00:00:07 Introducción al tema del riesgo cibernético en las cadenas de suministro durante la epidemia de coronavirus.
00:00:36 Antecedentes de Richard Wilding como profesor de estrategia de cadena de suministro y su trabajo en el campo de la gestión del riesgo de la cadena de suministro.
00:03:24 Visión general de los desafíos en la detección y prevención de riesgos cibernéticos en el desarrollo de software.
00:06:06 La dificultad para determinar quién es responsable de prevenir los ataques cibernéticos en las cadenas de suministro.
00:07:44 La importancia de la educación del usuario en la solución de problemas de seguridad y la necesidad de un enfoque específico para la seguridad en el diseño.
00:08:00 Discusión sobre la seguridad basada en el comportamiento humano.
00:09:04 Postura contraintuitiva adoptada por empresas como Google en materia de seguridad.
00:09:57 Las personas son conscientes de sus responsabilidades en materia de seguridad.
00:13:06 Las personas llevan sus propios dispositivos cuando la seguridad es demasiado estricta.
00:15:04 GDPR y la importancia de mantener solo los datos necesarios.
00:16:00 Discusión sobre la situación actual de las personas que trabajan desde casa debido al coronavirus y los riesgos que se han introducido.
00:17:01 Discusión sobre la seguridad de los dispositivos personales y la necesidad de que las empresas eduquen a sus empleados sobre cómo trabajar desde casa de manera segura.
00:18:58 Consejos de Joannes sobre cómo proteger a una empresa de decisiones erróneas por parte del personal.
00:19:31 La importancia de utilizar “sombreros blancos” (hackers legítimos) para mejorar la seguridad informática.
23:44 Reflexiones finales sobre la batalla en curso de la ciberseguridad y la necesidad de que los buenos se mantengan por delante.
Resumen
La entrevista entre Kieran Chandler, Joannes Vermorel y Richard Wilding se centra en el tema del riesgo cibernético en las cadenas de suministro. Vermorel y Wilding destacan la creciente vulnerabilidad de las cadenas de suministro debido a su mayor conectividad y enfatizan la necesidad de un enfoque más integral de la seguridad. Discuten los compromisos entre conveniencia y seguridad, la naturaleza contraintuitiva de algunas medidas de seguridad y el impacto del trabajo remoto en la ciberseguridad. La conversación enfatiza la importancia de un enfoque multifacético de la ciberseguridad, que incluye conciencia, hackers éticos y soluciones mejoradas de software y hardware. Tanto Vermorel como Wilding destacan la naturaleza continua de la batalla contra las amenazas cibernéticas y la necesidad de que individuos y empresas permanezcan vigilantes y adaptables.
Resumen Extendido
Kieran Chandler, el presentador de la entrevista, presenta a los dos invitados, Joannes Vermorel, fundador de Lokad, una empresa de software de optimización de cadenas de suministro, y Richard Wilding, Presidente (Profesor Titular) de Estrategia de Cadena de Suministro en el Centro de Logística y Gestión de la Cadena de Suministro, Cranfield School of Management UK, Innovador de Cadena de Suministro. El tema de la discusión es el riesgo cibernético en las cadenas de suministro.
Richard Wilding ofrece una visión general de su trayectoria, habiendo caído accidentalmente en el ámbito académico después de comenzar su carrera en la industria. Con experiencia en el manejo de disrupciones en las cadenas de suministro desde principios de la década de 1990, se ha convertido en profesor de estrategia de cadena de suministro. Su objetivo es convertir el conocimiento en acción, desafiando e inspirando a los líderes de la cadena de suministro a innovar y crear valor económico, social o ambiental. La Universidad de Cranfield se enfoca en capacitar a los líderes de la cadena de suministro para que innoven y creen valor en sus negocios.
