Nuestro Blog

Los seres humanos importan: Edición tres – Discreción, automatización y la subida del hackbot

k

20 Abril 2017

Bryan K. Fite

Posts by authors: Bryan K. Fite, Account CISO, BT.

LinkedInTwitter

Lo que más importa.

Es ese momento del año nuevamente: preparaciones para el RSA. Listo. ¿Material de presentación? Listo. ¿Reuniones de clientes, prospectos y socios? Listo. Posiblemente la más difícil de todas las opciones – ¿selección de partido de proveedores? Listo. Creo que estoy listo, pero sé que estoy emocionado.

Esta es una oportunidad para interactuar con otros seres humanos interesados en proteger lo que más importa: el beneficio humano de la tecnología (alias otros seres humanos). Y una de las áreas clave que estaré buscando para discutir y aprender más sobre el papel de la discreción en la seguridad cibernética. Es un tema recurrente en mis escritos, y ahora es más relevante que nunca.

La discreción de los profesionales.

Nuestro blogger invitado, y buen vecino, Sergey Bratus, aportó un fuerte argumento para el valor y la aplicación de la discreción en su blog. Mi  experiencia personal sugiere que la discreción tiene un papel importante en la seguridad cibernética. A medida en que avanzamos hacia una mayor automatización, es importante que se dé un nivel de discreción a los activos humanos (profesionales). Pero, obviamente, la discreción sólo debe ser otorgada a los seres humanos calificados y ejercitados dentro de parámetros bien definidos – lo que es un poco complicado.

Robots biológicos: discreción y automatización.

Adelanto que la automatización se convertirá en el siguiente tema recurrente en mis escritos, investigaciones, así como en la industria en general. Estuve en un almuerzo de CISO la semana pasada, y la automatización se discutió y se posicionó como un multiplicador de fuerza potencial que permitirá a las organizaciones escalar, moverse con agilidad y mejorar la calidad.

La discreción y la automatización tienen una delicada relación. No tiene sentido subcontratar o automatizar un proceso de negocio roto (pero esto ocurre todos los días) y tampoco tiene sentido subcontratarlo a un ser humano que no tiene discreción.

Suponiendo que el proceso de negocio es el adecuado para el propósito, debemos evitar mover estas funciones de negocio a otros activos humanos (de menor costo), y en su lugar considerar el proceso como un candidato de automatización. Los seres humanos que no tienen discreción son robots esencialmente biológicos, y esto no es un buen uso del potencial humano.

Es hora de actuar.

Esto me pareció una discusión muy oportuna ya que los defensores necesitan empezar a cambiar la naturaleza asimétrica de la seguridad cibernética antes de que sea demasiado tarde. La automatización podría ser el engranaje para tal cambio del paradigma pero no tenemos de nuestro lado el lujo del tiempo.

Sólo tiene que mirar los resultados de la DARPA Cyber Grand Challenge para darse cuenta de que el tiempo para la acción es ahora – como la escasez de personal de operaciones cibernéticas y el aumento de las máquinas de hacking conspiran para hacer sus defensas actuales obsoletas. La presentación de Konstantinos Karagiannis en el RSA del año pasado mostró que el hackeo automatizado no sólo es posible, sino que también se está volviendo práctico (y barato).

El hackbot.

El “hackbot”, como yo lo llamo, es como los criminales y otros adversarios mantendrán su ventaja. Como discutimos en DCX, los defensores necesitan adoptar estas técnicas y desarrollar capacidades similares. Graeme Nielsen demostró que, en un ataque de nubes, las cosas pueden ser reales, muy rápidas.

Si Internet democratizó la libertad de expresión, entonces la nube está democratizando el crimen cibernético y la guerra cibernética. El papel de los seres humanos en futuros conflictos cibernéticos no está claro, pero el impacto de no hacerlo bien será desastroso a nivel global.

Haciendo a los seres humanos más eficaces.

Así que me dirigiré a RSA con mis ojos y oídos abiertos, buscando formas innovadoras de hacer que los seres humanos sean más eficaces.