Los profesionales de la ciberseguridad somos escépticos por naturaleza. Nuestro trabajo consiste en tomar todas las cosas que hacen que la sociedad moderna funcione tecnológicamente, ciberatacarlas y demostrarte que el mundo no es tan seguro, privado y protegido como pensabas. A continuación, ideamos formas de protegerte contra las personas que utilizan maliciosamente las mismas habilidades y curiosidad para cometer delitos y poner en peligro la confidencialidad, integridad y disponibilidad (CIA) de nuestros sistemas y datos.
La mayoría de nosotros estamos familiarizados con el cociente intelectual (CI) y muchos incluso con el cociente de inteligencia emocional (CE), que pretenden medir dichos atributos. En Sophos creemos que es crucial que evaluemos nuestro trabajo también por su valor, así que creamos, y durante años hemos aplicado, nuestra propia evaluación para garantizar que la calidad, el respeto, la integridad y la utilidad de la investigación y los productos que elaboramos cumplen los estándares más elevados: lo llamamos cociente de ciberseguridad (Cyberseriousness Quotient).
Este artículo es una introducción al concepto de CQ, los factores que el CQ equilibra en el día a día de Sophos, y algunos ejemplos (¿hipotéticos?) de Qué No Hacer. En las próximas semanas, entraremos en los detalles: cómo evaluamos la CQ en nuestros proyectos, y cómo nos funciona priorizar la CQ (incluso cuando crea pasos adicionales).
Conceptualizar la CQ: tres categorías
Acuñada hace varios años por Joe Levy, presidente de Sophos Technology Group, la CQ es una evaluación cualitativa para asegurarnos de que nuestros clientes, el público en general y los investigadores pueden contar con los mejores contenidos y productos posibles cuando proceden de Sophos.
Al igual que la seguridad es un viaje, no un destino, la CQ es algo que vivimos. Es el comienzo de cada proyecto en el que trabajamos. Los cambios deben medirse en función de si aumentan la CQ del proyecto, mostrando en última instancia a nuestros clientes que su seguridad, nuestro conocimiento del riesgo cibernético y la protección eficaz de los datos están siempre son siempre una prioridad para nosotros.
Todos tenemos muchas exigencias que compiten entre sí, pero es manteniendo en equilibrio estos objetivos, a menudo contradictorios, como mejoramos nuestras vidas y las de los demás. Para existir e investigar debemos ganar dinero para contratar a las personas que hagan las cosas que aportan valor al mundo. Sé que si quiero seguir en Sophos mi pasión por la investigación impactante, también tengo que asegurarme de que tiene valor y contribuye a la seguridad y productividad de mis clientes, lo que al final garantizará que se paguen las facturas que cubren mi investigación.
Si, por el contrario, dejamos que las necesidades del negocio pesen más que las necesidades de nuestros clientes, acabamos en territorio peligroso. Todos los días se publican historias e investigaciones de quienes pretenden convertir algo en un gran problema que solo ellos pueden ayudarte a resolver. Este comportamiento es tan frecuente que un destacado periodista de ciberseguridad, Patrick Gray, ha recurrido a llamar a los vendedores de ciberseguridad “Snake Oilers“. Este comportamiento no hace ningún bien a nadie y, de hecho, a menudo hace que las organizaciones centren su energía en cosas que son un fogonazo sensacionalista, incluso mientras sufren filtraciones de datos de alguien que utiliza las cosas aburridas para comprometerlas.
Para la investigación en particular, hay un tercer aspecto de la CQ. A menudo, la investigación más interesante es el resultado de lo que llamaré la “búsqueda intelectual de la felicidad”. La curiosidad nos llevará por muchos caminos alegres, y la alegría de desentrañar un complicado misterio de seguridad es lo que impulsa gran parte de nuestro mejor trabajo. Para obtener los resultados más impactantes de nuestro trabajo necesitamos libertad para perseguir estas curiosidades y compartir nuestros hallazgos con nuestros compañeros. Este trabajo es a menudo el CQ más elevado de todos.