Joannes Vermorel aborda el tema del riesgo cibernético y su impacto en las cadenas de suministro. Lo describe como algo contrario a la intuición y esquivo, ya que las metodologías de prueba tradicionales y las prácticas de desarrollo no logran abordar las preocupaciones de seguridad. También señala que la evolución del software empresarial en las últimas décadas ha aumentado la superficie de ataque, exponiendo más el software a los ciberataques. La migración a entornos de nube puede aumentar la seguridad, pero también proporciona más puntos de entrada para posibles atacantes.
Richard Wilding habla sobre la dificultad de asegurar las cadenas de suministro debido al deseo de apertura y conectividad entre proveedores y clientes. Esta apertura crea múltiples puntos de entrada para los ciberataques, que pueden tener efectos devastadores en los negocios. Ejemplos de posibles interrupciones incluyen ataques de denegación de servicio a sitios web, interrupciones en los sistemas de gestión de almacenes e interferencias con vehículos autónomos. Wilding enfatiza que la gravedad de los ciberataques puede aumentar cuando se dirigen a las cadenas de suministro, en lugar de a sitios web o aplicaciones individuales.
La entrevista destaca la creciente importancia del riesgo cibernético en las cadenas de suministro y los desafíos que enfrentan las empresas para abordar las preocupaciones de seguridad. Ambos invitados enfatizan la necesidad de innovación en esta área, así como la importancia de repensar los métodos tradicionales para asegurar las cadenas de suministro. Sin embargo, la discusión queda incompleta y se espera que la conversación continúe en el futuro.
La conversación destaca la creciente vulnerabilidad de las cadenas de suministro debido a su creciente conectividad, con un enfoque en los ciberataques.
Richard enfatiza que los ciberataques a las cadenas de suministro se han vuelto más frecuentes en los últimos años y que es responsabilidad de todos garantizar la seguridad. Argumenta que es esencial educar a todas las partes involucradas sobre los riesgos potenciales. Sin embargo, Joannes cree que confiar únicamente en la educación del usuario es insuficiente. En cambio, aboga por la “corrección por diseño”, donde las medidas de seguridad se incorporan a los sistemas para reducir la posibilidad de errores humanos.
Para ilustrar su punto, Joannes comparte el ejemplo del “ataque de la llave USB en el estacionamiento”, donde se deja una llave USB infectada con malware en un lugar público, aprovechando la curiosidad humana para comprometer sistemas. Contrasta esto con los enfoques de seguridad de empresas como Google, que asumen que las personas cometerán errores y diseñan sus sistemas en consecuencia.
Richard coincide en que la corrección por diseño es crucial, pero también insiste en que el error humano sigue siendo un factor importante en muchas violaciones de ciberseguridad. Cita ejemplos como la violación de datos de Target, que resultó de un ataque a un proveedor a través de correos electrónicos de phishing. Esta violación le costó a la empresa millones y ejemplifica la importancia tanto de la conciencia como del diseño del sistema para asegurar las cadenas de suministro.
Tanto Joannes como Richard coinciden en que se necesita una combinación de educación del usuario, conciencia y diseño del sistema para mejorar la seguridad de la cadena de suministro. Equilibrar la apertura para la innovación y el bloqueo del sistema es un desafío que las empresas deben enfrentar para garantizar la seguridad de su información y activos.
La conversación aborda el equilibrio entre accesibilidad y seguridad, la naturaleza contraintuitiva de algunas medidas de seguridad y el impacto del trabajo remoto debido a la pandemia de coronavirus.
La discusión destaca que las medidas de seguridad a veces pueden tener efectos contraproducentes, lo que lleva a consecuencias no deseadas. Por ejemplo, cuando las empresas implementan estrictas medidas de seguridad en las computadoras portátiles, los empleados pueden traer sus propios dispositivos, creando inadvertidamente riesgos de seguridad. De manera similar, las rotaciones frecuentes de contraseñas pueden llevar a que los empleados anoten las contraseñas, lo que las hace más vulnerables. Vermorel señala que es esencial tener en cuenta las reacciones humanas a las medidas de seguridad para evitar resultados contraproducentes.
