Disparidad de los incentivos: atacantes vs defensores

Disparidad de los incentivos: atacantes vs defensores

        En la actualidad, la tecnología evoluciona a pasos agigantados, y con ella los riesgos que conlleva estar conectados en todo momento, obliga a las empresas a implementar nuevas medidas y estrategias para mantener su activo más valioso, la información, seguro de personas mal intencionadas o de la competencia que enfrenta.

        Sin embargo, las empresas no logran culminar el éxito de la implementación de sus estrategias de seguridad informática, en este sentido, existen diversos motivos que llevan a las empresas al fracaso, como falta de infraestructura, políticas inadecuadas o costos por controlar las vulnerabilidades; sin embargo, el reto que se presenta en aquellas empresas que cuentan con personal dedicado al área de seguridad informática es la disparidad de los incentivos.

En cualquier trabajo, por más relevante que sea para la empresa, si la persona que lo desempeña no está motivada o no se siente valorada, no realiza sus deberes como debería, esto es lo que pasa con la mayoría de los profesionales de seguridad informática; según un estudio realizado por Intel Security revelo que el 21%, de una muestra de profesionales de seguridad de la información, afirman que no reciben ningún tipo de bonificación, gratificación o inventivo.

Si equiparamos la motivación de los empleados de seguridad con la motivación los delincuentes (hackers de sombre negro), existe un abismo enorme de diferencia, debido a que los delincuentes realizan sus actos por convicción, es decir, no están obligados a ser parte de ello, están porque lo quieren; para empezar, es la razón más importante porque los delincuentes ganan en el mercado frente a los profesionales.

Toda esta información es analizada e investigada por distintas empresas dedicadas a la informática en el área de seguridad, por ejemplo, Intel Security (como se mencionaba anteriormente) que cuenta con un estudio acerca de las disparidades de los incentivos, titulado “Tilting the Playing Field: How misaligned Incentives Work Against Cybersecurity”, realizado por su centro de estudios estratégicos e internacionales, publicado en febrero de 2017 y es uno de los principales estudios realizados con respecto del presente tema.

 Detalla las características con las que cuentan los atacantes para desempeñar su trabajo, así como las características que tiene un defensor. En su texto menciona, lo siguiente:

“(…) Misaligned incentives between attackers and defenders mean that the decentralized market in which cybercriminals operate makes them adapt and innovate faster and more efficiently than defenders, whose incentives are shaped by bureaucracies and top-down decision making.” (Intel Security, 02/2017, p. 3)

Es decir, que la principal ventaja que tienen los delincuentes sobre los defensores es la libertad, y así sentido, cuando se ponen a reflexionar acerca de la jerarquía de una empresa, en donde si el alto mando no da el visto bueno, no se realiza, o se debe esperar a que den bandera verde para proceder; mientras que, la contra parte no pierde tiempo, en cuanto se conoce una vulnerabilidad, salen a la carga. ¿Cómo se puede anticipar uno a esto? Si tiene constantes peros y desmotivaciones para poder realizar las cosas.

Todas estas diferencias las categoriza Intel en tres niveles, el primero de ellos es el nivel llamado “Attackers vs defenders” (atacantes vs defensores):

“Attackers’ incentives are shaped by a fluid, decentralized market, making them agile and quick to adapt, while defenders are constrained by bureaucracy and top-down decision making.” (Intel Security, 02/2017, p. 4)

Como se mencionaba anteriormente, los atacantes tienen mayor libertad, el siguiente nivel “Strategy versus implementation” (estrategia versus implementación):

“While more than 90% of organizations have a cybersecurity strategy, less than half have fully implemented their strategies.” (Intel Security, 02/2017, p. 4)

Lo que es lo mismo, dejan el trabajo a la mitad, no basta con que cuenten con una estrategia, se debe invertir tiempo, esfuerzo y recursos para que sea implementada satisfactoriamente y las ganancias sean mayores que lo invertido.

Por último, está el nivel de “Executives versus implementers” (Directivos vs operadores), el cual se define así:

“Senior executives designing cyber strategies measure success differently to those who put strategies into practice, limiting their effectiveness.” (Intel Security, 02/2017, p. 4)

...