Site icon Sophos News

Presentamos la Ciberseriedad: un manifiesto por la calidad, el respeto, la integridad y la utilidad en infoseguridad

CQ

Los profesionales de la ciberseguridad somos escépticos por naturaleza. Nuestro trabajo consiste en tomar todas las cosas que hacen que la sociedad moderna funcione tecnológicamente, ciberatacarlas y demostrarte que el mundo no es tan seguro, privado y protegido como pensabas. A continuación, ideamos formas de protegerte contra las personas que utilizan maliciosamente las mismas habilidades y curiosidad para cometer delitos y poner en peligro la confidencialidad, integridad y disponibilidad (CIA) de nuestros sistemas y datos.

La mayoría de nosotros estamos familiarizados con el cociente intelectual (CI) y muchos incluso con el cociente de inteligencia emocional (CE), que pretenden medir dichos atributos. En Sophos creemos que es crucial que evaluemos nuestro trabajo también por su valor, así que creamos, y durante años hemos aplicado, nuestra propia evaluación para garantizar que la calidad, el respeto, la integridad y la utilidad de la investigación y los productos que elaboramos cumplen los estándares más elevados: lo llamamos cociente de ciberseguridad (Cyberseriousness Quotient).

Este artículo es una introducción al concepto de CQ, los factores que el CQ equilibra en el día a día de Sophos, y algunos ejemplos (¿hipotéticos?) de Qué No Hacer. En las próximas semanas, entraremos en los detalles: cómo evaluamos la CQ en nuestros proyectos, y cómo nos funciona priorizar la CQ (incluso cuando crea pasos adicionales).

Conceptualizar la CQ: tres categorías

Acuñada hace varios años por Joe Levy, presidente de Sophos Technology Group, la CQ es una evaluación cualitativa para asegurarnos de que nuestros clientes, el público en general y los investigadores pueden contar con los mejores contenidos y productos posibles cuando proceden de Sophos.

Al igual que la seguridad es un viaje, no un destino, la CQ es algo que vivimos. Es el comienzo de cada proyecto en el que trabajamos. Los cambios deben medirse en función de si aumentan la CQ del proyecto, mostrando en última instancia a nuestros clientes que su seguridad, nuestro conocimiento del riesgo cibernético y la protección eficaz de los datos están siempre son siempre una prioridad para nosotros.

Todos tenemos muchas exigencias que compiten entre sí, pero es manteniendo en equilibrio estos objetivos, a menudo contradictorios, como mejoramos nuestras vidas y las de los demás. Para existir e investigar debemos ganar dinero para contratar a las personas que hagan las cosas que aportan valor al mundo. Sé que si quiero seguir en Sophos mi pasión por la investigación impactante, también tengo que asegurarme de que tiene valor y contribuye a la seguridad y productividad de mis clientes, lo que al final garantizará que se paguen las facturas que cubren mi investigación.

Si, por el contrario, dejamos que las necesidades del negocio pesen más que las necesidades de nuestros clientes, acabamos en territorio peligroso. Todos los días se publican historias e investigaciones de quienes pretenden convertir algo en un gran problema que solo ellos pueden ayudarte a resolver. Este comportamiento es tan frecuente que un destacado periodista de ciberseguridad, Patrick Gray, ha recurrido a llamar a los vendedores de ciberseguridad “Snake Oilers“. Este comportamiento no hace ningún bien a nadie y, de hecho, a menudo hace que las organizaciones centren su energía en cosas que son un fogonazo sensacionalista, incluso mientras sufren filtraciones de datos de alguien que utiliza las cosas aburridas para comprometerlas.

Para la investigación en particular, hay un tercer aspecto de la CQ. A menudo, la investigación más interesante es el resultado de lo que llamaré la “búsqueda intelectual de la felicidad”. La curiosidad nos llevará por muchos caminos alegres, y la alegría de desentrañar un complicado misterio de seguridad es lo que impulsa gran parte de nuestro mejor trabajo. Para obtener los resultados más impactantes de nuestro trabajo necesitamos libertad para perseguir estas curiosidades y compartir nuestros hallazgos con nuestros compañeros. Este trabajo es a menudo el CQ más elevado de todos.

La CQ es una prueba a la que se somete nuestro trabajo publicado, desde los resultados de la investigación hasta nuestras comunicaciones corporativas, para salir a la luz. Nuestra evaluación tiene muchas dimensiones, que nos proponemos compartir en un post posterior. Es algo que esperamos que todo nuestro personal aplique a las tareas de las que son responsables y en las interacciones con nuestros clientes a través del soporte técnico, las ventas y los eventos de marketing en los que participamos. En esencia, debe ser un ingrediente de todas nuestras recetas si queremos que tengan sentido.

¿Cómo funciona la CQ en la práctica? Si lo hacemos bien, es un círculo virtuoso, y los principios de la CQ nos guían para entregar proyectos con calidad, respeto, integridad y utilidad en su núcleo. Como se ha indicado anteriormente, en un artículo posterior expondremos los detalles de cómo abordamos y (cuando es posible) medimos cada uno de estos cuatro aspectos. Por ahora, sin embargo, vamos a dar algunos ejemplos.

Buscando la CQ: tres fallos

Un ejemplo común del tipo de problemas que la CQ trata de evitar, imagina que la Empresa X tiene un nuevo producto a punto de lanzarse. Con demasiada frecuencia, el público verá publicada una “investigación” de la empresa X tan sensacionalista que está destinada a acaparar titulares. Esta investigación se utiliza para generar interés en el lanzamiento del producto, pero incluso un vistazo superficial de esta supuesta “investigación” desvela sesgos, estadísticas manipuladas y omisiones.