Wilding agrega que las empresas solo deben mantener los datos necesarios y seguir regulaciones como el GDPR para evitar exponerse a riesgos innecesarios. Destaca la importancia de educar a los empleados sobre la seguridad de las contraseñas y sugiere que si bien el trabajo remoto podría aumentar la seguridad en algunos aspectos, también introduce nuevos riesgos, como enrutadores y dispositivos personales.
Vermorel expresa escepticismo sobre la educación como la solución principal para prevenir violaciones de seguridad, citando amenazas emergentes como cables USB falsificados que transmiten malware. La conversación enfatiza la necesidad de un enfoque más integral para la seguridad de la cadena de suministro, considerando el comportamiento humano y equilibrando la accesibilidad con la protección.
La conversación destaca los desafíos que enfrentan las empresas y las personas al lidiar con amenazas cibernéticas cada vez más sofisticadas.
Vermorel comparte un ejemplo de cómo un cable aparentemente inocente puede contener una microcomputadora con el potencial de comprometer sistemas. Expresa escepticismo sobre la efectividad de capacitar a las personas para prevenir ataques cibernéticos, ya que las amenazas son diversas y evolucionan constantemente. En cambio, sugiere que emplear hackers éticos para identificar vulnerabilidades en los sistemas de una empresa puede ser un enfoque más efectivo para mejorar la seguridad informática.
Wilding está de acuerdo con la importancia de emplear hackers éticos, mencionando su propia experiencia en la contratación de hackers para probar medidas de seguridad en los tableros de la empresa. También enfatiza la necesidad de evaluaciones regulares debido a la naturaleza cambiante de las amenazas cibernéticas. Wilding reconoce la existencia de software más sofisticado que puede detectar y alertar a los usuarios sobre actividades sospechosas, pero señala que las vulnerabilidades de hardware, como las memorias USB comprometidas, aún representan riesgos significativos.
Los entrevistados discuten los compromisos entre conveniencia y seguridad, y Wilding señala la importancia de establecer pautas y firewalls para limitar el potencial de ataques a gran escala. También comparte su optimismo sobre el futuro de la ciberseguridad, reconociendo que es una “batalla en curso” con mejoras constantes. Wilding cita la protección antivirus incorporada en las computadoras portátiles modernas con Windows como ejemplo de dichas mejoras, pero también destaca la necesidad de conciencia y vigilancia continua.
Tanto Vermorel como Wilding destacan la importancia de un enfoque multifacético para la ciberseguridad, que incluye conciencia, hackers éticos y soluciones de software y hardware mejoradas. Reconocen la naturaleza continua de la batalla contra las amenazas cibernéticas y enfatizan la necesidad de que individuos y empresas permanezcan vigilantes y adaptables.
Transcripción completa
Kieran Chandler: Hoy en LokadTV, nos complace contar con el profesor Richard Wilding, quien va a discutir con nosotros el tema del riesgo cibernético en las cadenas de suministro. Entonces, Richard, muchas gracias por unirte a nosotros en vivo desde el Reino Unido hoy. Tal vez para comenzar, podrías contarnos un poco sobre ti y sobre el trabajo que haces en Cranfield.
Richard Wilding: Bueno, mi experiencia comenzó en la industria y hace algunos años caí accidentalmente en el mundo académico. Nunca he logrado escapar. Pero básicamente, he dedicado mi carrera a estudiar las interrupciones en las cadenas de suministro, desde principios de los años 90. Por supuesto, las cosas que experimentábamos en ese entonces eran muy diferentes. En la década de 2000, tuvimos eventos como el 11 de septiembre, las nubes de ceniza, las crisis de combustible y la fiebre aftosa, todos los cuales afectaron el riesgo y la resiliencia de la cadena de suministro. De hecho, me convertí probablemente en uno de los primeros profesores de gestión del riesgo en la cadena de suministro en el mundo, pero ese título ha evolucionado y actualmente soy profesor de Estrategia de la Cadena de Suministro en Cranfield. Mi objetivo es convertir el conocimiento en acción, así que lo que me encanta hacer es tomar este conocimiento y crear acción en la industria. Soy el ex presidente del Chartered Institute of Logistics and Transport en el Reino Unido, que abarca todo, desde el movimiento de bienes y personas hasta todas sus cadenas de suministro asociadas. Mi enfoque está en desafiar e inspirar a los líderes de la cadena de suministro a innovar. Espero que nuestros oyentes hoy puedan llevarse algunas ideas y pensar en cómo pueden innovar para crear valor económico, social o ambiental. Eso es realmente lo que representa Cranfield, llevar el conocimiento a los líderes de la cadena de suministro, permitiéndoles innovar y crear valor en las cadenas de suministro y empresas en las que trabajan.
