0:00:06 Max Havey: Hola y bienvenidos a otra edición de Security Visionaries, un pódcast dedicado al mundo de los datos cibernéticos y la infraestructura tecnológica, que reúne a expertos de todo el mundo y de diferentes ámbitos. Soy su presentador, Max Havey, y hoy vamos a profundizar en el mundo de la ciberseguridad y el riesgo centrados en el ser humano. Y nuestra invitada de hoy es Beth Miller, CISO de Field de Mimecast, que literalmente escribió el libro sobre la reformulación del riesgo. Así que Beth, muchas gracias por acompañarnos hoy aquí.
0:00:30 Beth Miller: Muchas gracias por invitarme hoy, Max. Lo agradezco.
0:00:34 Max Havey: Por supuesto. Bueno, para empezar aquí, en Caso la gente no está muy familiarizada con el término, ¿puedes explicarnos qué es un enfoque centrado en el ser humano en la ciberseguridad y cómo se comporta eso?
0:00:46 Beth Miller: Sí, seguro. Así que creo que cuando hablamos de centrado en el ser humano, realmente tenemos que empezar en la definición. Así que para mí el riesgo es humano por definición. No es un fallo del sistema, no es una brecha de cumplimiento. Es una persona que realmente navega por la incertidumbre sin necesariamente tener las herramientas adecuadas. Así que las viejas preguntas, ¿cómo detenemos a los Errores? Esas se sustituyen por preguntas de Nuevo sobre cómo ayudar a la gente a tener éxito realmente bajo presión y bajo cambio constante. Así que el cambio es que los usuarios o empleados no los vemos como variables a controlar, sino realmente como navegantes individuales que necesitan ser equipados. Así que todo lo demás viene cuando cambias esa perspectiva. Y algo que lo respalda es que sabemos que el 95% de las brechas implican un error humano, pero solo el 8% de los empleados es la causa real del 80% de los incidentes. Así que existe esa brecha entre que la seguridad centrada en el ser humano piensa que es blanda o menor que cuando realmente es seguridad inteligente.
0:01:53 Max Havey: ¿Por qué el miedo es algo que impulsa a muchas de estas formaciones y a la gente la forma en que la gente aborda la seguridad? ¿Por qué el miedo es tan impulsor en todo esto?
0:02:03 Beth Miller: El miedo es eficiente. Así que capta la atención, crea obediencia, se siente medible. Así que el Sector, el personal de seguridad, más o menos lo usa por defecto, pero la neurociencia es muy clara en que la respuesta a amenazas degrada la toma de decisiones y el miedo genera vergüenza. Y la vergüenza hace que la gente oculte errores en vez de informarlos. Así que realmente hemos optimizado la conciencia, pero no el cambio de comportamiento, y no son lo mismo. Así que el miedo llama la atención, no genera juicio, y cuando la gente tiene miedo de meterse en problemas, deja de decirte algo cuando las cosas van mal, y eso es justo lo contrario de lo que necesitamos. Hemos estado haciendo simulacros de incendio y llamándolo seguridad contra incendios.
0:02:49 Max Havey: Es esta idea de que la gente tiene más miedo de admitir que está equivocada que de decir que está equivocada y de arreglar el problema. Y esa es una forma muy interesante de abordar la ciberseguridad y el riesgo de esa manera.
0:03:00 Beth Miller: Hay mucho en torno a esta idea de controles. Tienes sistema, tienes Datos, tienes identidades, pero realmente el arco superpuesto de esto es que los humanos, ¿no? Así que los humanos tienen identidades. Acceden a sistemas para interactuar con Datos, ¿verdad? Los humanos son en realidad el eslabón inicial y final de esta cadena. Y involucrarlos en parte de este proceso es clave para garantizar una mejor gestión de riesgos en general en los sistemas, así como en la protección de datos y la gestión de identidad.
0:03:33 Max Havey: Está cambiando a medida que hablas de un enfoque centrado en el ser humano. Es como cambiar la mentalidad de que te estás enfocando en seguridad con las personas de tu empresa cambiando. Eso le quita ese miedo basado en el miedo a cometer errores a que está bien cometer errores, pero es mejor aprender de esos errores y seguir adelante. Y eso levanta un poco a todos los barcos.
