| 4 min de lectura
Ser seguro y ser transparente suelen considerarse conceptos opuestos. Hay prácticas como seguridad por oscuridad que promueven la falta de información como forma de proteger los sistemas. Si los atacantes no conocen o no entienden tu software, no pueden explotar sus vulnerabilidades. Por tanto, detalles como el código fuente, la arquitectura y la comunicación entre procesos son guardados en secreto por muchas organizaciones con la intención de proteger a sus usuarios y sus datos.
Sin embargo, organismos como el NIST (National Institute of Standards and Technology) y el CWE (Common Weakness Enumeration) identifican la "Confianza en la seguridad por oscuridad" como una debilidad. Técnicas como el black-box hacking, la ingeniería inversa o el abuso de fugas de información permiten explotar sistemas ocultos por oscuridad, dejando claro que esta estrategia es ineficaz y solo proporciona una falsa sensación de seguridad.
Si la oscuridad no es una solución, ¿lo será la transparencia? Creo que la transparencia responsable aporta más beneficios de seguridad de los esperados, así que hablemos de ella:
Las razones detrás de la seguridad
La seguridad no solo consiste en proteger los datos de los usuarios o los elementos diferenciadores de la empresa. También se trata de preservar la confianza que los usuarios tienen en el sistema. La confianza es el activo más importante e invaluable que puede tener una compañía y el más difícil de recuperar una vez se pierde. La confianza en sí misma puede ser un diferenciador de negocio.
Piensa en las aplicaciones que utilizas a diario y enumera cuántas de ellas prefieres porque te generan confianza. Por ejemplo, tu aplicación de transporte favorita que elegiste por encima de otras opciones más económicas; tu aplicación de mensajería favorita que preferiste por encima de otras con más funciones; tu aplicación bancaria; tu aplicación de alojamiento, etc. Cuando las aplicaciones generan confianza, reciben usuarios que las usan bastante y que cuentan a otros usuarios su excelente experiencia con ellas.
Empresas como Uber y Airbnb comprenden la importancia de la confianza e invierten activamente en ella. En sus aplicaciones, ofrecen contenidos centrados en el usuario, proporcionan interfaces atractivas y añaden funciones sociales (por ejemplo, compartir información sobre viajes o lugares de alojamiento, votar en sistemas de rating, etc.) para generar confianza a partir de la experiencia.
En definitiva, las estrategias para atraer o retener a los usuarios basadas en la experiencia dependen en gran medida de la comprensión de las desventajas de otras soluciones en el mercado. ¿Qué podrían hacer las empresas para utilizar la confianza de los usuarios como elemento diferenciador?
Efecto de la transparencia
Aunque sabemos que la apertura es un factor clave para generar confianza entre humanos, también sirve para generar confianza entre humanos y sistemas. Piensa por un momento en cómo grandes empresas tecnológicas altamente maduras como Google, Meta, Amazon o Microsoft facilitan mucha información sobre su infraestructura, prácticas y estrategias de seguridad sin aparente ánimo de lucro.
AWS, por ejemplo, invita a las compañías con buenas prácticas en la nube a compartir información sobre su infraestructura y cómo resuelven los problemas a los que se enfrentan. Es más, la propia AWS comparte cómo construyó sus servicios para garantizar la seguridad y fiabilidad a todos sus usuarios.
Por su parte, Microsoft mantiene una excelente documentación, la cual incluye fundamentos y explicaciones de sus decisiones técnicas, aportando así conocimientos y ganándose la confianza de los usuarios. Las prácticas de seguridad también son material que puede documentarse dentro de la aplicación y compartirse con el público, como hace WhatsApp, por ejemplo, con su cifrado de extremo a extremo.
Por otro lado, Meta tiene un buen ejemplo de página de status en la que la gente puede estar al tanto de los servicios afectados en todas las aplicaciones (por ejemplo, Instagram, Facebook, WhatsApp Business API, etc.). Esta página informa a los usuarios sobre las interrupciones menores y mayores y el trabajo en curso para solucionarlas. Además, las páginas de status pueden incluir métricas y filtros regionales, como es el caso de la de AWS.
Los usuarios tienen una impresión positiva y una sensación de seguridad cuando las empresas son transparentes. Incluso pueden acabar defendiendo incondicionalmente a las compañías que se han ganado su confianza. Las empresas son, al fin y al cabo, agentes sociales que fortalecen las relaciones con sus clientes.
La transparencia como cultura
Incluso si una compañía implementa prácticas de transparencia como las descritas anteriormente, la confianza se construye tanto externamente con los usuarios como internamente con el equipo. En una organización, la apertura transforma la seguridad psicológica, las conversaciones y el feedback que se recibe. La apertura en la cultura empresarial garantiza las condiciones adecuadas para crecer y aprender mucho en lo bueno, en lo malo, en la salud, en la enfermedad...
Los equipos se convierten en comunidades en las que la resolución de problemas es un reto de grupo y no un trabajo individual motivado únicamente por el deseo de logro personal o el miedo a ser despedido. Los equipos colaborativos nacen de organizaciones transparentes.
Todavía estoy muy fascinado por la mayor interrupción de GitLab, pero sobre todo por la respuesta del equipo. Un desarrollador borró accidentalmente la base de datos de producción junto con su copia de seguridad principal. Los ingenieros de GitLab explicaron la situación e iniciaron una transmisión en directo para documentar sus esfuerzos por solucionar el problema. Fue una situación muy estresante, pero GitLab es un proyecto de código abierto, y cada colaborador tiene un fuerte compromiso con la transparencia y el conocimiento abierto. Así que decidieron compartir públicamente su interrupción como estrategia de control de daños.
GitLab sigue siendo uno de los hosts más utilizados para almacenar código después de aquel fracaso. Nos enseñaron a todos a utilizar la transparencia para mitigar posibles malas impresiones en los usuarios. Sin duda, el esfuerzo en grupo y la apertura a la hora de resolver un incidente protegen y mantienen la confianza de los usuarios en los productos y servicios.
Conclusiones
Entre las muchas formas de mejorar la seguridad y generar confianza, adoptar una estrategia de transparencia bien ejecutada puede aportar importantes beneficios a tu compañía. No se trata solo de tener código abierto o de compartir conocimientos libremente; se trata también de entender que la confianza se gana y se mantiene siendo tan transparente como sea necesario tanto con tus usuarios como con tu equipo para fomentar el crecimiento.
La seguridad a través de la transparencia es una estrategia viable que las empresas deberían considerar para reforzar su posición en el mercado. Ser abierto y compartir conocimientos siempre merece la pena. Por eso, en Fluid Attacks, no solo hablamos de transparencia, sino que la materializamos.
Blog posts recomendados
Quizá te interesen los siguientes posts similares.
Retos, amenazas y buenas prácticas para los comerciantes
En qué consiste y cómo mejora tu postura de seguridad
Ataques complejos basados en la web y medidas proactivas
La importancia de las API seguras en este mundo dominado por apps
Protege tus aplicaciones en la nube de las ciberamenazas
Detalles de esta tendencia y dudas sobre la privacidad de los datos
Una lección de este colapso mundial es moverse hacia la izquierda