Kieran Chandler: Esa es una introducción brillante. Definitivamente creo que la idea de innovar es algo con lo que estamos de acuerdo aquí en LokadTV. Joannes, nuestro tema de hoy es el riesgo cibernético y su impacto en nuestras cadenas de suministro. ¿Cuál es tu visión general inicial?
Joannes Vermorel: El riesgo cibernético es una de esas cosas que es muy contraintuitiva en la práctica. Es muy difícil, por ejemplo, detectar problemas de seguridad en el software. La mayoría de las metodologías de prueba habituales no funcionan y la mayoría de las prácticas de desarrollo típicas no abordan esas preocupaciones. Es un tema esquivo. Lo que ha despertado cada vez más mi interés en la última década es que la mayoría de la duración de los software empresariales en general
Kieran Chandler: En las últimas décadas, tendemos a ver un aumento en lo que se conoce técnicamente como el área de ataque superficial del software. Tienes software que está más expuesto a ataques, especialmente cuando te mueves hacia un entorno en la nube. Los entornos en la nube son más seguros, pero tienes muchos más puntos de entrada para tu software. Además, cada vez que tienes una aplicación web, tienes clases enteras de riesgos que son muy difíciles de mitigar o prevenir por diseño en términos de posibles problemas de seguridad.
Joannes Vermorel: Kieran, mencionaste metodologías de prueba que no funcionan tan bien. Richard, si miramos las cosas desde la perspectiva de una cadena de suministro, ¿qué es lo que hace que sea tan difícil asegurarla?
Richard Wilding: Desde la perspectiva de una cadena de suministro, queremos que las cosas sean relativamente abiertas. Queremos conectarnos con nuestros proveedores y clientes, pero eso crea múltiples puntos de entrada. A menudo, los ataques ocurren en la cadena de suministro. Si quiero cerrar un negocio, un ataque de denegación de servicio a un sitio web es devastador, pero si empiezas a pensar en la devastación que podría causar la interrupción de un sistema de gestión de almacenes o de vehículos autónomos, podría ser mucho más devastador para un negocio en términos de su capacidad para continuar y resurgir en el futuro. Estamos descubriendo que algunos de los ataques reales ocurren a través, por ejemplo, de un portal de proveedores. Las personas obtienen acceso a datos o pueden suministrar información a un gran cliente, pero eso crea un punto de entrada. Si alguien pudiera hacer algo tan simple como un ataque de phishing, puede crear problemas.
Hay múltiples exposiciones, y esto es algo de lo que he estado hablando probablemente durante 18 meses ahora porque hemos visto un gran aumento en los ciberataques a las cadenas de suministro. Una cosa que es realmente interesante es a quién le corresponde detener que esto suceda. El problema es que si vas al equipo de la cadena de suministro, dirán que es responsabilidad del equipo de TI. Si vas a los equipos de TI, dirán que es responsabilidad de la cadena de suministro. Es responsabilidad de todos, por lo que debemos asegurarnos de que haya conciencia en todos para detener este tipo de cosas. Educar al negocio y hacerlos conscientes de estos desafíos es fundamental.
Kieran Chandler: Richard mencionó que las cadenas de suministro definitivamente están cada vez más conectadas. Si miras a cualquier multinacional, están expandiendo sus sistemas por todo el mundo hoy en día. ¿Dirías que la mayor conectividad es una verdadera debilidad?