0:03:56 Beth Miller: Y creo que lo que diferencia la gestión de riesgos humanos respecto a otras disciplinas de riesgo dentro de una organización es que realmente requiere este enfoque multidisciplinar. Así que pienso que cuando se está construyendo un programa de gestión de riesgos humanos, realmente hay cinco personas implicadas en él. Así que tienes seguridad, informática, recursos humanos, seguridad legal, y luego están los propios responsables o empleados. Así que, fundamentalmente, estás creando un cambio cultural en línea con los objetivos empresariales. Así que hacer que los empleados formen parte de esa solución es realmente un buen negocio, además de asegurar que este siguiente vector, la superficie de ataque humana, se gestione de una manera que también pueda medirse y madurar.
0:04:46 Max Havey: Bueno, es especialmente interesante porque nuestra invitada más reciente que acabamos de tener tuvimos fue Jenny Radcliffe, la hacker de personas, hablando sobre ingeniería social y todo lo que implica eso. Y desde su perspectiva y desde mucho leer psicológicamente a la gente y la superficie de ataque humano no existe. Siento que mucha gente, especialmente al menos en los círculos de seguridad en los que he hablado, no siento que escuche a mucha gente hablar necesariamente del ataque humano, a la superficie. Así que creo que eso es bastante interesante.
0:05:16 Beth Miller: Es la siguiente evolución de hacia dónde se ha dirigido la seguridad. Así que, de nuevo, si puedo repasar la idea, los 90 trataban de entender todos los datos que había en tu entorno. Los 2000 fueron sobre los sistemas y la migración de on-premise a in la nube, y luego tuviste identidades, que fue a principios de 2010, capaces de rastrear secretos humanos y no humanos en toda tu organización. Así que hemos evolucionado hacia humanos Ahora y hemos identificado que ese es el tejido conectivo Ahora, simplemente porque estamos en el punto en que reconocemos a los humanos y realmente a la IA en el próximo capítulo, pero aquí es donde estamos justo en Ahora. No deshace el tejido conectivo a lo largo de las capas. Tenías algo, Max, ¿qué ibas a decir?
0:06:03 Max Havey: Sí, bueno, iba a preguntar específicamente, cuando piensas en este tipo de replanteamiento del riesgo en torno al lado humano, ¿cómo está cambiando eso la IA? Quiero decir, siento que en cada episodio tenemos que preguntarnos: ¿cómo está afectando la IA a esto? Porque eso es algo tan común que ocurre independientemente de la derecha del sector Ahora. Así que tengo curiosidad por conocer vuestra opinión. ¿Dónde encaja la IA en esta conversación?
0:06:28 Beth Miller: Un par de formas de pensarlo es que tradicionalmente hemos hablado de los usuarios de defensa perimetral como pasivos, es decir, empleados como pasivos y seguridad como un impuesto sobre la productividad. Pero la IA hace que el pensamiento de marcos de cumplimiento quede permanentemente obsoleto. No puedes escribir una Política para cada escenario que generará la IA, simplemente no escalará. Así que la IA amplifica la necesidad del juicio humano. No lo reemplaza. El humano es ahora supervisando las salidas de la IA se requiere más habilidad, no menos. Así que, entrando en eso, sabemos que el 95% de la IA de Organización Usar debe defenderse, pero solo el 55% admite que no está completamente preparado para ataques impulsados por IA. Así que hemos automatizado la capa de defensa dejando la capa humana en un entrenamiento de cumplimiento de errores de 2005.
0:07:24 Max Havey: Quiero decir, eso es lo emocionante que siento que mucha conversación sobre IA es como, oh, ¿cómo va a interactuar la gente con esto? Y creo que enfatizar que el nivel de juicio humano es lo clave para que la IA funcione. No siempre se trata solo de tener el problema adecuado, sino de contar con las personas adecuadas detrás que sepan cómo no hacer esto de una forma que ponga todo en peligro.
0:07:47 Beth Miller: Creo que la realidad es que la IA está haciendo las amenazas más inteligentes, y no podemos seguir respondiendo manteniendo a nuestros humanos tontos. Así que tienen que entender la parte de este proceso que pueden influir y que es responsabilidad de la Organización porque es un buen negocio. La era de la IA no elimina el elemento humano, como dijiste, Max, realmente lo amplifica. Así que cuando no puedes escribir una Política para cada escenario de IA, necesitas gente que piense cómo responder.