La CQ es una prueba a la que se somete nuestro trabajo publicado, desde los resultados de la investigación hasta nuestras comunicaciones corporativas, para salir a la luz. Nuestra evaluación tiene muchas dimensiones, que nos proponemos compartir en un post posterior. Es algo que esperamos que todo nuestro personal aplique a las tareas de las que son responsables y en las interacciones con nuestros clientes a través del soporte técnico, las ventas y los eventos de marketing en los que participamos. En esencia, debe ser un ingrediente de todas nuestras recetas si queremos que tengan sentido.
¿Cómo funciona la CQ en la práctica? Si lo hacemos bien, es un círculo virtuoso, y los principios de la CQ nos guían para entregar proyectos con calidad, respeto, integridad y utilidad en su núcleo. Como se ha indicado anteriormente, en un artículo posterior expondremos los detalles de cómo abordamos y (cuando es posible) medimos cada uno de estos cuatro aspectos. Por ahora, sin embargo, vamos a dar algunos ejemplos.
Buscando la CQ: tres fallos
Un ejemplo común del tipo de problemas que la CQ trata de evitar, imagina que la Empresa X tiene un nuevo producto a punto de lanzarse. Con demasiada frecuencia, el público verá publicada una “investigación” de la empresa X tan sensacionalista que está destinada a acaparar titulares. Esta investigación se utiliza para generar interés en el lanzamiento del producto, pero incluso un vistazo superficial de esta supuesta “investigación” desvela sesgos, estadísticas manipuladas y omisiones.
He aquí otro. Quizá hayas visto una presentación de ventas de la Empresa Y sobre su nueva solución que detiene sin esfuerzo todas las amenazas: Nex-Gen Snake Oil 2023 Professional. El coste total de propiedad es un 60% menor porque ya no te infectas, ya no tienes que cazar amenazas ni ocuparte de la respuesta a incidentes. ¡Suena genial! Apúntame, ¿verdad? Una pequeña pega: con una detección del 100% (“detiene todas las amenazas”) se produce una tasa de falsos positivos del 10%, lo que se traduce en un aumento del 2.000% de las llamadas a atención al cliente y un 20% en la productividad de los empleados. No se aplica CQ.
La CQ puede ser extremadamente baja más allá del mundo del lanzamiento de productos, por supuesto. Antes hemos descrito el trabajo derivado de la búsqueda intelectual de la felicidad como un indicador útil de una CQ potencialmente alta. Es cierto en general, pero a veces el factor “¡eh, guay!” puede en realidad restar valor a una alta CQ. Imagina a un investigador que teoriza que cantarle a tu ordenador puede mejorar su seguridad. (Hemos oído cosas peores.) Seguir investigando sobre infoseguridad musical bien podría conducir en algún momento a herramientas que los clientes puedan adoptar. Sin embargo, si declaráramos que “a todo el mundo le encantará la infoseguridad musical y esto nos diferenciará de los clientes” y la convirtiéramos inmediatamente en la nueva interfaz de producto de Sophos, sería un momento de baja calidad: calidad incierta (y, francamente, probablemente baja sin una cantidad notable de investigación interdisciplinar que la sustente), respeto e integridad potencialmente altos, pero utilidad casi definitivamente baja.
Los investigadores (la contribución de X-Ops a Sophos en su conjunto) no deben tener miedo de explorar y pensar cosas raras, pero una alta CQ significa que incluso los investigadores deben tener, en última instancia, una idea de cómo su trabajo responde a las necesidades de la empresa y de los clientes.