Joannes Vermorel: Sí, eso es exactamente a lo que me refería cuando dije que el área de ataque superficial aumenta. Cuantas más cosas estén expuestas a terceros, más vulnerables serán. En Internet, no te conectas con una persona, por lo que si tienes un portal web, tienes un software que interactúa a través del puerto 80 a través de HTTP. Puede estar al otro lado; siempre es una máquina. La máquina puede ser operada por un humano, y puede ser operada por un humano que resulta ser el empleado en el que crees que es esta persona.
Kieran Chandler: Entonces, de hecho, gracias, pero ¿dónde te desviarías ligeramente y dónde crees que podría haber una divergencia en términos de seguridad, tal vez con la interpretación?
Joannes Vermorel: Creo que en general, la educación de los usuarios en general no es suficiente para resolver esos problemas de seguridad. Es por eso que está muy profundamente concentrado. Tiene que ser una especie de trampa de seguridad, y ahí es donde realmente necesitas tener un enfoque específico de corrección por diseño. No puedes esperar que las personas no hagan clic en archivos adjuntos o lo que sea. Si esperas que las personas se adhieran a la regla para algo en lo que están a solo un clic de un desastre, lo harán. Entonces, por ejemplo, uno de los ataques simples se llama ataque de llave USB en el estacionamiento. Simplemente dejas caer una llave USB con malware en el estacionamiento y escribes “Bitcoin stash” encima de ella. Puedes estar seguro de que habrá alguien que realmente probará la llave, conectándola a la computadora. Si confías en que las personas deben estar educadas, quiero decir, son humanas. Incluso si son bastante inteligentes, pueden tener falta de sueño y a veces tienen un lapsus de juicio. Simplemente sucede. Entonces, si confías en que las personas sean inteligentes, alertas y educadas, no funciona. Y es muy divertido porque cuando ves cómo se hace la seguridad en las empresas, como Google, adoptan el enfoque opuesto. Un enfoque que se ha aplicado más en otras áreas como la industria nuclear, donde asumes, por el contrario, que las personas van a ser tontas. Cuando piensas que van a hacer algo súper tonto, piensas, ¿pueden hacer algo que sea aún peor que eso? Pero hay muchas otras ideas similares, que son prácticamente por diseño.
Kieran Chandler: Ok, Joannes mencionó esa idea de la corrección por diseño, Richard. ¿Cuáles son los métodos que podemos introducir para asegurarnos de que nuestros sistemas sean muy seguros?
Richard Wilding: Creo que es algo interesante, y creo que tenemos que tener la corrección por diseño. No hay duda al respecto. Pero si estás mirando la vieja regla del 80-20 de las causas de muchos de los problemas, lamentablemente, son las personas. Y es interesante notar que Google Australia fue hackeado por algunos hacktivistas solo para demostrar que podían hacerlo. Y la forma en que accedieron fue a través del sistema de control de edificios del nuevo y bonito edificio de Google en Australia. Fue hackeado. Si miras algunas de las interrupciones realmente grandes en los negocios, como Target en Estados Unidos, que todavía sigue con todo tipo de demandas colectivas y demás, eso fue bastante interesante. Cuarenta millones de credenciales de tarjetas de pago y setenta millones de registros de clientes fueron recolectados, y la forma en que ocurrió fue a través del sistema de control de calefacción y ventilación. Un proveedor fue objetivo de correos electrónicos de phishing. Luego pudieron ingresar a esa parte del negocio y simplemente se dedicaron a recolectar cosas, descubrieron la red de puntos de venta y luego simplemente se sentaron allí tomando la información.
Kieran Chandler: Esto es realmente importante porque hasta ahora, el combustible les ha costado, aunque no lo creas, 162 millones. Esa es una interrupción en particular que ha ocurrido. Pero creo que lo más importante aquí es poder concientizar a las personas sobre estas cosas, conscientes de sus responsabilidades. Pero luego también tienes el lado del diseño. El problema es que necesitas cierto nivel de apertura.