0:08:21 Max Havey: 100%. Bueno, y teniendo eso en cuenta, ¿cómo deberían los líderes de seguridad replantear su cerebro en torno a estos enfoques más centrados en el ser humano? Especialmente ahora que las cosas evolucionan constantemente, ¿qué formas sugerirías que Inicio piense para replantear esa mentalidad?
0:08:38 Beth Miller: Así que creo que la definición de riesgo también necesita un reinicio. Así que cuando lo buscas en el diccionario, tiende a inclinarse mucho hacia el pesimismo, pero la raíz real es italiana, y cuando lo analizas, significa atreverte. Así que en algún momento perdimos esa habilidad, en vez de evitar algo que pudiera salir mal, era esto de atrevertos. Y realmente tenían un dicho, era sobre la navegación, así que me vendrá a la mente en un segundo, pero no se arriesga, no se gana, básicamente.
0:09:10 Max Havey: Sí, absolutamente.
0:09:11 Beth Miller: Y lo pensamos mucho, de alguna manera acabó en cumplimiento y seguridad y reescribimos la definición según nuestros estándares, obviamente. Así que tenemos que empezar a redefinir fundamentalmente lo que significa esa palabra y fijarnos en las señales de navegación. Así que no solo luz de advertencia. En el libro que escribí, hablo de este marco FOLD y es esta idea de encontrar la corriente, ¿en qué mentalidad de riesgo te encuentras actualmente? ¿Cómo te orientas hacia el contexto? Y luego, ¿cómo aprendes qué lo impulsa y luego decides deliberadamente? Un ejemplo de eso es que en vez de no hacer clic, ataques de phishing, no hagas clic. Así es como reconocer las tácticas de presión y qué hacer cuando te sientes presionado. Así que ahora les estás poniendo en modo mental y no solo una regla, haz esto, no lo hagas. Una elección binaria. Así que las reglas dicen a la gente qué no hacer y replantear realmente les enseña a pensar. Así que, en definitiva, quiero reiterar que el riesgo no es el enemigo. Así que el riesgo no es malo, es un riesgo no examinado. Ese es realmente el problema aquí.
0:10:18 Max Havey: Por supuesto. Y eso está impulsando un cambio genuino de mentalidad en la forma en que mucha gente piensa sobre el riesgo. Y me encanta la idea de que el riesgo no es intentar no hacer lo malo, sino atreverse a hacer lo que quiera. Y creo que, de nuevo, está cambiando la forma en que lo piensas. Y eso es emocionante pensarlo. A menudo, en una vida pasada en esta serie, hablábamos de la idea de la seguridad como un deporte de equipo donde es como si todos estuvieran totalmente comprometidos. Y creo que eso va de la mano de la misma manera, como que puedes decirle a la gente todos los días: no hagas clic en el enlace, no hagas clic en el enlace. Y sin duda siempre es una eventualidad. Así que creo que se trata más bien de dar a la gente todas las tácticas que necesita para poner en práctica estas cosas.
0:11:05 Beth Miller: Dios mío, Max, me acabas de tender una trampa. Ni siquiera lo sabías, pero te lo agradezco. Así que en el libro Usar tengo el acrónimo TEAAM. Así que cuando me refería a las corrientes, mucha seguridad, si somos sinceros, todos los seres humanos, nos aferramos a nuestras costumbres. Esto no es una discusión sobre la personalidad, es simplemente una preferencia. Prefiero el helado de chocolate. ¿Por qué? No lo sé. Es una cuestión de preferencia. Así que si piensas en el riesgo y en tener quizá cinco preferencias dominantes, yo me apunto en los acrónimos. Así que el acrónimo es TEAAM. Así que cada vez que te sientas atascado y la decisión es muy pesada, deberías consultar con tu equipo. Y así, el equipo representa T, transferir E, explotar A, aceptar A, evitar dos, y luego M mitigar. Así que muchos profesionales de la seguridad adoptan la mentalidad de que riesgo es igual a mitigar la gestión de riesgos es mitigar cuando en realidad tienes otras cuatro corrientes a tu disposición. Así que ser consciente de dónde están tus preferencias, luego las de tu equipo y las de tu Organización realmente ayuda mucho a poder mantener esa conversación entre individuos y entre individuos dentro de nuestra Organización para poder decir: Oye, ¿estamos realmente maximizando todos los recursos a nuestro dispor? Si cambiamos de pensar en mitigar a transferir, ¿qué nos aporta eso?
