La amenaza interna y la seguridad placebo

Sí a las personas, no se les facilitan herramientas y se fomenta su cualificación, el problema no es de las personas sino de las organizaciones para las que trabajan.

¿Qué es la amenaza interna y la seguridad placebo?

Identificamos la amenaza interna con las acciones de las personas que están dentro del sistema, con el abuso de confianza y el uso indebido. Pero también son nuestra falta de procedimientos efectivos, estrategias de desmotivación de empleados, la no formación continuada y los diseños de proyectos de seguridad.

La amenaza interna es «Todo» lo que está de nuestra mano.

Mientras que la seguridad placebo es toda aquella seguridad que pagamos y no tenemos.

Un nuevo mapamundi de la seguridad para las sociedades inteligentes

Este nuevo mapamundi, quizás evitaría la amenaza interna o al menos la reduciría considerablemente.

La buena noticia es que la solución está en nuestras manos y en nuestra mente. Que buena noticia sería que las mesas de contratación y adjudicación, ponderaran estos valores y no solo los actuales obsoletos (elaborados en los ochenta) referidos a «puntos técnicos», precio, plazo de entrega, estructura empresarial …

 

Se sigue diseñando la seguridad pensando en el control de las personas mediante la tecnología «big error».  

«Yo pienso que son las personas las que ayudan a las medidas técnicas a ser efectivas con proyectos efectivos y no es la tecnología la que ayuda a las personas a controlarse.

Son la consciencia, mentalidad actitudinal y probidad, las que construyen la seguridad, aunque sin duda que la tecnología ayuda, pero siempre y cuando se enfoque a la usabilidad y no al control por el control.

La estadística nos dice que las medidas de seguridad existen desde hace décadas, que cada vez gastamos más dinero y que seguimos con problemas. Esto evidencia que el enfoque no es el adecuado, que falta diseño, consciencia y método. Falta inteligencia y estrategia. Y sobra tozudez.

Considero que debe existir una conexión de impacto positivo entre la persona y la tecnología, y por esta razón valoro en alta medida la usabilidad del sistema y la capacidad junto a la disposición del usuario para usuarlo. Lo considero así porque parto de la premisa de que «el sistema más seguro es aquel que más se usa y viceversa«.

Ya se habla de construir sociedades inteligentes antes que ciudades inteligentes y yo me pregunto, 

¿Por qué no comenzar a pensar en la seguridad por conocimiento y en la seguridad por diseño?

El principal riesgo de inseguridad lo generan «Las Personas»

Acompañando a términos como consciencia, mentalidad actitudinal, resilencia e impacto, emerge con fuerza la palabra Probidad, que engloba la moralidad, integridad y honradez de las acciones.

Pensemos que ninguno de estos términos se fomentan con la «tecnología del control».

Cuando hablamos de que el mayor riesgo lo generan las personas que están dentro del sistema, aparecen los que nos dicen que la Inteligencia Artificial (IA) solventará estos problemas (aunque no lo pueden asegurar).

Y no lo pueden asegurar porque aunque las versiones avanzadas del IA puedan resolver el cansancio, criterio, probidad, la analítica real, forense y predictiva y no sé cuantas miles de cosas más según sus actuales argumentaciones, seguirán sin resolver la gestión de la incertidumbre, gestión de errores y riesgos, perspectiva, la compresión, flexibilidad, improvisación, visión conjunta, el propósito, la divergencia y la creatividad.

Y sin estas últimas, la seguridad será menos segura.

¿Por qué no hay usabilidad en los sistemas de seguridad?

La usabilidad hace referencia a la facilidad con que un usuario puede utilizar una herramienta fabricada por otras personas con el fin de alcanzar un cierto objetivo.  Así pues, se consiguen altos ratios de usabilidad cuando el diseñador piensa en el usuario.

En los proyectos de seguridad ¿Cuándo se piensa en el usuario, si casi nunca se conoce ni se entrevista?

Nos hemos preguntado ¿Cómo la usabilidad mejora la seguridad?

¿Por qué no hay Inteligencia en los proyectos de edificación?

Otro «big error».

La inteligencia es información específicamente preparada para tomar decisiones.

Es evidente que cuando diseñamos un edificio, su entorno e infraestructura, tenemos que tomar decisiones, pero durante este proceso ¿tomamos las más oportunas?

¿Cómo podemos hacerlo si no usamos técnicas de inteligencia y solo aplicamos características técnicas de productos verticales?

Inteligencia: ¿Qué sabes del pasado y qué esperas que suceda en el futuro?

Los que son responsables del diseño, necesitan esta información pero no saben como pedirla ni a quién solicitarla.

Pongamos un ejemplo diseñando un nuevo edificio: El estudio de arquitectura necesita información de seguridad que afecte al diseño pero seguramente le sea muy difícil pedirla porque no puede hacer la petición de forma genérica puesto que la inteligencia requiere especificación.