Richard Wilding: Bien, así que si solo pienso en mi computadora portátil, la universidad puede bloquearla para que no pueda hacer nada con ella, y no es muy divertido. Tuvimos esto hace unos años, donde era como “Esto es corporativo. Nadie puede entrar en LinkedIn, nadie puede entrar en YouTube, nadie puede entrar en esto o aquello”. Pero el problema es, volviendo a la innovación, la innovación consiste en tomar ideas que son nuevas para ti y crear valor. Si de repente bloqueas tus sistemas porque podrían permitir que las personas accedan a cosas que no deberían o debiliten nuestra infraestructura y todo lo demás, eso puede tener otro efecto. Entonces, con el “vamos a tener un apagón de redes sociales dentro de nuestra empresa”, lo que eso ha resultado en realidad es un apagón de innovación, también podrías argumentar. Porque ahora muchas de las innovaciones y las buenas ideas se comparten efectivamente a través de estos canales. Así que tienes que tener mucho cuidado con esto, y creo que es una de esas cosas en las que hay que encontrar un equilibrio entre la accesibilidad y la seguridad, pero asegurándote, por diseño, de que si las cosas salen mal, las detectes rápidamente.
Kieran Chandler: Ok, ¿quieres intervenir aquí, Joannes?
Joannes Vermorel: Sí, quiero dar un ejemplo, cuando decía que es contraintuitivo, creo que la idea de bloquear es un ejemplo perfecto de eso. Si tienes una seguridad muy estricta para las computadoras portátiles donde la empresa solo puede instalar el software que ha sido aprobado y solo puedes visitar los sitios web que han sido aprobados, ¿qué sucede en la práctica? Las personas traen sus propios dispositivos, compran sus propias computadoras portátiles. Entonces, mientras en teoría pensabas que estabas creando seguridad, no lo estás haciendo, simplemente porque las personas van a reaccionar y hacer algo más por su cuenta. Y lo mismo ocurre con las contraseñas, por ejemplo. Ha habido estudios, incluso publicados por la NSA en Estados Unidos, que mostraron que las rotaciones de contraseñas son perjudiciales. Si rotas las contraseñas con frecuencia, lo que hacen las personas es poner notas adhesivas en sus escritorios con la contraseña de la semana. Entonces, terminas con oficinas enteras donde la contraseña de todos está en el escritorio de todos en una nota adhesiva.
Es por eso que digo que es muy contraintuitivo, y no es solo un equilibrio. De hecho, con frecuencia puedes empujar a las personas a hacer cosas que son aún menos seguras. Y nuevamente, creo que la industria nuclear tiene muchos buenos ejemplos de eso. Si sobrecargas a las personas con demasiado equipo de protección, en algún momento durante el verano, hace demasiado calor, por lo que se deshacen de todo simplemente porque no pueden soportar el calor de todas las cosas que tienen que llevar, y así terminan sin ningún equipo de protección, lo cual es muy tonto. Por eso la seguridad es tan complicada. Es porque necesitas pensar en cómo reaccionarán los humanos, y es como un bucle de retroalimentación completamente recursivo.
Kieran Chandler: Piénsalo, hay algunos datos que no deberías recopilar durante ningún período de tiempo, tal vez una semana y deshacerte de ellos.
Richard Wilding: Creo que lo interesante de Target, por supuesto, fue que no estaban almacenando los datos. Solo estaban pasando por sus sistemas. Si estás realizando una transacción con tarjeta de crédito, tiene que pasar por Internet al banco. Si puedes sentarte allí y interceptar esa transmisión, que es efectivamente lo que estaba sucediendo, entonces puedes hacer este tipo de cosas. Pero creo que es realmente importante, si piensas en el GDPR y la protección de datos, mantener solo lo que realmente se necesita. ¿Cuál es el punto de tener todo este montón de datos? Algunas empresas ahora, con inteligencia artificial, creen que deberían mantener todos estos datos porque podrían ser capaces de hacer algo útil con ellos en el futuro. Bueno, eso es un poco como si guardara cada correo electrónico que he escrito en mi vida. ¿Alguna vez haré algo útil con eso en el futuro? Tenemos que pensarlo detenidamente.