0:12:31 Max Havey: 100% Y de alguna manera replantea toda la noción de apetito por el riesgo. Siento que escucho esa palabra mucho por ahí, pero en realidad cómo
0:12:37 Beth Miller: ¿Tienes hambre? No lo sé exactamente,
0:12:39 Max Havey: Exacto
0:12:40 Beth Miller: No sé cuánto helado puedes comer en vez de mí. Derecha
0:12:43 Max Havey: Exacto.
0:12:44 Beth Miller: Difícil de cuantificar. Derecha.
0:12:46 Max Havey: Bueno, y es interesante, al enmarcarlo como estos diferentes canales de, bueno, mitigación, el que va a aparecer inmediatamente en el cerebro es el primero, pero hay muchos otros lugares diferentes en los que puedes llevarlo. Y eso es extremadamente interesante. Y me gusta pensarlo así. Y es mucho menos binaria. Se está alejando de ese pensamiento binario más amplio sobre el riesgo.
0:13:08 Beth Miller: Sí, gracias por eso. Creo que uno de los Problema, y esta es una pregunta que habías planteado de antemano, así que sé que vas a llegar a ella, pero solo lo voy a adelantar aquí, que el lenguaje es muy importante, ¿verdad? Porque sabes que hay que Organización puede afirmar con razón que tiene una gran cultura de seguridad, pero en realidad, cada división dentro de la organización también puede tener su propia cultura. Entonces, en cada cultura, ¿cuál es la lengua predominante? ¿Cuáles son los acrónimos? ¿Cuáles son las prioridades? Así que, como profesional de la seguridad, casi tienes que ser un turista emocionado que cada vez que sale y se aventura más allá de los límites de seguridad, piensa, bueno, ¿qué puedo traer o qué puedo compartir? Ese tipo de cosas. Y habiendo crecido viajando mucho, mi padre era militar, sabiendo que podías aprender otro idioma o usar un gesto que suavizaba la transferencia de información, eso siempre era significativo.
0:14:10 Max Havey: Lo interesante de esta conversación también es esto: casi parece una discusión sociológica sobre ciberseguridad, seguridad y riesgo. Me encontré pensando, oh sí, sé que hay subculturas de ciberseguridad dependiendo del estudiante de negocios con el que trabajes. Y creo que eso es muy interesante y me hace pensar que, hablas de la idea de viajar y cada uno tiene un enfoque diferente. Es una especie de lado interdisciplinar de la ciberseguridad. Siento que muchos líderes de seguridad con los que he hablado, la idea de que puedes formar a casi cualquiera para que esté en ciberseguridad y piense así, pero que traer esos otros ángulos y entender cómo puedes aplicar algunas de esas habilidades lo que realmente hace que un buen analista o alguien forme parte de un equipo de ciberseguridad.
0:14:57 Beth Miller: Sí, acabo de hablar con un compañero de seguridad y es brillante. Matt Huber es su nombre, y habla de la antigua forma de pensar en seguridad como el departamento de nº Y de hecho ha enfatizado que es cuestión de cómo. Así que quiere explicarme, dime qué quieres hacer y luego podemos averiguar cómo hacerlo. Y creo que, de nuevo, eso tiene esa mentalidad de mayordomo. Tiene ese aspecto de navegante, y realmente crea toda una sensación de viaje. Hagámoslo juntos. Y creo que ese es más o menos el mantra en la gestión de riesgos humanos: pensar en las posibilidades de lo que podemos amplificar juntos.
0:15:38 Max Havey: Y simplemente alejando un poco esto, sí, ampliando un poco esto. Como CISO, ¿cómo has podido aplicar este tipo de estrategias en tu trabajo como CISO en áreas? ¿Has visto éxitos con esto? ¿Puedes contarnos un poco sobre eso?
