Hackeame … ¡Si puedes!

Hace unos meses, cuándo BancoT y Justino empezaban su historia me comentó de una de las preocupaciones más grandes que tenía como máximo responsable de la entidad.

-La Ciberseguridad no me deja dormir amigo – me dijo en tono de confidente – y en las lecciones que Diego el Chairman me ha dado me dice y me lo repite:

“Si te enfocas en operar pierdes de vista la estrategia y NO hay crecimiento, si pones tu atención en la estrategia lejos de la operación, le damos la bienvenida al caos: La operación se atiende con procesos, la estrategia con gente

– Diego

-Y me he preguntado amigo ¿La Ciberseguridad es operación o es estrategia? – Dijo Justino –

-Y ¿Qué conclusión tienes amigo?

Lo he pensando durante semanas, hasta que encontré que el consejo de Diego es cuándo el negocio era analógico, en la era digital tenemos componentes que están con un pie en ambos lados, tal es la naturaleza de la Ciberseguridad, mira amigo, te explico:

CiberSeguridad como estrategia

Es como generalmente se hace, por ello no me hacía mucho sentido Héctor – dijo iniciando el relato – se establece una certificación de los servicios y se hace una inspección de cuando en cuando, para verificar que todo este correcto, es decir, es algo que se planea por anticipado dejando espacios de tiempo entre un evento y otro, es como preparar la fiesta y olvidar el día del evento confiando en los procesos establecidos … entonces me hice de este mantra:

“La CiberSeguridad tiene dos caras que no pueden verse, el que defiende y el que ataca, si lo vemos desde la estrategia: DEFENDEMOS, pero quedamos expuestos por la otra cara, es menester cambiar de forma de pensamiento desde la OPERACIÓN”

– Justino

CiberSeguridad como operación

¿Y los que quieren encontrar un hueco en nuestra seguridad? ¿Como piensan? Y me llegó la respuesta viendo una serie en Netflix amigo: “Debes pensar como los malos” dijo el actor que representa a un agente del FBI.

Los malos piensan en atacar DIARIO hasta que lo consiguen, su objetivo es vulnerar no saber si es fuerte, y no es para recibir un premio, el premio está detrás de ese fuerte infranqueable … según nosotros.

“El premio de la Estrategia de la CiberSeguridad termina en sentirse protegido, mientras que el de la Operación su premio está detrás de esa protección”

– Justino

Encontramos que la CiberSeguridad es un ejercicio constante entre ambas caras de la moneda, no se puede pensar en estar seguros desde la Estrategia, ni se termina cuando se ha encontrado algo desde la Operación, es un ir y venir constante, un ejercicio de poder sin fin, el objetivo cambia una vez que se consigue por algo más ambicioso.

El reto ahora era como actuar frente a este hallazgo amigo, por ello tenemos el programa:

¡Hackeame!, si puedes

Contratamos a 3 agencias y 5 hackers de renombre mundial amigo, que no te puedo revelar mas detalle y solo los conocemos Diego, tu servidor y amigo y el Financiero que le paga a través de un proceso no rastreable fiscalmente … sobretodo para los hackers, las empresas son legales en su totalidad.

El CIO no tiene conocimiento de cuándo o como lo hacen, ni sabe si es un ataque real o controlado, de pronto llegan recomendaciones que debe atender y listo, a su vez tiene asesoría de como defenderse de estos ataques y la regla es simple: Si descubre a mis Hackers ¡Los despido!

¿Y como ha ido esto amigo?

Los resultados han sido muy buenos – dijo – lo complicado es explicar la partida presupuestal al consejo, pero cuándo le expones en términos financieros en analogía de un seguro de vida, todo el panorama cambió.

Hemos detectado con este enfoque, cientos de vulnerabilidades que de otro modo nos pudieron costar caro, los ataques son diario los 365 días del año, desde automatizados, con ingeniería social hasta especiales, estos suceden cuando se mandan cambios a producción por cualquier motivo.

Y trabajamos fuerte en PROCESOS y en las personas amigo, ahora he dejado en manos de los expertos el tema, lo sigo de cerca pero más de momento no puedo hacer, cubro la regla de Diego y con eso estamos en común acuerdo.

¿Y la regla de Diego es? – le pregunté –

“Cubre el 80% del riesgo Operativo con procesos, el 20% es incertidumbre que es parte del día a día, delega ese 80% y enfoca tu atención al 20%”

– Diego

Y de este modo, tengo un 20% de tareas para dejarme espacio a la Estrategia amigo.

Eso hace más fácil mi quehacer, y así estoy yendo paso a paso por todas las áreas de BancoT, bajo este mandato del Chairman – dijo para concluir –

…………………………………………….

Muchas gracias por leerme, nos vemos en otra de las #CharlasConJustino