He aquí otro. Quizá hayas visto una presentación de ventas de la Empresa Y sobre su nueva solución que detiene sin esfuerzo todas las amenazas: Nex-Gen Snake Oil 2023 Professional. El coste total de propiedad es un 60% menor porque ya no te infectas, ya no tienes que cazar amenazas ni ocuparte de la respuesta a incidentes. ¡Suena genial! Apúntame, ¿verdad? Una pequeña pega: con una detección del 100% (“detiene todas las amenazas”) se produce una tasa de falsos positivos del 10%, lo que se traduce en un aumento del 2.000% de las llamadas a atención al cliente y un 20% en la productividad de los empleados. No se aplica CQ.

La CQ puede ser extremadamente baja más allá del mundo del lanzamiento de productos, por supuesto. Antes hemos descrito el trabajo derivado de la búsqueda intelectual de la felicidad como un indicador útil de una CQ potencialmente alta. Es cierto en general, pero a veces el factor “¡eh, guay!” puede en realidad restar valor a una alta CQ. Imagina a un investigador que teoriza que cantarle a tu ordenador puede mejorar su seguridad. (Hemos oído cosas peores.) Seguir investigando sobre infoseguridad musical bien podría conducir en algún momento a herramientas que los clientes puedan adoptar. Sin embargo, si declaráramos que “a todo el mundo le encantará la infoseguridad musical y esto nos diferenciará de los clientes” y la convirtiéramos inmediatamente en la nueva interfaz de producto de Sophos, sería un momento de baja calidad: calidad incierta (y, francamente, probablemente baja sin una cantidad notable de investigación interdisciplinar que la sustente), respeto e integridad potencialmente altos, pero utilidad casi definitivamente baja.

Los investigadores (la contribución de X-Ops a Sophos en su conjunto) no deben tener miedo de explorar y pensar cosas raras, pero una alta CQ significa que incluso los investigadores deben tener, en última instancia, una idea de cómo su trabajo responde a las necesidades de la empresa y de los clientes.

Si aplicas los principios de la CQ a los productos y a la investigación que conduce a los productos, estos problemas dejan de existir. Estarás haciendo una investigación que identifique los problemas reales que llevan a las organizaciones a verse comprometidas. Cuando llegue el momento de anunciar el nuevo producto o característica, dispondrás de una gran cantidad de investigación para respaldar tus afirmaciones. Como la investigación está al servicio de las necesidades reales de los clientes, no necesitas utilizar triquiñuelas. Tu investigación hace avanzar el estado de la ciberseguridad en todo el sector y garantiza que las protecciones de los clientes se mantengan centradas y relevantes, innovando a propósito en lugar de limitarse a lanzar características “guays” o de moda en los productos. El valor del trabajo habla por sí mismo y fomenta el bien común.

Todo nuestro trabajo se basa en la búsqueda incesante de hechos. Nuestros expertos utilizan su experiencia para interpretar esta información y establecer una verdad básica sobre la que otros puedan construir. Los equipos de relaciones públicas, marketing, gestión de productos y otros trabajan a partir de esta verdad básica para garantizar que su trabajo se ajusta a lo que sabemos, y no al revés.

Con canales de noticias 24 horas y un panorama mediático desesperado por conseguir publicidad y clics para sobrevivir, puede resultar tentador para los proveedores de ciberseguridad explotar los peores temores de la gente y su sed de titulares extravagantes para promover una agenda. El problema es que cuando los proveedores participan en este tipo de actividad, no solo enturbian las aguas, sino que distraen a la audiencia de la verdad, y disminuyen su capacidad de responder a las amenazas reales y actuales.

CQ en práctica: tres ejemplos

Para más información, estate atento a la segunda parte de nuestra serie CQ, en la que expondremos cómo pueden utilizar los clientes la CQ para navegar por el panorama actual de la seguridad, especialmente cuando evalúen a posibles partners y proveedores. También hablaremos de algunas consideraciones empresariales interesantes que surgen cuando la CQ forma parte de la rutina diaria. Mientras tanto, y por si ya has acabado con los malos ejemplos hipotéticos y quieres algunos buenos ejemplos reales, aquí tienes algunos proyectos de Sophos que señalamos internamente como ejemplos de alta CQ, con algunas reflexiones sobre por qué:

El blog X-Ops de Sophos: un blog sin grandes titulares que anima a los investigadores a profundizar, citar investigaciones ajenas a Sophos cuando proceda, cuestionarlo todo y, en general, mostrar su trabajo.

Sophos Trust Center: la confianza hay que ganársela, pero desde luego no debes fiarte de nuestra palabra. Para ganarnos tu confianza, creemos que debemos ser lo más transparentes posible con respecto a nuestra propia seguridad, prácticas de codificación y gobernanza.

El Informe Active Adversary (el enlace va a la edición de abril de 2023): ahora en nuestro tercer año (y en el momento de escribir esto, en pleno proceso de elaboración de la segunda de las tres ediciones de 2023), AA informa sobre lo que nuestros equipos de Respuesta a Incidentes han visto últimamente sobre el terreno.

La ciberseguridad es más difícil que nunca, y como proveedores responsables en este sector debemos ayudar a poner de relieve los principales riesgos, y además ayudar a otros a comprender esos riesgos para que puedan defenderse adecuadamente. Practicar la CQ garantiza que siempre estemos en el lado correcto de la línea. La ciberseguridad es un negocio de confianza, y en los 38 años que Sophos lleva protegiendo a las personas, siempre hemos puesto su confianza en el primer puesto.

Exit mobile version