Q & A sobre Riesgos Cibernéticos y Replanteamiento de la Producción de Software
Comparte esto
Hablando sobre el Consejo Asesor de Seguridad de Splashtop, los riesgos cibernéticos y el replanteamiento de la producción de software con el experto en ciberseguridad Sebastian Goodwin
Por Mark Lee, director general y cofundador de Splashtop
Splashtop ha hecho pública recientemente una incorporación a nuestro Consejo Asesor de Seguridad , que anunciamos en diciembre de 2020: Sebastian Goodwin. Sebastian es investigador en ciberseguridad, ponente principal, asesor corporativo, profesor adjunto en la Escuela de Información de la UC Berkeley y Director de Seguridad de la Información (CISO) en Nutanix. Tiene más de 20 años de experiencia ayudando a las empresas Global 2000 a gestionar el ciberriesgo a escala.
Sebastian habló recientemente con el director general de Splashtop, Mark Lee, sobre las razones por las que se unió al Consejo Asesor de Seguridad de Splashtop, por qué le apasionan los temas de seguridad y cómo ve el panorama de la seguridad en esta era de aumento de los ataques de ransomware y otras amenazas a la ciberseguridad.
Mark Lee: Sebastian, estamos encantados de que formes parte de nuestro Consejo Asesor de Seguridad. Creo que conociste Splashtop a través de uno de nuestros inversores, ¿correcto?
Sebastian Goodwin: Sí, así es. Conocía mi trayectoria y sabía que Splashtop buscaba asesores de seguridad, así que tenía sentido reunirnos.
Mark: Tienes una enorme experiencia profesional en ciberseguridad, con tus funciones actuales como CISO en Nutanix y miembro de la junta directiva de SADA, un Partner Premier de Google Cloud y proveedor de soluciones, así como tus anteriores puestos de liderazgo relacionados con la seguridad en Palo Alto Networks, Robert Half, PeopleSoft e IBM, entre otros. Tienes una visión a vista de pájaro de cómo afrontan las empresas el ciberriesgo. En general, ¿en qué medida crees que las organizaciones abordan la seguridad hoy en día?
Sebastian: Las empresas se enfrentan hoy a riesgos de ciberseguridad sin precedentes. Como han puesto de relieve noticias recientes, el ransomware es una gran amenaza. Los atacantes se han dado cuenta de que pueden ganar ventaja atacando software que se utiliza ampliamente en diferentes industrias y mercados. Las empresas tienen que replantearse cómo producen el software para mantener mejor la seguridad y conservar la confianza de los clientes.
Mark: ¿Puedes decir algo más sobre cómo las empresas tienen que "repensar" su forma de producir software?
Sebastian: Claro. Replantearse significa encontrar el equilibrio adecuado a lo largo del espectro entre la seguridad en un extremo y la agilidad empresarial en el otro. Invertir mucho en ofrecer rápidamente nuevos productos y funciones a los clientes puede significar invertir menos en seguridad. Pero invertir en seguridad lleva tiempo y puede disminuir la agilidad y la capacidad de seguir siendo competitivo.
La clave está en encontrar el punto justo a lo largo del espectro en el que seas capaz de servir a tus clientes con los productos mejorados y las prestaciones que demandan, al tiempo que haces que tus productos sean lo más seguros posible.
Mark: Los clientes se han acostumbrado a esperar que se les ofrezcan las últimas y mejores funciones, rápidamente, pero puede que no sean conscientes de los riesgos de utilizar un software que no ha sido investigado a fondo. ¿Ves que eso cambie?
Sebastian: Todo forma parte de un cambio mayor en la concienciación sobre los riesgos cibernéticos. Está claro que cualquier empresa o persona que haya sufrido un ataque de primera mano comprende la importancia de unas buenas prácticas de ciberseguridad, aunque llegue a esa conclusión demasiado tarde para librarse del impacto de un ataque. Los que aún no han sufrido un ciberataque pertenecen a una de estas dos categorías: O están comprometidos a protegerse proactivamente a sí mismos y a sus empresas, o se están convirtiendo en un blanco fácil. Un ataque puede costarles el negocio.
