan medidas de seguridad estrictas en las laptops, los empleados pueden traer sus propios dispositivos, creando inadvertidamente riesgos de seguridad. De manera similar, las rotaciones frecuentes de contraseñas pueden llevar a que los empleados las anoten, haciéndolas más vulnerables. Vermorel señala que es esencial considerar las reacciones humanas ante las medidas de seguridad para evitar resultados contraproducentes.
Wilding añade que las empresas deberían conservar únicamente los datos necesarios y seguir regulaciones como el GDPR para evitar exponerse a riesgos innecesarios. Destaca la importancia de educar a los empleados sobre la seguridad de las contraseñas y sugiere que, aunque el trabajo remoto podría aumentar la seguridad en algunos aspectos, también introduce nuevos riesgos, como routers y dispositivos personales.
Vermorel expresa escepticismo acerca de la educación como solución principal para prevenir brechas de seguridad, citando amenazas emergentes como cables USB falsificados que transmiten malware. La conversación enfatiza la necesidad de un enfoque más integral para la seguridad de las supply chains, considerando el comportamiento humano y equilibrando la accesibilidad con la protección.
La conversación destaca los desafíos que enfrentan las empresas y los individuos al lidiar con amenazas cibernéticas cada vez más sofisticadas.
Vermorel comparte un ejemplo de cómo un cable aparentemente inocuo puede contener un microcomputador con el potencial de comprometer los sistemas. Expresa escepticismo sobre la efectividad de capacitar a las personas para prevenir ciberataques, dado que las amenazas son diversas y están en constante evolución. En cambio, sugiere que emplear white-hat hackers para identificar vulnerabilidades en los sistemas de una empresa puede ser un enfoque más efectivo para mejorar IT security.
Wilding está de acuerdo con la importancia de emplear white-hat hackers, mencionando su propia experiencia al contratar hackers para probar las medidas de seguridad en las juntas de las empresas. También enfatiza la necesidad de evaluaciones periódicas debido a la naturaleza siempre cambiante de las amenazas cibernéticas. Wilding reconoce la existencia de software más sofisticado que puede detectar y alertar a los usuarios sobre actividades sospechosas, pero señala que las vulnerabilidades de hardware, como los USB comprometidos, aún representan riesgos significativos.
Los entrevistados discuten los trade-offs entre conveniencia y seguridad, con Wilding señalando la importancia de establecer directrices y firewalls para limitar el potencial de ataques a gran escala. También comparte su optimismo sobre el futuro de la ciberseguridad, reconociendo que es una “batalla continua” con mejoras constantes. Wilding cita la protección contra virus incorporada en las laptops modernas con Windows como un ejemplo de dichas mejoras, pero también resalta la necesidad de mantener una conciencia y vigilancia continuas.
Tanto Vermorel como Wilding subrayan la importancia de un enfoque multifacético para la ciberseguridad, que incluya la concientización, los white-hat hackers y la mejora de las soluciones de software y hardware. Reconocen la naturaleza continua de la batalla contra las amenazas cibernéticas y enfatizan la necesidad de que individuos y empresas se mantengan vigilantes y adaptables.
Transcripción Completa
Kieran Chandler: Hoy en LokadTV, nos complace contar con la presencia del Profesor Richard Wilding, quien va a discutir con nosotros el tema del riesgo cibernético en supply chains. Así que, Richard, muchas gracias por acompañarnos en directo desde el Reino Unido hoy. Quizás para comenzar, podrías contarnos un poco acerca de ti y un poco sobre el trabajo que realizas en Cranfield.
