viernes, 17 de abril de 2020

Videojuego RUN CISO RUN


Días pasados publicamos el videojuego retro RUN CISO RUN. Lo utilizamos desde hace ya unos años en nuestras participaciones en ferias comerciales y congresos. Tengo que reconocer que ha evolucionado mucho a lo largo del tiempo y esperamos siga evolucionando, ya que lo encontramos tan pegadizo como los otros juegos de la década de los 80 por su simpleza (gracias a nuestro genio Pablo Abratte).

Dinámica del juego

En el juego nos encontramos con una pantalla dividida verticalmente en tres secciones:
  • A la izquierda se plantea un escenario de inacción absoluta, donde los ataques provienen desde el exterior y solo las herramientas técnicas tratan de detener a los ciberdelincuentes.
  • En el centro está nuestro personaje, el CISO, que corre para generar contenido e impartir el programa de concientización en ciberseguridad a los usuarios finales.
  • A la derecha se encuentra SMARTFENSE como plataforma de concientización, lanzando las campañas de forma constante.
En la medida que la velocidad del juego se va acelerando, nos vemos corriendo en búsqueda de generar contenido e impartirlo. Esto se da de forma reactiva y muchas veces ante la vorágine del juego (y de nuestra labor como CISOs) nos damos cuenta que no lo estamos haciendo de forma eficaz ni eficiente. Y este juego que dura apenas 90 segundos nos deja exhaustos...

Análisis de resultados

Al finalizar la partida, recién podremos comparar los costos de cada una de las alternativas. Las mismas que tenemos en la vida real como CISO de nuestra organización…


Se puede ver a la izquierda que la inversión en el caso de la inacción obviamente fue nula en concientización en seguridad de la información para los usuarios finales, pero lamentablemente las amenazas fueron despiadadas, llevándonos a gastar ese dinero ahorrado y mucho más en la remediación.

A la derecha actuó SMARTFENSE. Al ser una plataforma de concientización que nos permite programar campañas según el programa de awareness diseñado, asegura que se generan hábitos seguros en los usuarios con una inversión baja. De esta manera, es posible disminuir el riesgo ante phishing, spear phishing y ransomware. 

Los resultados en la pantalla del medio dependerán de cómo lo hayamos hecho nosotros, si ahorramos o invertimos, y de nuestra capacidad de respuesta ante las condiciones externas. En este caso, destacamos que no es fácil pensar cuando actuamos de forma reactiva a la situación que se nos presenta, y tampoco sabemos los efectos hasta que termine el juego (o el año, en el caso de nuestra organización).

¿Es posible “ganarle” a SMARTFENSE?

En el videojuego sí, ya que está diseñado para que las amenazas se lancen aleatoriamente, por lo que es normal que la instancia de la derecha donde está SMARTFENSE también reciba ataques (como puede pasar en la vida real). La situación del medio depende de nosotros, por lo dependerá de la expertise de cada uno encontrar la forma de invertir lo menos posible en formación y además, frenar gran parte de las amenazas. Para eso necesitamos muchos intentos de práctica (o años en la vida real). Aún así, estaríamos corriendo todo el tiempo… ¿es lo que queremos?

Esa fue la pregunta que me hice hace ya varios años y la respuesta fue un “no” rotundo. De hecho, fue el motivo por el que creamos SMARTFENSE. Para los que no lo saben, hace ya varios años me encontraba trabajando como CISO y me la pasaba corriendo sin saber qué tan efectivo era nuestro esfuerzo. Dándonos cuenta de esto, notamos que en el mejor de los casos, lograr un programa de concientización con una calidad y eficiencia aceptable nos iba a llevar años. Y finalmente nos íbamos a volver expertos en algo que podría haber sido tercerizado desde el inicio, con mucha mejor calidad, eficacia y control

Teniendo en cuenta lo anterior, la escasez de personal de ciberseguridad y sabiendo que otros tantos CISO en Iberoamérica se encontraban en la misma situación, decidimos dejar de quejarnos y actuar, en este caso creando una plataforma de concientización específica.

En los inicios de nuestra empresa también detectamos que la gran mayoría de los CISOs estaban colapsados de tareas, y por más simple que fuera la solución, en muchos casos no encontraban el tiempo ni para implementarla. Es por ese motivo que encontramos el aliado perfecto en los partners que entregan valor agregado, acompañándolos, no solo en la implementación y en la resolución de los inconvenientes, sino en el establecimiento de la línea base, en la programación, en la analítica y en la generación y adecuación de contenidos específicos. Hoy en día, nos es difícil pensar en trabajar sin ese aporte de valor ya que cada organización que quiera generar hábitos seguros en los usuarios finales necesita un diagnóstico preciso y un mensaje adaptado a su realidad, y es por eso que el partner integrador juega un rol clave.

Conclusiones finales

Si bien el juego trata sobre la concientización de usuarios, cada CISO se encuentra ante esta situación a diario en varios frentes, por lo que esperamos que el juego pueda ayudar a hacer esa retrospectiva y pensar qué es lo que quieren de su área de ciberseguridad y de su calidad de vida.

0 comentarios:

Publicar un comentario