Si aplicas los principios de la CQ a los productos y a la investigación que conduce a los productos, estos problemas dejan de existir. Estarás haciendo una investigación que identifique los problemas reales que llevan a las organizaciones a verse comprometidas. Cuando llegue el momento de anunciar el nuevo producto o característica, dispondrás de una gran cantidad de investigación para respaldar tus afirmaciones. Como la investigación está al servicio de las necesidades reales de los clientes, no necesitas utilizar triquiñuelas. Tu investigación hace avanzar el estado de la ciberseguridad en todo el sector y garantiza que las protecciones de los clientes se mantengan centradas y relevantes, innovando a propósito en lugar de limitarse a lanzar características “guays” o de moda en los productos. El valor del trabajo habla por sí mismo y fomenta el bien común.
Todo nuestro trabajo se basa en la búsqueda incesante de hechos. Nuestros expertos utilizan su experiencia para interpretar esta información y establecer una verdad básica sobre la que otros puedan construir. Los equipos de relaciones públicas, marketing, gestión de productos y otros trabajan a partir de esta verdad básica para garantizar que su trabajo se ajusta a lo que sabemos, y no al revés.
Con canales de noticias 24 horas y un panorama mediático desesperado por conseguir publicidad y clics para sobrevivir, puede resultar tentador para los proveedores de ciberseguridad explotar los peores temores de la gente y su sed de titulares extravagantes para promover una agenda. El problema es que cuando los proveedores participan en este tipo de actividad, no solo enturbian las aguas, sino que distraen a la audiencia de la verdad, y disminuyen su capacidad de responder a las amenazas reales y actuales.
CQ en práctica: tres ejemplos
Para más información, estate atento a la segunda parte de nuestra serie CQ, en la que expondremos cómo pueden utilizar los clientes la CQ para navegar por el panorama actual de la seguridad, especialmente cuando evalúen a posibles partners y proveedores. También hablaremos de algunas consideraciones empresariales interesantes que surgen cuando la CQ forma parte de la rutina diaria. Mientras tanto, y por si ya has acabado con los malos ejemplos hipotéticos y quieres algunos buenos ejemplos reales, aquí tienes algunos proyectos de Sophos que señalamos internamente como ejemplos de alta CQ, con algunas reflexiones sobre por qué:
El blog X-Ops de Sophos: un blog sin grandes titulares que anima a los investigadores a profundizar, citar investigaciones ajenas a Sophos cuando proceda, cuestionarlo todo y, en general, mostrar su trabajo.
- La calidad (no negociable): Cada post, artículo y (¡pronto!) vídeo de Sophos se revisa a lo largo del proceso de desarrollo y en múltiples niveles de la empresa. Además, contamos con un equipo especializado de investigadores que también aportan a Sophos una amplia experiencia periodística y editorial. Cada artículo publicado en el blog de X-Ops cuenta con uno o más de estos especialistas para recoger las opiniones técnicas y editoriales de los colegas de Sophos, y para asegurarse de que los resultados son legibles y atractivos.
- Respeto: el proceso no sólo de examinar la investigación, sino de publicar información clara, precisa y legible sobre ella, tiene que ser riguroso, pero colaborar respetuosamente mantiene al mínimo el desgaste del ego. Se recomienda encarecidamente a los investigadores de Sophos invitados a publicar que den las gracias a los colegas (dentro y fuera de Sophos) que hayan contribuido a su trabajo.
- Integridad: además de que la calidad y la integridad están intrínsecamente relacionadas en nuestro proceso de investigación previo a la publicación, es importante para nosotros que nuestra investigación publicada reconozca que formamos parte de una comunidad más amplia. Ninguna investigación en el mundo de la infoseguridad, ninguna, sale de la nada. Los investigadores que publican en el blog de X-Ops deben citar sus fuentes, preferiblemente con enlaces a la fuente, aunque sea el sitio web de un competidor.
- Utilidad: a veces el trabajo que publicamos es inmediatamente procesable, y a veces es una inmersión profunda en un tema de infoseguridad que es interesante o que merece la pena analizar en profundidad, ya sea como base para una investigación posterior o por sí solo. Lo más útil que podemos hacer invariablemente es asegurarnos de que lo que publicamos es preciso, directo y claro.