Richard Wilding: Bueno, mi trayectoria comenzó en la industria, y accidentalmente caí en la academia hace ya varios años. Nunca he logrado salir de allí. Pero, básicamente, he tenido una carrera enfocada en analizar las disruptions en supply chains, remontándome a principios de los 90. Por supuesto, los tipos de cosas que experimentábamos entonces eran muy diferentes. En la década de 2000, tuvimos eventos como el 11 de septiembre, nubes de ceniza, crisis de combustible y la fiebre aftosa, todos los cuales impactaron el riesgo y la resiliencia en supply chains. De hecho, probablemente me convertí en uno de los primeros profesores de gestión del riesgo en supply chains en el mundo, pero ese título ha evolucionado, y actualmente soy Profesor de Estrategia de supply chain en Cranfield. Mi objetivo es convertir el conocimiento en acción, así que lo que me encanta hacer es tomar este conocimiento y transformarlo en acción en la industria. Fui el presidente inmediato anterior del Chartered Institute of Logistics and Transport en el Reino Unido, que abarca desde el movimiento de bienes y personas hasta todas sus supply chains asociadas. Mi enfoque está en desafiar e inspirar a los líderes de supply chain a innovar. Espero que nuestros oyentes de hoy puedan llevarse algunas ideas y pensar en cómo pueden innovar para crear valor económico, social o ambiental. De eso se trata realmente Cranfield: de llevar el conocimiento a los líderes de supply chain, capacitándolos para innovar y crear valor en las supply chains y empresas en las que trabajan.
Kieran Chandler: Esa es una introducción brillante. Definitivamente creo que la idea de innovar es algo con lo que estamos de acuerdo aquí en LokadTV. Joannes, nuestro tema hoy trata sobre el riesgo cibernético y su impacto en nuestras supply chains. ¿Cuál es tu visión inicial?
Joannes Vermorel: El riesgo cibernético es una de esas cosas que en la práctica resulta sumamente contraintuitiva. Es muy difícil, por ejemplo, detectar problemas de seguridad en el software. La mayoría de las metodologías de prueba habituales no funcionan, y la mayoría de las prácticas típicas de desarrollo no logran abordar esas preocupaciones. Es un tema esquivo. Lo que ha despertado cada vez más mi interés en la última década es que la mayor parte de la duración que toma el enterprise software en general
Kieran Chandler: En las últimas décadas, tendemos a ver un aumento en lo que técnicamente se conoce como el área de ataque superficial del software. Tienes software que está más expuesto a ataques, especialmente cuando se migra a un entorno de computación en la nube. Los entornos de computación en la nube son más seguros, pero tienes muchos más puntos de entrada para tu software. Además, cada vez que tienes una aplicación web, existen clases enteras de riesgos que son muy difíciles de mitigar o prevenir por diseño en términos de problemas de seguridad potenciales.
Joannes Vermorel: Kieran, mencionaste metodologías de prueba que no funcionan tan bien. Richard, si miramos las cosas desde la perspectiva de una supply chain, ¿qué es lo que hace que sea tan difícil de asegurar?
Richard Wilding: Desde la perspectiva de la supply chain, queremos que las cosas sean relativamente abiertas. Queremos conectarnos con nuestros proveedores y clientes, pero eso en realidad crea múltiples puntos de entrada. A menudo, los ataques están ocurriendo en la supply chain. Si quiero cerrar una empresa, un ataque de denegación de servicio en un sitio web es devastador, pero si empiezas a pensar en la devastación que podría causar interrumpir un sistema de gestión de almacenes o vehículos autónomos, podría ser mucho más devastador para una empresa en términos de su capacidad para continuar y resurgir en el futuro. Estamos encontrando que algunos de los ataques reales están ocurriendo, por ejemplo, a través de un portal de proveedores. La gente está accediendo a datos o siendo capaz de suministrar información a un gran cliente, pero eso crea un punto de entrada. Si alguien pudiera hacer algo tan simple como un ataque de phishing, puede crear problemas.
Existen múltiples exposiciones, y es algo de lo que he estado hablando durante probablemente 18 meses ahora porque hemos visto un gran aumento en ciberataques en la supply chain. Una cosa que es realmente interesante es de quién es la responsabilidad de evitar que esto suceda. El problema es que si vas al equipo de supply chain, dirán que es trabajo del equipo de IT. Si vas a los equipos de IT, dirán que es trabajo de la supply chain. Es trabajo de todos, así que tenemos que asegurarnos de que haya conciencia en todos para detener este tipo de cosas. Educar al negocio y hacer que sean conscientes de estos desafíos es fundamental.
