Estoy buscando dentro de mí la mejor de las actitudes para trabajar en un entorno ciberseguro. Creo ser consciente de que no me puedo permitir el lujo de que, con el uso tan intensivo que hago de la tecnología digital, en su más amplio sentido, se me viniera todo abajo por dejadez en la ciberseguridad. Sin embargo, al mismo tiempo que voy aprendiendo el alcance de este asunto, voy cayendo en la cuenta de que se trata de aceptar un cierto nivel de riesgo. Nada de eliminar riesgos; tan solo puedo minimizarlos.
Ahora mismo manejo dos grandes referencias para ser consecuente y disponer un entorno digital hasta cierto punto seguro. La primera es la que proviene del Marco de referencia sobre la ciberseguridad en organizaciones y empresas. Se trata de una orientación general, en línea con el Modelo de Gestión Avanzada (MGA). Detrás de este marco están Euskalit y el Basque Cibersecurity Centre BCSC. Plantea una serie de pautas muy lógicas si te alineas con los seis grandes ejes del MGA: estrategia, clientes, personas, innovación, sociedad y resultados.
La segunda de las referencias es mucho más específica. Se trata del Plan Director de Seguridad (PDS) elaborado por INCIBE como referencia para las empresas. En este caso se propone un trabajo en seis fases muy lógicas, que comienzan por un diagnóstico, pasan por involucrar a la dirección y conseguir un enfoque estratégico y terminan por la típica propuesta PDCA, para priorizar proyectos que, después de desplegados, habrá que evaluar. Desde el punto de vista de la arquitectura, nada nuevo bajo el sol.
En mi caso, estoy realizando en la actualidad, como ya comenté hace unos días, un curso con Venan Llona sobre ciberseguridad. Como buen alumno que intento ser, he identificado siete líneas de trabajo en este ámbito. La primera de ellas es la que me da pie a escribir este post. Tiene que ver con especificar qué riesgos son asumibles en mi caso. Porque me queda meridianamente claro que no voy a por el diez, me conformaría con un notable raspado para ser sinceros. Y, además, tengo todo el rato la sensación de que en la ciberseguridad no hay un final. Así que hay que aprender a convivir con determinado nivel de riesgo, siendo consciente de cuál es y de que hacemos lo que podemos para que la probabilidad del desastre sea escasa. Pero haberla, hayla.
Por otra parte, ya lo siento, pero soy de los que pienso mal. Aquí hay un negocio brutal. Al igual que pasa con las farmacéuticas, el negocio funciona si hay gente enferma. Pues aquí necesitamos virus, troyanos, ransomware, phising, spam y cibertataques diversos para que crezca el otro lado del mercado: la ciberseguridad. Y a menos no va a ir.
Si me pongo pesimista, mi sensación es de indefensión total. Si quieren, me tumban. Luego me queda esperar que tenga suerte. Y hasta donde pueda, que tape los cuatro agujeros fundamentales por los que se me pueden colar. Así que de ahí el título del post: si quiero ir a por la excelencia (o alguna otra palabra de ese nivel) en ciberseguidad ni con siete vidas y el premio gordo de la lotería iba a ser capaz del riesgo cero. Creo que es mejor, por supuesto, ser consciente del riesgo que no meter la cabeza bajo tierra. Pero relájate y disfruta, que no te entre el pánico… que también podría ser.