Sophos Trust Center: la confianza hay que ganársela, pero desde luego no debes fiarte de nuestra palabra. Para ganarnos tu confianza, creemos que debemos ser lo más transparentes posible con respecto a nuestra propia seguridad, prácticas de codificación y gobernanza.
- Calidad: estamos seguros de que nuestras prácticas están a la altura de los estándares más elevados y compartimos no solo lo que hacemos, sino cómo lo hacemos. Esto no solo es transparente y abierto, sino que puede ser una guía útil para otros que busquen un lugar donde empezar y seguir nuestros pasos.
- Respeto: tanto si trabajamos con pentesters externos como si llevamos a cabo nuestro programa de recompensas por errores, nuestro respeto por la comunidad puede cuantificarse a través de nuestras acciones. Como cualquier organización, incluso nuestros mejores esfuerzos no dan como resultado una seguridad perfecta. Nuestra mejor forma de mejorar continuamente es tratar a la comunidad de investigadores de seguridad con respeto y tener muy en cuenta sus comentarios.
- Integridad: publicamos nuestras políticas corporativas sobre ética, cumplimiento de la normativa, impacto medioambiental, tratamiento de los datos de los clientes, etc. en nuestro Trust Center. Aunque esperamos que todos los empleados lean y cumplan estas normas, creemos que deben ser públicas para que nuestros partners y clientes sepan cómo llevamos a cabo nuestras operaciones.
- Utilidad: hay muchas circunstancias en las que es importante poder acceder rápidamente a lo que necesitas mientras evalúas la postura de seguridad de tu partner. También es una forma de comparar tus opciones cuando buscas nuevos proveedores o empleadores.
El Informe Active Adversary (el enlace va a la edición de abril de 2023): ahora en nuestro tercer año (y en el momento de escribir esto, en pleno proceso de elaboración de la segunda de las tres ediciones de 2023), AA informa sobre lo que nuestros equipos de Respuesta a Incidentes han visto últimamente sobre el terreno.
- Calidad: Los Active Adversary se basan en los datos de Respuesta a Incidentes recopilados en cada estado del proceso, desde la información de entrada del cliente hasta el informe final del incidente. Todos los datos utilizados en el informe se normalizan escrupulosamente antes del análisis, y se realizan múltiples revisiones de los datos a lo largo del proceso de elaboración de cada informe. Además, se vuelven a revisar las revisiones y análisis anteriores si se reutilizan los datos (por ejemplo, en análisis históricos), para asegurarse de que se normalizan y analizan de acuerdo con las prácticas recomendadas actuales.
- Respeto: Tomamos medidas bastante extremas (y realizamos múltiples revisiones internas) para asegurarnos de que los clientes de Respuesta a Incidentes representados en el informe nunca sean identificados por los datos publicados…
- Integridad: …pero nos esforzamos por ser lo más transparentes posible sobre cómo trabajamos con los datos, y qué parte del panorama de la ciberseguridad representan, en la sección Metodología incluida al final de los IAA a partir de este año.
- Utilidad: desde nuestro lanzamiento en 2021 hemos trabajado para encontrar, en todos estos datos, ideas que puedan ayudar a los defensores que se enfrentan cada día a las amenazas a sus propios sistemas. Para 2023, nos dimos cuenta de que podíamos mejorar la utilidad de AA analizando los datos desde varios puntos de vista: al fin y al cabo, los líderes empresariales, los líderes tecnológicos y los cazadores de amenazas son todos defensores, pero sus necesidades de información no son las mismas. Y así es como un Informe de Adversarios Activos se convirtió en tres.
La ciberseguridad es más difícil que nunca, y como proveedores responsables en este sector debemos ayudar a poner de relieve los principales riesgos, y además ayudar a otros a comprender esos riesgos para que puedan defenderse adecuadamente. Practicar la CQ garantiza que siempre estemos en el lado correcto de la línea. La ciberseguridad es un negocio de confianza, y en los 38 años que Sophos lleva protegiendo a las personas, siempre hemos puesto su confianza en el primer puesto.