He sido un profesional de la informática y la seguridad durante casi toda mi vida adulta.
Empecé mi carrera como ingeniero de redes y me convertí en ingeniero de seguridad con bastante rapidez.
Empecé añadiendo una certificación de cortafuegos, luego añadí la detección y prevención de intrusiones.
Las áreas de seguridad siguieron creciendo; añadiendo investigaciones forenses, eDiscovery, consultoría de proyectos y mucho más.
En la consultoría de proyectos, nos centramos en garantizar que el nivel de riesgo de un proyecto estuviera dentro de los niveles aceptables para la organización.
He estado al frente de la organización de ciberseguridad en mis tres últimas funciones; pero he querido ser piloto desde que tengo uso de razón.
En 2018, me convertí en piloto certificado y en 2019 en instructor de escuela de tierra avanzada y de instrumentos.
Hace poco terminé de impartir una clase formal de escuela de tierra a unos 15 alumnos de diferentes niveles de habilidad, edades y objetivos para sus carreras de pilotaje.
Uno de mis alumnos recientes tiene más o menos la misma edad que yo, ha soñado con volar toda su vida y sólo quiere hacerlo por diversión, mientras que otro alumno tiene 16 años y el deseo de volar para las aerolíneas, y otro joven estudiante tiene el deseo de ser piloto de las Fuerzas Aéreas de los Estados Unidos.
Aunque existen diferentes factores impulsores y niveles de inversión para cada uno de estos alumnos, hay algunos fundamentos clave de la profesión que deben comprender y adoptar.
Mientras escribo este artículo, miro mi estantería llena de materiales de formación en aviación, libros técnicos y de seguridad.
Si saco el Reglamento Federal de Aviación (FAR) y el Manual de Información para Aviadores (AIM), descubrirá que contiene 540 páginas de las normas y reglamentos contenidos en el Título 14 del Código de Reglamentos Federales, que rige a los pilotos, las aeronaves, el vuelo y otros aspectos relacionados.
La versión del libro que yo tengo fue escrita para pilotos y, por lo tanto, no contiene ninguna de las innumerables normas y reglamentos que rigen la industria de la aviación en su conjunto. «La aviación, en sí misma, no es intrínsecamente peligrosa. Pero en un grado aún mayor que el mar, es terriblemente implacable con cualquier descuido, incapacidad o negligencia». – Capitán A. G. Lamplugh, British Aviation Insurance Group, Londres.
1930’s Pensando en mi primer día de clase en la escuela de tierra, cubriendo la historia del vuelo y la Administración Federal de Aviación (FAA), y la historia del vuelo en general remontándonos 117 años atrás, ninguna de esas regulaciones o normas existía.
Con el tiempo, a medida que la industria de la aviación crecía y que pilotos, pasajeros y civiles perdían la vida, se crearon estas leyes, desgraciadamente escritas con sangre, para evitar que se perdieran más vidas.
Y cuando pienso en todas las normativas y requisitos de seguridad actuales en el mundo cibernético, como la HIPAA, la SOX, o más recientemente con respecto a la privacidad con la GDPR, la CCPA y otras normativas de privacidad, estas también están escritas con vidas.
Aunque puede que estas leyes no se hayan escrito porque alguien haya perdido la vida, algunos han perdido su medio de vida, su identidad o sus ahorros.
La mayoría de las regulaciones en las FAR son prescriptivas, esto es lo que debe hacer.
Hay algunas normas y directrices en Ciberseguridad que son duras y rápidas, que deben seguirse.
La mayoría de las otras áreas son más sugerentes y abiertas a la interpretación, como las preguntas de «¿Debería?» o «¿Qué puedo hacer para reducir las posibilidades de que eso ocurra?».
Aquí es donde entran en juego la gestión de riesgos y la discreción.
Volar es una actividad muy gratificante y hay medidas que se toman para reducir el riesgo.
Cuando enseño, me gusta adoptar el enfoque de hacer que el alumno piense en qué técnicas de gestión de riesgos utilizaría para garantizar el resultado positivo en caso de que algo no saliera como estaba previsto.
Lo mismo se aplica en el ciberespacio: Qué pasos va a dar para garantizar el resultado satisfactorio de un proyecto y reducir la probabilidad de que algo salga mal, y cómo va a abordar esos riesgos en caso de que algo salga mal de todos modos para poder minimizar el impacto de lo que salió mal.
(Gestión de riesgos y respuesta a incidentes).
Tengo la intención de publicar una breve serie de artículos que comparen y contrasten la Gestión de Riesgos de la Aviación con la Gestión de Riesgos de la Ciberseguridad.
Me encantaría colaborar con otros profesionales de la Ciberseguridad que también sean pilotos sobre las similitudes y diferencias en futuros artículos.
En el próximo artículo abordaré las listas de comprobación, lo que son y lo que no son, y cómo utilizarlas en un enfoque basado en los riesgos.
A continuación me centraré en las diferencias de formación y mentalidad entre la aviación y la cibernética.
Después de eso, hablaré de la perforación del procedimiento, de cómo se practica el tratamiento de las cosas que van mal, como los procedimientos de apagado del motor, y de cómo debería poner a prueba regularmente sus procesos y procedimientos de ciberseguridad, como las copias de seguridad, los parches, la respuesta a incidentes, etc.