Mark: ¿Qué pueden hacer las empresas de software como la nuestra para ayudar a proteger a nuestros clientes de convertirse en víctimas de la ciberseguridad?
Sebastian: Empieza por tener muy en cuenta la seguridad y diseñar productos de software que sean seguros por defecto. Por ejemplo, haz que la autenticación de dos factores sea predeterminada para autenticarse en tus servicios a través de redes públicas.
Adopta una postura de confianza cero, lo que significa no confiar en nada ni en nadie. Asume que todo será violado en algún momento, y trabaja para limitar tu radio de explosión, el término de la industria de la seguridad que describe hasta dónde se extiende un ataque determinado. Por ejemplo, haz que si un usuario de una red tiene un dispositivo comprometido, el malware no pueda propagarse más allá de ese usuario para infectar otros dispositivos de la red.
Mark: Te has comprometido a enseñar a las empresas a mejorar sus prácticas de ciberseguridad. ¿Puedes hablar un poco de ese aspecto de tu trabajo?
Sebastian: Creo que es crucial que las organizaciones sean capaces de medir y gestionar eficazmente su riesgo cibernético para que puedan proteger proactivamente su negocio. Una forma en que ayudo es como conferenciante independiente sobre ciberseguridad y asesor de directores generales y consejos de administración. Formar parte de tu Consejo Asesor de Seguridad es un ejemplo de esta función. También imparto un curso de posgrado que creé para la UC Berkeley, en el que ayudo a los futuros líderes tecnológicos y empresariales a ser más hábiles en la evaluación y gestión de los riesgos cibernéticos, tanto desde el nivel ejecutivo como desde el de la junta directiva.
Mark: Está claro que te apasiona la gestión de los ciberriesgos. ¿De dónde viene esa pasión?
Sebastian: Bueno, me interesan los ordenadores desde que tengo uso de razón. Aprendí a programar de muy joven, en la época de los módems de 2400 baudios y los albores de la web mundial. Siempre me han fascinado los hackers y la creatividad y destreza que implica la piratería informática. Piensa en ello. Primero tienes que comprender en profundidad cómo se ha construido un sistema para que funcione de una determinada manera, y luego tienes que descubrir formas de hacer que ese sistema haga cosas para las que no fue diseñado.
Es un rompecabezas fascinante y un reto. Una anécdota graciosa: En el instituto casi me expulsan cuando fui capaz de eludir el software de encriptación de disco completo recién instalado en el departamento de informática. Lo único que me salvó fue que uno de mis profesores había lanzado casualmente un reto a "cualquier estudiante que pudiera piratear la encriptación indescifrable". Afortunadamente, me libré de la expulsión.
Mark: ¡Nos alegra que hayas decidido seguir trabajando para prevenir ataques en lugar de unirte al lado oscuro de la piratería dañina!
Sebastian: ¡Yo también! Pero creo que tener aprecio por el nivel de habilidad de los hackers es importante. Cuando contrato personal de seguridad para mis equipos, me aseguro de que comprenden toda la pila tecnológica. Un universitario recién licenciado que sea muy bueno escribiendo código necesita mucha formación para llegar al punto en que pueda comprender todas las formas en que se puede burlar el software que está construyendo. Es un reto sin fin, pero también es infinitamente fascinante.
Mark: Muchas gracias por esta conversación, Sebastian. Y gracias por unirte a nuestro Consejo Asesor de Seguridad para ayudar a Splashtop a mejorar continuamente la seguridad de los productos que ofrecemos.
Sebastian: Aprecio la actitud de seguridad de Splashtop. Al igual que mi empresa actual, Nutanix, Splashtop se compromete a mirar hacia el futuro y a ser proactiva con respecto a los riesgos de seguridad. Ése es el único punto de partida responsable para averiguar cómo construir las soluciones más seguras para nuestros clientes.