Me encanta esta pequeña cita cuando hablo con la gente sobre las contraseñas: “Las contraseñas son como la ropa interior. No quieres que la gente las vea, cámbialas a menudo y no las compartas con extraños”. Pero al mismo tiempo, debes asegurarte de poder recordar estas cosas también, por eso necesitas otros enfoques.
Kieran Chandler: Richard, hablemos un poco sobre la situación actual con cada vez más personas trabajando desde casa debido al coronavirus. Presumiblemente, esto ha introducido mucho más riesgo. ¿Qué puede hacer una empresa, tal vez alguien que esté viendo esto, para protegerse?
Richard Wilding: Bueno, recomendaría que cuando estés trabajando en casa, hasta cierto punto, podría ser más seguro porque si hay contraseñas dejadas por todas partes en mi escritorio, lo cual no es así, hay menos personas que van a estar pasando por aquí. Entonces, hay algunos elementos que se podrían argumentar que hacen que el trabajo remoto sea ligeramente más seguro. Pero al mismo tiempo, ahora estamos usando los propios dispositivos de todos, que es un punto que se mencionó anteriormente, y también necesitamos poder lidiar con eso. También es importante reconocer que estamos utilizando nuestros propios enrutadores personales, conexiones a Internet, redes Wi-Fi y todo lo demás. Entonces, ¿qué tan seguro es eso? Creo que las empresas necesitan comenzar a educar a sus empleados sobre el trabajo desde casa y utilizar recursos como Cyber Essentials para ayudarlos a guiarlos en términos de lo que están haciendo.
Kieran Chandler: Joannes, ¿cuál es tu consejo para alguien que está viendo esto? Desde tu experiencia, ¿cómo proteges a una empresa de personal, como yo, que podría tomar malas decisiones?
Joannes Vermorel: Realmente no creo en la ruta de la educación, o tal vez de una manera muy específica. Solo para darte una idea de las amenazas emergentes que vemos hoy en día, hay toneladas de falsificaciones en Amazon, e incluso para cosas…
Kieran Chandler: Entonces, Richard, empecemos contigo. Estamos escuchando mucho sobre el cambio hacia el trabajo remoto, especialmente en el contexto de la pandemia. ¿Cuáles son algunas de las mayores preocupaciones que tienes en cuanto a la seguridad informática en el entorno de trabajo remoto?
Richard Wilding: Bueno, creo que hay una amplia gama de preocupaciones en cuanto a la seguridad informática cuando se trata del trabajo remoto. Una cosa que las personas pueden no pensar necesariamente es lo básicas que pueden ser algunas de estas preocupaciones. Por ejemplo, algo tan básico como los cables USB, que todos usamos todos los días, en realidad pueden transmitir malware a tu computadora. Con el avance de la informática, ahora es posible tener una microcomputadora dentro de un cable. Y ese es solo un ejemplo de las cosas que pueden suceder con adaptadores y otros dispositivos similares. Entonces, la conclusión es que puedes tener algo tan poderoso como una computadora de hace 20 años dentro de un cable que se ve como un cable normal. E incluso puede tener una marca en la que confías, pero lo que estás comprando en realidad podría ser una falsificación. Y Amazon ha tenido algunos problemas con esto.
Joannes Vermorel: Si me permites agregar algo, Kieran, soy muy escéptico de que la capacitación por sí sola marque alguna diferencia en cuanto a la seguridad informática. Los problemas son tan generalizados y diversos que no creo que puedas confiar en que las personas siempre se comporten de cierta manera. Pero sí creo que el trabajo remoto tiene una ventaja positiva que las personas podrían no pensar, que es que hace que el trabajo remoto sea más aceptable. Y en mi experiencia, la forma más positiva de mejorar la seguridad informática es utilizando sombreros blancos, es decir, hackers que ofrecen sus servicios de forma remota para encontrar vulnerabilidades en la seguridad de tu empresa. Es extraño, pero la seguridad es un área tan extraña que incluso cuando esperas que las personas se comporten de cierta manera, es muy posible que no lo hagan. Por ejemplo, alguien podría hacerse pasar por soporte técnico y llamarte para obtener acceso a tu computadora.