0:15:53 Beth Miller: Primero, mi rol es como CISO de campo, así que estoy mucho más de cara al cliente que interna, pero quiero aclararlo porque respeto a Leslie Nielsen y a su equipo y el trabajo que realizan internamente. Así que mi papel es realmente sintetizar lo que hacen para nuestros clientes y luego lo que hacen ellos y llevarlo de nuevo al producto, para asegurarnos de que estamos alineados desde una perspectiva organizativa, desde la perspectiva del producto, y de nuevo, asegurándonos de que ofrecemos los servicios y productos que decimos que ofrecemos. Pero diría cómo he aplicado esto específicamente con mis equipos. Porque he tenido varios roles diferentes antes de estar en Mimecast. Creo que el gran cambio es dejar de medir el cumplimiento. Así que sí, por supuesto que el NIST es muy importante. Sí, tienes que tener capacidad de auditoría, pero creo que esta conversación es sobre el lenguaje. Así que tener esta conversación de auditoría con lenguaje y no necesariamente con el cumplimiento es realmente importante. Así que sí, contamos cuántas veces hay amenazas y fallos y aparecen errores. Obviamente aparecen en informes que llegan hasta la junta. Pero realmente lo que buscas es esta transición a cuántas veces ayudas a navegar, equiparte o cambiar la corriente. Entonces, ¿cuál es la proporción que está ocurriendo en vuestra cultura y cuál queréis que sea? Entonces, ¿quién es responsable de eso? De nuevo, esa funcionalidad multidisciplinar cruzada con qué momento estábamos cuando ocurrió un evento, cualquier cosa negativa para la Organización y qué herramientas de navegación nos faltan específicamente. Entonces, ¿qué recursos necesitamos aparte de más sistemas, más controles de identidad, más controles de acceso y menos datos que tenemos que proteger? Pero cambiar tus métricas de esta tasa de clics a tasa de informe. Así que ves algo, di algo como una explicación sencilla, pero lo que mides le dice a la Organización lo que valoras. Así que si tuviera que empezar, la única pregunta de auditoría sería que reto a mi equipo y que en el pasado he tenido que asegurarme de que estamos capturando cuando alguien en mi organización comete errores de seguridad, ¿qué pasa después? Así que esa respuesta te dirá todo lo que necesitas saber sobre tu cultura.
0:18:18 Max Havey: Por supuesto. Bueno, siento que a menudo hay algo de lo que está pasando ahora mismo y no necesariamente lo que pasa después de haber mitigado todo esto, sino todo esto. ¿Qué vamos a hacer realmente para cambiar esto? ¿Qué hemos aprendido aquí y cómo vamos a aplicar eso?
0:18:33 Beth Miller: 100% Quiero que el primer instinto de mi equipo sea que lo resolvamos juntos, no que averiguemos quién tiene la culpa, ¿verdad? Así que cuando nombras la corriente en la que estás, dejas de dejarte llevar por ella. Te da esa pausa y te da permiso para explorar realmente qué otras opciones podrían haber habido en juego y eso te permite hacerlo mejor la próxima vez.
0:18:55 Max Havey: ¿Por qué crees que este enfoque centrado en el ser humano es beneficioso en general para la comunidad de ciberseguridad en general? Esto supone un cambio de mentalidad significativo. ¿Por qué algo así es beneficioso para un sector como este?
0:19:08 Beth Miller: Voy a hacer algunas afirmaciones contundentes aquí, pero el agotamiento está en un nivel de crisis. Así que las culturas basadas en el miedo se comen a su propio pueblo. Nuestros adversarios ya tienen doctorados en psicología humana, así que estamos combatiendo la manipulación con campañas de concienciación y eso es solo un desajuste de seguridad que funciona con la formación de escalas humanas que la combate necesita una transformación constante y renovada de seguridad desde el departamento de no, como dije, hasta la arquitectura de cómo también es una estrategia de retención. Así que los profesionales de seguridad que sienten que están construyendo navegantes se quedarán más tiempo y se quemarán menos.