¿Y a quién se lo puede preguntar? El estudio de arquitectura debe conocer desde el proyecto básico, a qué y quién se enfrenta el edificio, en qué partes del edificio se enfrenta y cuándo va a suceder. Esto es inteligencia aplicada al diseño y el arquitecto está obligado a considerarlo pero antes debe conocerlo y comprenderlo.

Esto es anticipación y efectividad porque la inteligencia es profundamente anticipativa.

 

Cómo afecta al Centro Nacional de Protección de Infraestructuras Críticas CNPIC

Pues bastante, por lo visto en el último Congreso del pasado 28 noviembre 2019. Mi enhorabuena a la Fundación Borredá por su iniciativa y resilencia de este evento.

Algunas reflexiones que extraigo, que mi juicio me parecen muy interesantes y que evidencian que los directores de seguridad tienen mayor consciencia de seguridad que las propias instituciones y sus respectivos CEO´s pero menores recursos en sus manos. Pinta mal.

LAS PERSONAS son el foco:

• Todo depende del contexto y estamos en un mundo Poliedrico.
• La amenaza interna es más difícil de combatir que la amenaza externa.
• Tremendo riesgo en el no control de los empleados de los contratistas externos.
• Necesitamos un cambio en la Formación + Concienciación + Prácticas.
• Tenemos que atacarnos a nosotros mismos para probar nuestra seguridad (concepto «intruder»).

Todo esto, que no es baladí, sin incluir el otro gran problema que tienen los directores de seguridad y que no es otro que el despropósito de normas de obligado cumplimiento que se contradicen unas a otras. Como paradigma de esta confrontación legislativa, pensemos en las normativas que obligan a SEGURIDAD y las que obligan a TRANSPARENCIA.

___

Notable a la mesa redonda de directores de seguridad, suspenso a los panelistas. Ningún panelista presentó propuesta alguna sobre la capacitación o la neuroseguridad, solo presentaron proyectos de tecnología, es decir, «más cacharros», que seguramente no serán ni baratos ni amigables.

Tampoco presentaron ideas para gestionar y monitorizar el procedimiento interno, ergo, subyace que se sigue pensando en la seguridad basada en la tecnología del control y se olvida la seguridad por conocimiento y seguridad por diseño.

___

GAP en Ciberseguridad y la amenaza interna.

Las amenazas y escenarios son cambiantes y aprovechan errores y fallas tanto en la tecnología como en el humano. Las PIC siempre pierden porque acumulan tecnología pero no saben utilizarla, ni tampoco fomentan la consciencia del empleado.

Desde CNPIC, se identifica al factor humano como el principal punto de acceso de los ciberataques pero tampoco proponen soluciones ni desbloquean las confrontaciones entre leyes y administraciones.

Quizás es una cuestión de equilibrio de poderes.

Hasta ahora mandaba la Tecnología y sus empresas asociadas, pero su oportunidad ha pasado dejando una sangría de deudas e inefectividades. Ahora es el tiempo de las personas; del Conocimiento y del Diseño.

___

Habrá que enviar «al rincón de pensar» a los que mandan.

 

El cortafuegos natural contra el ciberataque

La seguridad física regresa para ser el cortafuegos.

España es un país ciertamente inestable en sus comunicaciones y esto es un handicap. También tenemos una profunda desconfianza en ceder nuestros datos a las administraciones para que pudieran realizar investigaciones ciber para el pre-delito. Y también sufrimos con las ya consabidas confrontaciones entre normativas y leyes a cumplir.

Todo esto ya lo sabemos y ahora es tiempo de ponernos a la tarea de las soluciones.

Se piensa que en pocos años y gracias a la tecnología, se taponarán los accesos no autorizados en remoto pero lo que ahora preocupa es que los activos no tienen seguridad física y por lo tanto se podrá luchar contra el sabotaje en remoto (intrusos) pero no así contra el sabotaje «in house».

Así pues, la seguridad física y un cierto grado de descentralización se convertirán en el perfecto cortafuegos contra el ataque en remoto, obligando al agresor al desplazamiento y notoriedad o a estar ya dentro del edificio en cuestión.

Con la seguridad física vuelve a tener protagonismo la arquitectura y el diseño como defensores de la seguridad. También puertas, cerraduras y todo tipo de sistemas autónomos o semi conectados, que permitan la llamada Retención Activa: resistencia, detección y control.

 

Ah! y otra cosa muy importante; en seguridad debe existir el «responsable único». Así que vayamos pensando en diseñadores de proyectos transversales y gestores con capacitación transversal en lugar de los actuales proyectos y gestores verticales.

___

En seguridad privada parece que «mucho lerele y poco larala».

___

Saludos Cordiales,

JM Ángel Olleros.