Richard Wilding: Sí, Joannes, estoy completamente de acuerdo contigo. De hecho, en mi papel en los consejos de administración, hemos contratado a personas así, generalmente antiguos hackers que han estado en prisión y ahora trabajan con organizaciones para encontrar vulnerabilidades en su seguridad. Es importante hacer esto regularmente porque los métodos de ataque están cambiando constantemente. Y también es importante que las personas sepan qué hacer cuando ocurre un ataque. Ahora hay software más sofisticado que puede detectar cambios en los archivos o en partes del código que se están reescribiendo, pero también debemos pensar en el enfoque de hardware. Por ejemplo, en algunos entornos no se permiten las memorias USB, como el campus militar de Cranfield donde trabajo.
Kieran Chandler: Eso es realmente interesante. Entonces, Richard, ¿puedes contarnos un poco más sobre los enfoques de software que se están utilizando ahora para detectar ataques cibernéticos?
Richard Wilding: Sí, ahora hay enfoques de software más sofisticados que pueden detectar cuando se están cambiando archivos o se está reescribiendo código. Pueden generar alertas sobre estos cambios y ayudar a prevenir ataques antes de que ocurran. Pero, como dije antes, también debemos pensar en el enfoque de hardware. Necesitamos tener pautas establecidas sobre cosas básicas como las memorias USB y los cables, y necesitamos emplear regularmente a expertos en seguridad para encontrar vulnerabilidades en nuestra seguridad.
Kieran Chandler: Entonces, Joannes, Richard, hemos hablado mucho sobre las vulnerabilidades y los riesgos asociados con la ciberseguridad, pero ¿cuáles son algunas de las formas en que podemos protegernos?
Joannes Vermorel: Bueno, creo que lo primero que debemos entender es que la ciberseguridad no es absoluta. Es un equilibrio entre seguridad y conveniencia. Por ejemplo, si tienes un sistema muy seguro, puede ser muy incómodo de usar, y si es muy conveniente, puede que no sea muy seguro. Entonces, necesitamos encontrar un equilibrio entre esas dos cosas.
Richard Wilding: Sí, y creo que otro punto importante es que necesitamos tener algún tipo de firewall para limitar lo que sucede dentro de nuestros sistemas. No queremos un megaataque, así que necesitamos poder detectar y detener la propagación de malware.
Kieran Chandler: Eso es un buen punto. Entonces, centrémonos en los aspectos positivos por un momento. La ciberseguridad ha avanzado mucho en las últimas décadas. ¿Crees que seguirá mejorando y que seremos más seguros que nunca algún día?
Richard Wilding: Creo que es una batalla continua, para ser honesto. La ciberseguridad es un juego en constante movimiento. Sin embargo, creo que las cosas están mejorando. Por ejemplo, si compras una computadora portátil con Windows hoy en día, viene con Windows 10, que tiene una protección antivirus bastante decente que hace parte del trabajo de forma gratuita. Entonces, estamos empezando a ver que la ciberseguridad se está convirtiendo en parte del paquete.
Joannes Vermorel: Sí, pero también necesitamos crear conciencia en todos. Las personas necesitan saber que incluso una memoria USB o un cable pueden causar estragos. Esa es la naturaleza de lo que está sucediendo. Pero, si las personas son conscientes de esto, pueden pensarlo dos veces antes de hacer algunas de estas cosas.
Kieran Chandler: Entonces, es una combinación de crear conciencia y tener sistemas en su lugar que puedan detectar y detener la propagación de malware. Bueno, tendremos que terminar aquí, pero gracias a ambos por su tiempo. Eso es todo por esta semana. Muchas gracias por sintonizar y nos vemos en el próximo episodio. Gracias por ver.
