Diversidad y crimen cibernético: Resolver rompecabezas y detener a los malos

Diana Kelley se molesta cuando alguien sugiere que la ciberseguridad es una opción de carrera aburrida – después de todo, ella ha dedicado la mayoría de su vida laboral a proteger los datos y a bloquear a infractores digitales.

“Creo que es la parte más interesante de TI. Puede ser un fascinante rompecabezas para resolver. Puede ser como un misterioso asesinato en ese programa, ‘Law & Order’, excepto que cuando ellos encuentran un cadáver, nosotros encontramos una brecha en la red”, comentó.

“Conforme investigamos, pasamos por todos estos giros y vueltas. Y en ocasiones, descubrimos que el verdadero culpable no es el que sospechábamos al inicio”.

Como directora global de tecnología de ciberseguridad en campo para Microsoft, ella quiere borrar las ideas falsas que podrían impedir que las personas de más ámbitos ingresen a su profesión – la cual, argumenta, necesita nuevas formas de pensar e innovar.

Las compañías exitosas saben que, al construir diversidad e inclusión dentro de sus filas, pueden entender y servir mejor a sus muchos y variados clientes. Los equipos de ciberseguridad necesitan leer del mismo libro de jugadas para que puedan anticipar y bloquear mejor los ataques lanzados por todo tipo de personas desde todo tipo de lugares.

“Los cibercriminales vienen de diferentes entornos y ubicaciones y tienen diferentes mentalidades”, comenta Kelley. “Colaboran y utilizan diversas técnicas de ataque para perseguir individuos, compañías y países. Así que, nos ayuda también tener un muy diverso conjunto de protección y controles para detenerlos”.

Saber cómo pueden pensar y actuar los atacantes puede ser difícil para cualquier equipo de ciberseguridad, en particular si está conformado por gente con los mismos antecedentes y puntos de vista similares. Es el tipo de conformidad que incluso puede llevar a una especie de “pensamiento grupal”, que resulta en puntos ciegos y sesgos involuntarios.

El poder de los diferentes puntos de vista

“Si la gente piensa de las mismas maneras una y otra vez, llegarán con las mismas respuestas. Esto solo se detiene cuando se plantean diferentes puntos de vista y se escuchan preguntas diferentes”.

Kelley menciona que los atacantes vienen de, y operan en, muchos entornos diferentes, y los equipos de ciberseguridad necesitan igualar esta diversidad tanto como puedan. Sin embargo, la composición de la comunidad internacional actual de ciberseguridad se mantiene todavía homogénea.

“Cerca del 90 por ciento son hombres y, depende dónde estés en el mundo, por lo general son hombres de raza blanca”, comenta. “En Asia, tiende a ser un poco peor. Sólo cerca del nueve por ciento son mujeres”.

La necesidad de cambio surge en medio de una demanda sin precedentes de ciberseguridad y una escasez crónica de especialistas calificados en el mundo. Kelley ve esto como una oportunidad.

“Tenemos esta gran brecha en la contratación, entonces, ¿Por qué no creamos una comunidad de personas más diversa e inclusiva que trabaje en el problema?”, comentó en una entrevista en su reciente visita a Singapur, una de las muchas ciudades globales que compiten por talento en el sector.

Una preocupación mayor es el desequilibrio de género. Aunque muchos trabajos bien pagados están en juego, de manera relativa pocas mujeres toman, o se mantienen en, puestos de ciberseguridad.

Solucionar el desequilibrio de género

“Cuando entré a este campo, hace casi 30 años, las mujeres tenían una representación muy baja en ciencias de la computación en general”, comentó Kelley. “En ese entonces, asumí que con el tiempo esto cambiaría. Pero no ha sido así”.

Estudios demuestran que las mujeres en ocasiones abandonan las materias STEM (ciencias, tecnología, ingeniería, y matemáticas) en la secundaria o la preparatoria. Algunas mujeres graduadas de universidad si entran a la profesión. Pero muchas la abandonan – y varias lo hacen por razones culturales en el lugar de trabajo.

“Hay una alta tasa de deserción. Necesitamos promover el valor de estudiar STEM. Y, también necesitamos trabajar para la gente que está ahora en el campo al crear ambientes inclusivos de trabajo”.