0:19:50 Max Havey: Crea una buena cultura de seguridad. Estamos hablando de una buena higiene de seguridad, pero esa es una buena cultura de seguridad que no prioriza el miedo, no quema a la gente, sino les da las habilidades para ser realmente buenos gestores de la seguridad dentro de su propia unidad de negocio. Ya sea alguien que está en un equipo de seguridad o alguien que no necesariamente forma parte del equipo de seguridad, sino que es una persona centrada en seguridad en un equipo de marketing, en un equipo creativo o algo así. En todo eso, creo que uno de nuestros antiguos invitados habló sobre la idea de un programa de embajadores y que eso es una forma de sembrar algunas de estas ideas e innovación de Nuevo dentro de una organización así. Y está muy liderado por personas que saben lo que hacen y pueden responder a ese tipo de preguntas de las que hablas.
0:20:35 Beth Miller: Por supuesto. Yo terminaría con quizá dos ideas diferentes. Así que mencionaste bueno y yo estoy de acuerdo con bueno, pero la palabra que reemplazaría es resiliencia. Así que cuando hablamos de dónde estamos y dónde queremos estar, y pensamos que si sigues midiendo con el cumplimiento, entonces el cumplimiento es el suelo. Y realmente la resiliencia es un techo, ¿no? O ni siquiera tiene techo, pero es hacia donde conduces. Así que hemos estado celebrando el suelo cuando deberíamos centrarnos en subir hasta el techo y luego una cultura de seguridad, como has dicho, que agota a la gente. No hace que nadie esté más seguro. Y realmente necesitamos que Ahora esté más seguro que nunca.
0:21:13 Max Havey: No hay nada que realmente permita a las personas más que una buena estrategia de seguridad que les facilite en lugar de frenarles, causando más fricción. Se supone que lo dije al principio, pero esa marea creciente que está levantando a todos como resultado.
0:21:29 Beth Miller: De acuerdo.
0:21:31 Max Havey: Bueno, Beth, llegando al final de mis preguntas, ¿cuál es un consejo que crees que todo líder de seguridad debería tener en cuenta cuando se trata de un enfoque centrado en el ser humano como este?
0:21:41 Beth Miller: Sí, creo que ya lo he dicho antes, pero voy a hacer doble clic porque creo que merece la pena decirlo especialmente al final y dejar a la gente que auditar la experiencia emocional de tu programa de seguridad es algo que realmente debe hacerse casi antes de auditar los controles. Así que, preguntando a alguien de mi organización, cuando ocurre un error, ¿qué ocurre después? Esa respuesta te dice todo sobre lo que debe priorizarse en la Organización para crear esa mentalidad de navegante, de embajador, ¿verdad? O ese enfoque en equipo. El cambio más rápido que puedes hacer no cuesta nada. Así que es más seguro informar un error que esconderse de él. Y crear un entorno donde la gente se sienta segura para hacer el reportaje es probablemente lo único en lo que insistiría. Pero al final del día, volviendo al principio, creo que ese riesgo es humano. Nacemos de forma innata, capaces de asumir riesgos, pero navegar por el riesgo se aprende realmente. Así que Organización necesita empezar a pensar en cómo enseñar esa navegación, no solo porque beneficia a todos los empleados, sino porque al final del día es una buena decisión empresarial.
0:22:56 Max Havey: Por supuesto. Eso parece una buena llamada a la acción para terminar aquí: atreverse a navegar por los mares del riesgo con tu equipo a cuestas. Creo que es una forma encantadora de aterrizar aquí.
0:23:07 Beth Miller: Max, te agradezco mucho tu tiempo aquí hoy. Ha sido un placer. Sí,
0:23:11 Max Havey: Por supuesto. Muchas gracias por venir, Beth. Ha sido una alegría enorme y espero que nuestros oyentes disfruten esta conversación tanto como yo.
0:23:19 Beth Miller: Gracias. Yo también.
0:23:21 Max Havey: Y con eso, habéis estado escuchando el podcast Security Visionaries y yo he sido vuestro presentador, Max Havey. Si te gusta el episodio de hoy, asegúrate de compartirlo con un amigo y seguir a los visionarios de la seguridad en cualquier plataforma de podcasting que te guste, ya sea Apple, Spotify o YouTube. Allí puedes encontrar nuestro catálogo de episodios. Y ya que estáis allí, por favor seguidnos o dadnos una reseña, todo ayuda mucho. estate atento a los episodios que salgan cada dos semanas, presentados por mí o por mi copresentadora, Emily, Wear Mouth o Bailey Pop. Y con eso, nos vemos en el próximo episodio.
){kind=icon}