Kieran Chandler: Richard mencionó que las supply chains definitivamente se están volviendo más conectadas. Si miras cualquier multinacional, están extendiendo sus sistemas por todo el mundo en la actualidad. ¿Dirías que esta mayor conectividad es una debilidad real?
Joannes Vermorel: Sí, eso es exactamente a lo que me refería cuando dije que se incrementa el área de ataque de superficie. Cuanto más se expongan las cosas a terceros, más vulnerables son. En internet, no te conectas con una persona, así que si tienes un portal web, tienes un trozo de software que interactúa sobre el puerto 80 a través de HTTP. Puede estar en el otro lado; siempre es una máquina. La máquina puede ser operada por un ser humano, y puede ser operada por un ser humano que resulta ser el empleado que crees que es esa persona.
Kieran Chandler: Entonces, en efecto, gracias, pero ¿dónde te desviarías ligeramente y dónde crees que se produciría una divergencia en términos de seguridad, quizás con la interpretación?
Joannes Vermorel: Creo que, en general, educar a los usuarios no es suficiente para resolver esos problemas de seguridad. Por ello, la seguridad está muy concentrada. Tiene que ser una especie de trampa en la seguridad, y ahí es donde realmente necesitas tener un enfoque específico de corrección por diseño. No puedes esperar que la gente no haga clic en los archivos adjuntos o lo que sea. Si esperas que la gente se adhiera a la regla para algo en lo que están a un solo clic de un desastre, lo harán. Entonces, por ejemplo, uno de los ataques simples se llama el ataque de la llave USB en el estacionamiento. Simplemente dejas una llave USB con malware en el estacionamiento, y le escribes “Bitcoin stash” encima. Puedes estar seguro de que habrá alguien que realmente probará la llave, conectándola a la computadora. Si confías en que se supone que la gente debe estar educada, quiero decir, son humanos. Incluso si son bastante inteligentes, pueden sufrir falta de sueño y, a veces, tener un lapso de juicio. Sucede. Así que, si confías en que la gente sea inteligente, alerta y educada, en cierta medida no funciona. Y es muy curioso porque cuando ves cómo se hace la seguridad en empresas, como Google, toman la postura opuesta. Una postura que se ha aplicado más en otras áreas, como la industria nuclear, donde asumes, por el contrario, que la gente va a ser tonta. Cuando piensas que van a hacer algo súper tonto, te preguntas, ¿pueden hacer algo incluso peor que eso? Pero hay muchas otras ideas similares, que son prácticamente por diseño.
Kieran Chandler: Bien, Joannes mencionó esa idea de correctness by design, Richard. ¿Cuáles son los métodos que podemos introducir para asegurar que nuestros sistemas sean realmente seguros?
Richard Wilding: Creo que es algo interesante, y que debemos tener la correctness by design. No hay duda al respecto. Pero si miras la antigua regla 80-20 de las causas de muchos problemas, lamentablemente, son las personas. Y es interesante notar que Google Australia fue hackeado por algunos hacktivists solo para demostrar que podían hacerlo. Y la forma en que accedieron fue, en realidad, a través del sistema de control del edificio del bonito y nuevo inmueble de Google en Australia. Fue hackeado. Si observas algunas de las grandes interrupciones en empresas, como Target en Estados Unidos, que aún sigue con todo tipo de demandas colectivas y demás, eso fue bastante interesante. Cuarenta millones de credenciales de tarjetas de pago y setenta millones de registros de clientes fueron simplemente recolectados, y la forma en que ocurrió fue a través del sistema de control de aire de calefacción y ventilación. Un proveedor fue objetivo de correos electrónicos de phishing. Luego, pudieron acceder a esa parte del negocio, y se pusieron a recolectar información, descubrieron la red del punto de venta y luego se quedaron allí tomando la información.
