Lo que las organizaciones sin fines de lucro están mostrando a la industria de la ciberseguridad

¿Qué pasaría si abordáramos la ciberseguridad no como una casilla de verificación de cumplimiento o una respuesta a la crisis, sino como un acto de servicio?  

Esa fue la pregunta a la que volví luego de mi conversación con la Dra. Kelley Misata, fundadora y directora ejecutiva de Sightline Security, en el último episodio de The Segment.  

El camino de Misata hacia la ciberseguridad no fue típico. Fue personal. Luego de ser acosada durante años por alguien que usaba tecnologías anónimas, obtuvo un doctorado en seguridad de la información para comprender cómo las herramientas digitales podían proteger y dañar.  

Esa experiencia dio forma a su enfoque de empatía y su creencia en desmitificar la seguridad para todos.

La brecha cibernética sin fines de lucro

El trabajo de Misata se encuentra en la intersección de la ciberseguridad y el mundo sin fines de lucro, donde las organizaciones impulsadas por una misión a menudo operan con márgenes muy estrechos y con un soporte técnico limitado.  

Pero como dejó en claro, eso no significa que carezcan de sofisticación o propósito. De hecho, a menudo ocurre lo contrario.

Ya sea un refugio para víctimas de violencia doméstica, un banco de alimentos o una organización sin fines de lucro para la prevención del suicidio, lo que está en juego es humano, no solo financiero. Eso significa que los enfoques tradicionales de ciberseguridad no siempre se traducen.  

El lenguaje como "inventario de activos" o "marcos de control" puede parecer abstracto o incluso alienante en entornos donde las personas simplemente intentan ayudar a otros a sobrevivir el día.

Una historia poderosa que compartió Kelley fue sobre una organización de apoyo al suicidio que intencionalmente dirige un foro abierto. Cuando Kelley planteó los riesgos potenciales, el fundador explicó que su comunidad necesitaba un lugar para observar y sentir seguro antes de participar.

"'Esto es lo que necesita nuestra comunidad'", le dijo el fundador a Misata.

Ese momento cambió la forma en que veía el riesgo de seguridad, no como algo que acabar sino como algo con lo que trabajar cuidadosamente.

Incorporar la seguridad en el comportamiento cotidiano

Misata aboga por un cambio de mentalidad, uno que incorpore la ciberseguridad en el comportamiento cotidiano en lugar de relegarla a departamentos de TI aislados.

"Mi sueño es que demos un paso atrás y digamos: 'Eh, tal vez deberíamos pensarlo de nuevo'", dijo. "Entonces, casi se trata de hacer esa pausa en lugar de decir: 'Oh, Dios mío, tenemos que ir a hablar con el equipo de seguridad'".

Ese tipo de cambio cultural lleva tiempo. "Creo que la gente en el espacio de seguridad está impaciente cuando se trata de eso", dijo. "Y espero que tal vez traiga un poco de paciencia a la conversación para decir: 'Está bien. Progresamos. Sigamos adelante'".

Escuche primero, luego cerciore

Esta mentalidad refleja el trabajo de Misata en Sightline Security, donde ella y su equipo traducen los marcos de seguridad a un lenguaje que tiene sentido para las organizaciones sin fines de lucro. Lo hacen no simplificando las cosas, sino escuchando primero.

"Puede que conozca la ciberseguridad, pero no conozco su misión. Entonces, comencemos por ahí", le dice a las organizaciones sin fines de lucro.

Pero advirtió que no hay que apresurar con las respuestas.

"No entres como un superhéroe", dijo. "Entra con humildad. Pregunte cómo operan. ¿Qué les importa? Así es como progresas".

También discutimos el creciente papel del software de código abierto, especialmente en entornos sin fines de lucro, donde las soluciones rentables son esenciales.  

El consejo de Misata: trate los proyectos de código abierto como proveedores externos. Haz preguntas. Comprender la gobernanza. Sepa quién mantiene el código.

Generar confianza en la ciberseguridad en un mundo Zero Trust

A menudo hablamos de Zero Trust en términos de arquitectura: verificación de usuarios, segmentación de redes y eliminación de la confianza implícita.  

Pero el trabajo de Misata nos recuerda que Zero Trust también es una postura cultural. Se trata de no hacer suposiciones: sobre las personas, sobre la tecnología, sobre cómo es la "buena seguridad".

En cambio, se trata de curiosidad. Se trata de conocer a las organizaciones donde están y preguntar, ¿qué necesitas para estar seguro en tu contexto?

El mensaje de Misata es refrescantemente humano en un mundo que valora la velocidad y el control. La seguridad no se trata de ser la persona más inteligente de la sala. Se trata de ser el más presente: escuchar, aprender y adaptar.

Su historia es un recordatorio de que la verdadera resiliencia cibernética no proviene de herramientas perfectas o perímetros herméticos. Proviene de una comprensión profunda de las personas: sus miedos, sus misiones y sus realidades.

Ese es el trabajo que importa. Y comienza preguntando, no diciendo.

Escuche, suscribir y revise El segmento: un podcast de liderazgo de confianza cero

¿Quieres escuchar mi conversación completa con la Dra. Kelley Misata? Escuche el episodio de esta semana en Apple Podcasts, Spotify o donde sea que obtenga sus podcasts. También puede leer una transcripción completa del episodio.