Estoy muy orgullosa de haber tenido el privilegio de asistir y participar en el Global Cyber Forum de NACD. Realmente disfruté la oportunidad de hablar sobre cómo pensar en la seguridad en la frontera tecnológica junto a mis estimados co-panelistas, @Richard Spearman y @Matthias Bossardt.
Si bien la tecnología siempre ha estado en el centro de la seguridad, parece que la frontera tecnológica se ha acercado recientemente a nuestro corazón. Mis estudios de posgrado se centraron en el cifrado (específicamente, la infraestructura de cifrado que subyace al comercio electrónico moderno), una tecnología de seguridad fundamental para una transformación digital basada en datos.
Pensé que podría ser valioso compartir mis puntos de vista sobre este tema y enmarcar algunos de los temas y preguntas clave que compartí con la NACD.
En primer lugar, es importante pensar deliberadamente en los objetivos estratégicos que se pretende lograr con la adopción de una determinada tecnología. Para tomar un ejemplo del que se habla con frecuencia, AI/ML es un objeto brillante para muchas organizaciones: el sector financiero comenzó a aprovechar el aprendizaje automático para prevenir el fraude de pagos desde la década de 1990, pero el primer paso para ejecutar cualquier tipo de análisis avanzado (incluyendo AI) está poniendo en orden nuestra “casa de datos”.
En segundo lugar, la decisión de adoptar una tecnología no debe ser independiente a las consideraciones de seguridad. Muchas de las nuevas tecnologías que las empresas buscan adoptar dependen del poder desarrollar una mayor confianza con los consumidores para aprovechar productivamente sus datos. La decisión de relajar o subordinar las preocupaciones de seguridad para acelerar la adopción de nuevas tecnologías eventualmente sería contraproducente.
En tercer lugar, las decisiones de las salas de juntas sobre la ciberseguridad a menudo se enmarcan como una compensación entre la seguridad y la innovación, con una mayor seguridad a costa de la innovación (y viceversa). En algunos casos, esta es una elección explícita, mientras que en otros está implícita en las compensaciones creadas por un presupuesto limitado de TI, donde la seguridad a menudo se trata como un subconjunto dentro de la tecnología de la información. Quizás estoy sesgada por la experiencia, pero a mi parecer, la compensación seguridad-innovación es una compensación a corto plazo. La seguridad defiende e incluso permite la innovación. La seguridad ayuda a proteger la propiedad intelectual que es cada vez más valiosa, así como los activos intangibles que son cada vez más importante: los atributos específicos e individuales proporcionados por el usuario y los clientes que forman la base de análisis avanzados y personalizados.
Finalmente, debido a que adoptar la seguridad requiere de juicios a través de dominios funcionales y límites organizacionales, los líderes deben impulsar la seguridad como una pregunta fundamental.
Uno de mis ejemplos favoritos de los líderes que defienden la seguridad, incluso cuando adoptan la tecnología, proviene del éxito de Amazon en el mercado del Internet de las Cosas (IoT) y, específicamente, el ahora omnipresente altavoz inteligente “Echo”.
Jeff Bezos es el hombre más rico del mundo, y posiblemente el encargado de supervisar la cartera de proyectos más compleja del mundo (la cual va desde proporcionar infraestructura informática en la tierra hasta construir infraestructura en el espacio, sin mencionar un negocio de periódicos con ingresos crecientes). Y, sin embargo, ha forjado el ancho de banda intelectual y la intencionalidad para comprender los controles de seguridad de los altavoces inteligentes producidos por Amazon:
Hemos hecho algo un poco inusual con “Echo”. No sería muy diferente a su teléfono, pero fuimos un paso más allá de lo que se hace en un teléfono. Cuando presiona el botón de silencio en “Echo”, se enciende ese anillo rojo que dice que el micrófono está apagado. Ese botón de silencio está conectado al micrófono con electrónica analógica. Tienes que venir a manipular físicamente el dispositivo. No podrías hacerlo con un virus informático.
– Jeff Bezos, Cumbre de Vanity Fair, 2016
Sin duda, los controles analógicos, que han sido verificados y probados en numerosos desmontajes, probablemente tuvieron el costo de cierta comodidad del usuario para el control remoto. Dicho esto, es probable que la cautela y la deferencia a la seguridad con la que Amazon (y sus líderes) se han acercado a la seguridad sean, al menos en parte, responsables de la velocidad a la que los clientes han estado dispuestos a adoptar y comprometer sus productos.
Los eventos recientes también han reivindicado ese enfoque y resaltado los riesgos asociados con “moverse rápido y romper cosas”. A la luz de las revelaciones sobre el tratamiento descuidado de los datos de los usuarios y la desconfianza posterior, Facebook se vio obligado a retrasar el lanzamiento de una nueva línea competidora de altavoces inteligentes.
Para citar entre paréntesis a mi colega @Ralf Dreischmeier, “la innovación sin ciberseguridad es un tren descarrilado esperando a suceder”.