Kieran Chandler: Esto es realmente importante porque el combustible, hasta ahora, les ha costado, lo creas o no, 162 millones. Esa es una interrupción en particular que ha ocurrido. Pero creo que lo clave aquí es poder hacer que la gente sea consciente de estas cosas, consciente de sus responsabilidades. Pero luego también tienes el lado del diseño de las cosas. El problema es que se necesita cierto nivel de apertura.
Richard Wilding: Correcto, así que si pienso en mi laptop, la universidad puede bloquearla para que no pueda hacer nada con ella, y eso no es nada divertido. Tuvimos esto hace algunos años, cuando decían: “Esto es corporativo. Nadie puede entrar a LinkedIn, nadie puede entrar a YouTube, nadie puede ir a esto ni a aquello.” Pero el problema es, volviendo a la innovación, la innovación es tomar ideas que son nuevas para ti y crear valor. Si de repente bloqueas tus sistemas porque esto podría potencialmente permitir que la gente acceda a cosas a las que no debería o debilita nuestra infraestructura y demás, eso puede tener otro efecto. Entonces, con el gran “tengamos un apagón en las redes sociales dentro de nuestra empresa”, lo que realmente ha resultado es, podrías argumentar, un apagón en la innovación. Porque ahora mucha de la innovación y las buenas ideas se están compartiendo efectivamente a través de estos canales. Así que, hay que tener mucho cuidado con esto, y creo que es una de esas cosas de lograr un equilibrio entre accesibilidad y seguridad, pero asegurándote, por diseño, de que si las cosas salen mal, se detecte rápidamente.
Kieran Chandler: Bien, ¿querías intervenir en eso, Joannes?
Joannes Vermorel: Sí, quiero decir, solo para darte un ejemplo, cuando decía que es contraintuitivo, creo que toda la idea de bloquear es un ejemplo perfecto de ello. Si tienes una seguridad súper estricta para los portátiles donde la empresa solo puede instalar el software que ha sido aprobado y solo puedes visitar los sitios web aprobados, ¿qué sucede en la práctica? La gente trae sus propios dispositivos, compra sus propios portátiles. Así que, aunque en teoría pensabas que estabas creando seguridad, en realidad no lo haces, simplemente porque la gente va a reaccionar y hacer algo distinto por su cuenta. Y lo mismo sucede con las contraseñas, por ejemplo. Ha habido estudios, incluso publicados por la NSA en EE. UU., que demostraron que la rotación de contraseñas es perjudicial. Si rotas las contraseñas frecuentemente, lo que la gente hace es colocar notas adhesivas en su escritorio con la contraseña de la semana. Así, terminas con oficinas enteras en donde la contraseña de todos está en el escritorio de cada persona, en una nota adhesiva.
Por eso digo que es muy contraintuitivo, y no es solo una cuestión de equilibrio. De hecho, frecuentemente puedes empujar a la gente a hacer cosas que son aún menos seguras. Y de nuevo, creo que la industria nuclear tiene muchos buenos ejemplos de ello. Donde, si cargas a las personas con demasiado equipo de protección, en algún momento durante el verano, hace simplemente demasiado calor, así que se deshacen de todo solo porque no pueden soportar el calor de todo lo que tienen que cargar, y terminan sin ningún equipo de protección, lo cual es muy tonto. Por eso la seguridad es tan complicada. Es porque necesitas pensar en cómo reaccionarán los humanos, y es como un bucle de retroalimentación completamente recursivo.
Kieran Chandler: Piénsalo, hay algunos datos que no deberías recopilar por ningún periodo de tiempo, tal vez una semana, y deshacerte de ellos.
Richard Wilding: Creo que lo interesante de Target, por supuesto, fue que no estaban almacenando los datos. Simplemente pasaban a través de sus sistemas. Si realizas una transacción con tarjeta de crédito, tiene que pasar por internet hacia el banco. Si te quedas ahí interceptando ese flujo, que es efectivamente lo que estaba ocurriendo, entonces puedes hacer este tipo de cosas. Pero creo que es realmente importante, si piensas en el GDPR y la protección de datos, mantener solo lo que realmente se necesita. ¿De qué sirve tener todo este alijo de datos? Algunas empresas ahora, con artificial intelligence, creen que deberían guardar todos estos datos porque en el futuro podrían ser capaces de hacer algo útil con ellos. Bueno, eso es un poco como si yo guardara cada correo electrónico que he escrito en mi vida. ¿Alguna vez haré algo útil con ellos en el futuro? Tenemos que pensarlo bien.