Kelley se unió a Microsoft hace cerca de dos años. Desde entonces, le ha llamado la atención su fuerte cultura y el respeto por diferentes puntos de vista y en cómo se alienta la inclusión – cosas que no ha visto enfatizadas en otras compañías.

“No todas las ideas son grandes ideas. Pero eso no significa que deban descartarse o deban ser motivo de burlas. Deben respetarse como ideas. He hablado con algunas mujeres en otros lugares que dicen que al no sentirse escuchadas o respetadas, no querían seguir en TI”.

Traer a todo tipo de personas

Kelley dice que se puede hacer más para construir diversidad e inclusión más allá de solucionarla mezcla de género. De nuevo, se siente impresionada por los esfuerzos de Microsoft. “Sí, necesitamos involucrar a más mujeres. Pero también necesitamos traer a todo tipo de personas de diferentes antecedentes sociales y de carrera”.

“Por ejemplo, nuestro equipo – el grupo de soluciones en ciberseguridad en Microsoft – busca gente que tal vez no haya trabajado en ciberseguridad en el pasado, pero que tiene un enorme interés (en tecnología) así como otros talentos. Así que, de esa manera, también creamos diversidad”.

Kelley recuerda su propia entrada al campo por una de las laterales. Ella se enamoró de las computadoras y el software durante su adolescencia cuando descubrió por sí misma lo vulnerables que podían ser las redes en ese entonces.

Luego, se graduó de la universidad con un título poco tecnológico: un título en inglés. Sus primeros trabajos fueron puestos editoriales, pero su conocimiento en tecnología pronto significó que se convertiría en la “persona de TI” en su oficina.

“Al final alguien me dijo, ‘¿Sabes algo? TI es lo tuyo, y tenemos vacantes’. Así que, lo que había sido un pasatiempo para mí se convirtió entonces en una carrera”.

De manera eventual se movió hacia la ciberseguridad después de que un intruso irrumpió en una red que ella acababa de construir. “Pasé de ser una persona de redes y software a alguien muy enfocada en crear arquitecturas y redes seguras y resistentes para frustrar a los malos”.

Necesitamos pensadores diversos

Cuando mira al futuro, ella quiere que un grupo más amplio de buscadores de empleo considere carreras en ciberseguridad, incluso si en la escuela no les gusta STEM.

“Necesitamos pensadores diversos… gente que entienda, por ejemplo, de psicología, que pueda ayudar a entender la mentalidad detrás de estos ataques. Necesitamos grandes mentes legales para que ayuden con ética y privacidad. Y, mentes políticas que entiendan de cabildeo”.

El mundo de la ciberseguridad necesita individuos que sean altruistas y tengan un poco más. “Entramos en este campo porque queremos hacer lo correcto y proteger a las personas y a los datos. Esta es una parte crítica. Y, en verdad también ayuda tener una especie de “mentalidad innovadora”.

Ella explica que cuando los profesionales en ciberseguridad crean sistemas, también tienen que crear modelos de amenazas. Para eso, necesitan pensar, ‘¿Y si yo fuera de los malos? ¿Qué pasaría si tratara de desarmar esto? ¿Cómo se puede desarmar?’ Ese es el punto en el que pueden comenzar a determinar cómo hacer que su sistema sea más resistente a los ataques.

Mientras tanto, está ansiosa por desmentir algunos mitos que giran alrededor del tema de la ciberseguridad.

Para empezar, los días del lobo adolescente inteligente y solitario con una sudadera con capucha que hackea en su dormitorio están más o menos terminados. En la actualidad, solo una pequeña minoría de los autores causan travesuras digitales y vergüenza sólo por decir que lo hicieron o son “hacktivistas” que quieren promover causas ambientales o sociales.

De manera inquietante, existen actores sofisticados patrocinados por el estado que apuntan a las vulnerabilidades de poderes rivales. Los gobiernos del mundo están preocupados con razón por los datos de sus ciudadanos. Pero también temen por la seguridad de infraestructura vital, como redes eléctricas y sistemas de transporte. En consecuencia, los estrategas militares ahora califican lo cibernético como una zona de guerra junto a la tierra, el mar, o el aire.

Dicho esto, la mayoría de los malos están en esto sólo por el dinero y no merecen la gloria y los titulares que en ocasiones reciben.

“No son glamurosos. Muchos están en grandes sindicatos criminales que sólo quieren tomar nuestros datos – lastimarnos y lastimar a nuestros seres queridos”.