En el mundo de la aeronáutica lo tienen claro: el objetivo primordial es la seguridad. Nadie puede discutirlo, hasta que encontramos dos tipos de seguridad porque un pequeño “lost in translation” nos impide saber, al menos en castellano, a qué nos estamos refiriendo con una sola palabra.
Y es que en nuestro idioma usamos “seguridad” para todo, cuando en realidad debemos ponerle un apellido o apoyarnos en el inglés para entender a qué nos referimos. Tenemos por un lado la “safety” en inglés. Se enfoca en la prevención de accidentes e incidentes relacionados con la operación de aeronaves. Una buena “safety” tiene como objetivo implementar y mejorar procesos para reducir el número de accidentes e incidentes y minimizar riesgos. Se encarga de que el avión vuele sin problemas que pudiesen derivar en un accidente.
Y luego tenemos la “seguridad”, en inglés, esta vez sí, la palabra es “security”. Se centra en la protección contra agentes externos que puedan provocar un problema y su objetivo es proteger de cualquier agresión ocasionada a pasajeros, tripulaciones… Aquí entrarían los ataques informáticos a los sistemas que mantienen la operatividad del vuelo (la cibersecurity). El avión debe protegerse de los elementos externos que pudieran derivar en un accidente.
Aunque ambos conceptos se traducen al español como "seguridad", en inglés se distinguen claramente ("safety" y "security") para abordar la seguridad con objetivos diferentes. La “safety” se trabajó desde el inicio, las vidas humanas eran prioritarias. Con la “security” se fue aprendido muchas veces a base de lamentables errores u omisiones.
Para una buena “safety” las aeronaves implementaron una dinámica que abordase directamente a una serie de problemas humanos perfectamente identificados contra los que luchar: los conocidos como “dirty dozen”.
Estos son el estrés, tensión que afecta el rendimiento y la toma de decisiones; presión, sensación de urgencia o demanda excesiva; falta de asertividad, incapacidad para expresar preocupaciones de manera clara; exceso de confianza, complacencia que subestima riesgos; distracciones; mala comunicación, transmisión ineficaz de información crucial; falta de conocimiento; fatiga; falta de conciencia, no percibir completamente la situación o sus implicaciones; normas o malas costumbres; trabajo en equipo, problemas en la colaboración y coordinación; y la falta de recursos, carencia de herramientas, equipos o personal.
Como se observa, todos muy orientados a una falta de atención o toma de decisiones informadas.
En ciberseguridad podemos aprender de este modelo aeronáutico. Queremos no solo una buena “safety” (que todo funcione sin problemas), sino también una buena “security” (reducir los ataques). Aunque a veces nos dé la sensación de que un objetivo se contrapone al otro y que la implementación de una buena “security” puede llegar a estorbar para la “safety”. Por ejemplo, que no exista presupuesto para seguridad porque la continuidad de la operativa se supone más relevante. O que la complejidad de la defensa en seguridad impacte en el rendimiento de la operativa, o que se sobrevalore la complejidad de adopción de medidas… Sin embargo, la realidad es la contraria: el reto debe apuntar a que ambos se desarrollen a la vez y se retroalimenten. Porque sin “security” tampoco habrá “safety”.
Para mantener el sistema funcionando sin que sea agredido por malware o agentes externos atacantes, no solo es necesario invertir en herramientas técnicas, sino que se deben además identificar perfectamente estos “sucios doce” que nos afectan en mayor o menor grado. Nos permiten conocer al enemigo que, más veces de las que pensamos, no se esconde en la tecnología, sino en el factor humano que la opera.
Una nos puede llevar a la otra de una forma mucho más natural que con lo puramente técnico, porque lo técnico se nos escapa en la mayoría de los casos, pero los parámetros humanos nos son comunes.
Los “dirty dozen” de la ciberseguridad pueden ser muy parecidos a los de la aeronáutica. Debemos convertir esa “safety” y “security” en una sola seguridad integral.