Me encanta esta pequeña cita cuando hablo con la gente sobre contraseñas: “Passwords are like underwear. You don’t want to let people see it, change it often, and you should not share it with strangers.” Pero al mismo tiempo, tienes que asegurarte de poder recordar estas cosas también, por lo que necesitas otros enfoques.
Kieran Chandler: Richard, hablemos un poco sobre la situación actual con cada vez más personas trabajando desde casa debido al coronavirus. Presumiblemente, esto ha introducido mucho más riesgo. ¿Qué puede hacer una empresa, tal vez alguien que esté viendo esto, para protegerse?
Richard Wilding: Bueno, recomendaría que cuando trabajas desde casa, hasta cierto punto, puede ser más seguro porque, si hay contraseñas dispersas por mi escritorio —lo cual no ocurre— hay menos personas moviéndose alrededor. Entonces, hay algunos elementos que se podrían argumentar hacen que el trabajo remoto sea ligeramente más seguro. Pero al mismo tiempo, ahora se están utilizando los dispositivos personales de cada uno, lo cual es un punto que se mencionó anteriormente, y también tenemos que poder lidiar con eso. Además, es importante reconocer que estamos usando nuestros propios routers personales, conexiones a internet, redes Wi‑Fi y todo lo demás. Entonces, ¿qué tan seguro es eso? Creo que las empresas deben empezar a educar a sus empleados sobre trabajar desde casa y utilizar recursos como Cyber Essentials para orientarlos en cuanto a lo que están haciendo.
Kieran Chandler: Joannes, ¿cuál es tu consejo para alguien que esté viendo esto? Según tu experiencia, ¿cómo proteges una empresa de empleados, como yo, que tal vez tomen malas decisiones?
Joannes Vermorel: Realmente no creo en la vía de la educación, o al menos no de manera general. Solo para darte una idea de las amenazas emergentes que vemos hoy en día, hay montones de falsificaciones en Amazon, e incluso para cosas…
Kieran Chandler: Entonces, Richard, empecemos contigo. Estamos escuchando mucho sobre el paso hacia el trabajo remoto, especialmente en el contexto de la pandemia. ¿Cuáles son algunas de las mayores preocupaciones que tienes en torno a la seguridad IT en el entorno de trabajo remoto?
Richard Wilding: Bueno, creo que hay toda una serie de preocupaciones en torno a la seguridad IT cuando se trata de trabajo remoto. Una cosa en la que la gente puede no pensar necesariamente es lo básico que pueden ser algunas de estas preocupaciones. Por ejemplo, algo tan básico como los cables USB, que todos usamos a diario, en realidad pueden transmitir malware a tu computadora. Con el avance de la computación, ahora es posible tener un microcomputador dentro de un cable. Y ese es solo un ejemplo del tipo de cosas que pueden suceder con adaptadores y otros dispositivos similares. Así que, en resumen, puedes tener algo tan poderoso como una computadora de hace 20 años dentro de un cable que parece un cable normal. E incluso puede tener una marca en la que confías, pero lo que compras podría ser, en realidad, una falsificación. Y Amazon ha tenido algunos problemas con esto.
Joannes Vermorel: Si me permites añadir a eso, Kieran, soy muy escéptico de que la capacitación por sí sola marque la diferencia en lo que respecta a la seguridad IT. Los problemas son tan rampantes y diversos que no creo que puedas confiar en que la gente siempre se comporte de una determinada manera. Pero sí creo que el trabajo remoto tiene una ventaja positiva que la gente podría no considerar, y es que hace que el trabajo remoto sea más aceptable. Y, en mi experiencia, la manera más positiva de mejorar la seguridad IT es, de hecho, utilizando white hats —es decir, hackers que ofrecen sus servicios de forma remota para encontrar fallas en la seguridad de tu empresa. Es extraño, pero la seguridad es un área tan peculiar que, incluso cuando esperas que la gente se comporte de cierta manera, es muy posible que no lo hagan. Por ejemplo, alguien podría fingir ser soporte técnico y llamarte para obtener acceso a tu computadora.
