La palabra "crisis" tiene muchos significados, entonces cabe aclarar desde ahora: el sector de seguridad de la información no está en pánico ni perdió su norte. Pero una serie de circunstancias e incertidumbres ha dejado un panorama poco alentador para los próximos años, y es necesario estar a la par de esos acontecimientos para que sea posible ofrecer soluciones digitales y conectadas con la confiabilidad que los consumidores y ciudadanos esperan.

La pandemia de la Covid-19 fue un ingrediente más en ese caldo, pero no el único. Los ataques cibernéticos y sus impactos también venían en trayectoria ascendente: en 2017, o virus WannaCry dejó ver fragilidades técnicas en algunos servicios esenciales, mostrando cómo somos dependientes de la tecnología y de la conectividad – sea en el transporte público, en la educación o en la salud.

La búsqueda por profesionales fue aumentando desde entonces, disparando un alerta sobre la escasez de mano de obra para el sector – y el home office dejó todo incluso más desconcertante . Es verdad que aumentó la demanda por conectividad y por canales seguros de comunicación, estimulando revisiones hasta en políticas de seguridad de la información que antes no contemplaban accesos remotos y variados. Pero eso no fue todo.

Después que Facebook cayó, en octubre de 2021, la red social reveló que uno de los desafíos para la normalización era el movimiento y el acceso físico de los ingenieros a los enrutadores que debían ser reconfigurados – la empresa, acostumbrada a realizar mantenimiento remoto, no esperaba un escenario en el que la propia red no estuviera disponible.

Esto manifiesta un cambio en el mercado laboral. Si el enrutador y los servidores necesitan ocupar un espacio físico en algún lugar, el profesional no siempre tiene esta limitación. Ni las restricciones de viaje impidieron que los especialistas en tecnología y seguridad buscaran y encontraran empleos en cualquier lugar del mundo – y trabajando en casa.

Con la escasez de profesionales y la competencia de mano de obra volviéndose cada vez más global, encontrar y adoptar soluciones (aunque sean buenas y “simples” prácticas, encontradas en cualquier manual) se hizo cada vez más difícil.

Demanda sin conciencia

El menú "iniciar" del Windows nació con el rótulo de "Sistema", pero las pruebas de usabilidad no fueron buenas: quien nunca había usado una computadora en la vida no sabía qué hacer delante del teclado y del mouse. Cuando la Microsoft testeó el rótulo "Iniciar", muchos usuarios arriesgaron el primer clic, abriendo el menú que accedía al sistema. 

El rótulo del botón desapareció en el Windows Vista, pero la lección sobre usabilidad permanece. Lo que es poco intuitivo, sin embargo, son los riesgos involucrados y los cuidados que ella exige. De la misma manera que el menú del sistema se transformó en "iniciar", existen muchas palabras en el ramo cuyo significado tiene historias poco intuitivas.

El usuario consciente sabe recibir una novedad – entender cómo funciona un servicio, verificar las opciones de seguridad y dejar todo ajustado para evitar sorpresas. Pero no es así para todos. El encanto de las facilidades muchas veces ofusca la visión para los riesgos – sea una aplicación graciosa, un catastro de promoción o un CUIT en la farmacia, no siempre todos preguntan por qué las cosas son así.

No es de extrañar, entonces, que no todo el mundo desconfíe de los mensajes fraudulentos, ni que sea difícil instruir a la nueva generación sobre el riesgo de mecánicas adictivas en juegos electrónicos o algoritmos de participación que funcionan como depredadores de nuestra atención. La tecnología no previó todos los riesgos de su propia adopción.

La legislación ayuda, pero es limitada 

Cuando las personas tienen dificultades para imponer sus intereses, esta tarea pasa a la legislación. En diciembre, la periodista Kara Swisher publicó un artículo de opinión en el New York Times diciendo exactamente eso: el Congreso precisa actuar más en el sector tecnológico.

En Brasil, la Ley General de Protección de Datos (LGPD) entró en vigor en agosto. Inspirada en leyes existentes en Europa y algunos estados de Estados Unidos, ella provoca una transformación en la cultura de las empresas: muchas vieron los datos personales como meros archivos y planillas, y no como propiedad de un ciudadano. Incluso tres años después de la sanción del texto, el significado de esto no está del todo claro para todos.

Y los sistemas no siempre nos dan la capacidad de hacer valer los derechos garantizados. Estamos obligados a aceptar o rechazar los "cookies" cada vez que visitamos un sitio web, aunque la tecnología para hacerlo automáticamente existe desde hace décadas. Está bien que la LGPD y otras leyes similares (como la GDPR en Europa) requieran el consentimiento de las personas, pero ¿a qué damos nuestro consentimiento al hacer clic en "Aceptar"?

Al igual que el botón "Iniciar", "Aceptar" es muy intuitivo. Pero … ¿adónde fue a parar la idea del clic consciente, que es tan importante para la seguridad?

Retirar el control de las personas (ya sea adoptando algoritmos que deciden todo por ellas o tratando de eludir la configuración del navegador) nos ha dejado el legado de una web hostil. El camino digital está "acelerado", sin duda, pero cabe preguntarse qué parte de esta velocidad se debe al desconocimiento de las políticas de datos y privacidad ("la señalización") que rige el intercambio de información.

Más aún, a diferencia de la señalización vial, no existen patrones para la señalización de la web. Tampoco los iconos de seguridad son los mismos en diferentes sistemas y navegadores. Las personas conscientes y la información de calidad pueden reducir el impacto y el índice de ataques cibernéticos, pero este no es un problema fácil de resolver, especialmente sin crear barreras a la innovación.

La convergencia de las soluciones

Por diversos que sean los problemas, existe mucha convergencia cuando se habla de soluciones.

Educar mejor a la nueva generación, recordando que la seguridad digital comienza temprano, como propuso el evento del DISI en 2021, promovido por el CAIS de la RNP, generará profesionales preparados para el futuro.

Las personas más conscientes e interesadas en la seguridad contribuyen a la madurez de los sistemas cuando presionan al mercado a dar prioridad al tema, además de actuar como barreras frente a los ataques cibernéticos.

Y si no hay suficientes especialistas en las tecnologías más recientes, traer visiones de afuera para el campo de la seguridad y de la tecnología, con diversidad humana y de aptitudes, puede ayudar a desactivar el "apagón tecnológico". Y la pluralidad puede contribuir con sistemas más humanos, más simples, previsibles y resilientes.

Está claro que tenemos que mejorar en tecnología, reduciendo la posibilidad de error humano y sus impactos, y esto contribuye con toda la cadena, desde el usuario hasta el administrador del sistema. Y si ocurren problemas, es necesario saber cómo evaluar los impactos y activar un plan de recuperación. Es la suma de estos elementos lo que brinda a las personas las garantías necesarias para integrar aún más la tecnología en su rutina.