Si se quiere convencer a un consejo de administración para invertir correctamente en ciberseguridad, se debe empezar por dejar clichés hollywoodenses para exponer la situación. Hackers, hackers, hackers, en todos lados.

Hurtando millones de dólares de bancos en todo el mundo, mientras hablamos. Están robando millones de contraseñas y vendiéndolas en la darknet.

Dejemos de llamarlos hackers y empecemos a llamarlos por su nombre: cibercriminales. Para muchos, un hacker se ha convertido en un personaje salido de las películas.

Un imparable adversario tecnológico y maestro Kung Fu, el cual puede volar, detiene las balas solo con la mente, y gana instantáneamente acceso a cualquier sistema en el mundo, no importando que tan buena seguridad tengamos, o que tan seguros sean nuestros candados.

Esto nos remonta a 1983 con la película War Games, donde Matthew Broderick caracterizaba a David, el cual por error hackeó NORAD, pensando que había ingresado a un juego de computadora de una compañía.

¿Por qué no pudo sólo jugar un buen juego de ajedrez en lugar de comenzar una guerra termonuclear?, en la película supuestamente intimidó al presidente Ronald Reagan para que para que le preguntara al general John W. Vessey Jr., presidente de la Junta de Jefes de Estado Mayor, si algo similar podría realmente suceder.

La respuesta inmediata, con toda seguridad es que si, resultando en una decisión crítica en materia de seguridad nacional, NSDD-145 nombrada “Política Nacional en telecomunicaciones y seguridad en sistemas automatizados de información”. Sólo podemos esperar que la próxima cosa que hayan hecho, es cambiar la contraseña de administrador en el W.O.P.R. a algo más que sólo Joshua o al menos, habilitar una autenticación de dos factores.

Mientras esto fue ciertamente un caso de estudio donde Hollywood ayudó a motivar este miedo irracional y a magnificar de manera fantasiosa la imagen de los cibercriminales y una duda en el presidente para tomar acción en desarrollar e implementar una política de ciberseguridad, desafortunadamente se convirtió en el modelo de comunicación de riesgos a los ejecutivos.

¿Qué es lo que debemos dejar de hacer?

#1 Dejemos de usar encabezados sensacionalistas en las presentaciones

Quitemos los encabezados amarillistas de nuestras presentaciones. Este tipo de acciones se han convertido en un fastidioso cliché y no sólo no sirven para protegernos de los cibercriminales, sino que distorsiona el mensaje que debemos comunicar.

Es mucho mejor usar el sensacionalismo para plantear escenarios de prueba en situaciones reales. Como parte de las reuniones con la junta de administración, estrategia de control de riesgos o ejercicios de entrenamiento para el equipo de seguridad, tome un par de estas historias de la vida real y analícelas parte por parte. Imagine que el escenario exacto en el artículo de noticias ha sucedido a su organización, extrapole los diferentes roles para abordar la situación.

En cada nivel de la organización, hay muchas lecciones que se pueden aprender de este enfoque. No sólo ayuda a fundamentar la discusión del problema en la realidad, sino que también involucra a los participantes en ayudar a encontrar soluciones y entrena a sus equipos en un proceso que se puede utilizar para hacer frente a una violación real.

De esta manera, la próxima vez que necesite actualizar esos cortafuegos, el equipo de liderazgo ejecutivo y el consejo tendrán una comprensión mucho más relevante y el contexto de la situación y probablemente será capaz de aplicar una gobernanza más efectiva en el proceso de toma de decisiones.

#2 Dejemos de usar elementos visuales alusivos a los hackers

Existen elementos visuales que no recomiendo utilizar para comunicar riesgos en materia informática, como la imagen del tipo con gafas oscuras y capucha que parece un vulgar ladrón corriendo con una laptop bajo el brazo… no hay nada más patético e inútil.

En lugar de imágenes malas de Internet, es mejor que llegue al punto y utilice datos reales específicos de su organización que soporten su caso de negocio o su solicitud de cambio de política en representaciones de tipo infografía. Menos palabras en cada página que permiten que las imágenes ayuden a contar la historia.

#3 Dejemos de usar tanta jerga

El CPA de la placa no puede relacionarse con un APT que ha aprovechado las credenciales de usuario privilegiadas para instalar kits raíz en múltiples puntos finales y ha pasado por alto nuestro IPS mediante el cifrado de comandos y mensajes de control.

Sin embargo, puede relacionarse con el mensaje de que necesitamos gastar $100.000 en una cosa llamada firewall porque los criminales sólo trataron de robar $20 millones de dólares de datos de tarjetas de crédito de los clientes que también exponen a la compañía al riesgo de violación de cumplimiento PCI Multas y posibles acciones colectivas en decenas de millones.

#4 Deje de usar el miedo

Empiece a usar la razón Si un CFO proponía un nuevo programa para disuadir el fraude y el robo de identidad que está costando a la compañía millones de dólares en ingresos perdidos y erosionando la confianza de los clientes, no lanzaría un montón de imágenes y citas de Ocean's Eleven o The Italian Job para condimentar su presentación del tablero.

Por lo tanto, ¿por qué debemos intentar en TI tratar de caracterizar nuestros desafíos en el contexto de películas y personajes ficticios?

Este artículo fue escrito por Kevin Magee, director de ventas regional para Gigamon en Canadá.