Richard Wilding: Sí, Joannes, estoy completamente de acuerdo contigo. De hecho, en mi rol en juntas directivas, hemos contratado a personas así —usualmente ex hackers que han pasado tiempo en prisión y que ahora trabajan con organizaciones para encontrar vulnerabilidades en su seguridad. Es importante hacer esto de manera regular porque los métodos de ataque están cambiando constantemente. Y también es importante que la gente entienda qué hacer cuando ocurre un ataque. Ahora existe software más sofisticado que puede detectar cambios en archivos o fragmentos de código que se están reescribiendo, pero también tenemos que pensar en el enfoque de hardware. Por ejemplo, los pendrives no están permitidos en algunos entornos, como el campus militar en Cranfield, donde trabajo.
Kieran Chandler: Eso es realmente interesante. Entonces, Richard, ¿puedes contarnos un poco más sobre los enfoques de software que ahora se están utilizando para detectar ciberataques?
Richard Wilding: Sí, ahora existen enfoques de software más sofisticados que pueden detectar cuándo se están cambiando archivos o se están reescribiendo fragmentos de código. Pueden crear alertas sobre estos cambios y ayudar a prevenir ataques antes de que ocurran. Pero, como dije antes, también necesitamos pensar en el enfoque de hardware. Necesitamos contar con directrices en torno a cosas básicas como memorias USB y cables, y necesitamos emplear regularmente white hats para encontrar vulnerabilidades en nuestra seguridad.
Kieran Chandler: Entonces, Joannes, Richard, hemos hablado mucho sobre las vulnerabilidades y los riesgos asociados con la ciberseguridad, pero ¿cuáles son algunas de las formas en que podemos protegernos?
Joannes Vermorel: Bueno, creo que lo primero que hay que comprender es que la ciberseguridad no es absoluta. Es un compromiso entre seguridad y conveniencia. Por ejemplo, si tienes un sistema muy seguro, puede que sea muy incómodo de usar, y si es muy cómodo, puede que no sea muy seguro. Así que, necesitamos encontrar un equilibrio entre ambas cosas.
Richard Wilding: Sí, y creo que otro punto importante es que necesitamos tener algún tipo de cortafuegos para limitar lo que sucede dentro de nuestros sistemas. No queremos un megaataque, por lo que tenemos que ser capaces de detectar y detener la propagación de malware.
Kieran Chandler: Es un buen punto. Entonces, centrémonos en los aspectos positivos por un momento. La ciberseguridad ha avanzado mucho en las últimas décadas. ¿Creen que continuará mejorando, y que algún día estaremos más seguros que nunca?
Richard Wilding: Creo que es una batalla constante, para ser honesto. La ciberseguridad es un juego continuo que siempre está evolucionando. Sin embargo, sí creo que las cosas están mejorando. Por ejemplo, si compras una laptop con Windows hoy, viene con Windows 10, que tiene una protección contra virus bastante decente que cumple parte del trabajo de forma gratuita. Así que, estamos empezando a ver que la ciberseguridad se está convirtiendo en parte del paquete.
Joannes Vermorel: Sí, pero también necesitamos crear conciencia en todos. La gente debe saber que incluso una memoria USB o un cable puede causar estragos. Esa es la naturaleza de lo que está sucediendo. Sin embargo, si la gente es consciente de esto, podría pensarlo dos veces antes de hacer algunas de estas cosas.
Kieran Chandler: Entonces, es una combinación de crear conciencia y tener sistemas en funcionamiento que puedan detectar y detener la propagación de malware. Bueno, tendremos que concluir aquí, pero muchas gracias a ambos por su tiempo. Eso es todo por esta semana. Muchas gracias por sintonizar, y nos veremos nuevamente en el próximo episodio. Gracias por ver.