Preguntas y respuestas sobre ciberseguridad de extremo a extremo con Davison Paull y Mike Maletsky

Charlamos con los expertos Davison Paull, de Dashlane, y Mike Maletsky, de Embroker, para que nos contaran todo sobre sus carreras profesionales en ciberseguridad. Siga leyendo para saber cómo llegaron al sector, sus mejores momentos y los cambios que ven en la seguridad y las amenazas cibernéticas tanto para personas como para organizaciones.

P: ¿Cómo se inició en el mundo de la ciberseguridad/tecnología?

MM: mi experiencia siempre ha sido con la parte de la empresa relacionada con la suscripción, con especial atención a la administración y la responsabilidad profesional. Durante los últimos seis años he estado involucrado en la convergencia de la tecnología y en garantizar estas líneas de seguros a través de productos y plataformas digitales. Unirme a una Insurtech como Embroker a principios de 2022 fue una transición natural para centrarme más en el aspecto tecnológico de Insurtech.

DP: toda mi carrera judicial la he dedicado al espacio tecnológico más amplio, pero la verdad es que solo me centré más en serio en la ciberseguridad al unirme a Dashlane en 2018. No puedes ofrecer un asesoramiento jurídico eficaz sin conocer la empresa de tu cliente (o clientes), por lo que mi formación profesional comenzó entonces y creo que la tecnología, a veces, resulta bastante mágica.  

P: ¿Qué momento de gran importancia ha experimentado relacionado con la ciberseguridad, ya sea a nivel personal o profesional?

MM: Mi momento crucial sucedió cuando me di cuenta de que la conciencia es la herramienta más poderosa que tiene una empresa. Algunas violaciones de ciberseguridad son como las películas en las que el malo «piratea el ordenador central», pero la mayoría se debe a que los empleados bajan la guardia, incluso solo un segundo. Un informe reciente que ha publicado mi empresa, Embroker, indicaba que en 2022, el 50 % de los empresarios encuestados pensaban que sus pólizas de seguro solo les cubrirían parcialmente en caso de violación. El 27 % dijo lo mismo el año anterior. 

La preocupación crece y el poder de los empleados que miran los correos electrónicos u otros vectores de riesgo a través de una lente de ciberseguridad o con el ojo de un suscriptor es la mejor defensa posible que puede tener una empresa.

DP: darse cuenta de que no puedes estar seguro sin el riesgo de pérdida. Con ello quiero decir que, si el usuario es la única persona que tiene la capacidad de acceder a sus datos en un sistema como un administrador de contraseñas, ya sea a través de la biometría, una contraseña maestra o de otro modo, resulta más seguir que un sistema que tenga una «puerta trasera» u otros medios que permitan a otra persona restaurar esos datos si se pierden las credenciales de usuario. Por otro lado, hay muchas situaciones en las que el riesgo operativo de perder datos supera la necesidad de la máxima seguridad técnica. Equilibrar esas demandas es fundamental en una oferta de ciberseguridad efectiva. 

P: ¿Qué pregunta relacionada con la ciberseguridad se le hace con frecuencia en su puesto?

MM: ¿Está cubierto? Esa es la pregunta número uno que me hacen cuando se trata de seguros en general. La respuesta, casi siempre, es que depende. Hay que hacer las cinco preguntas clave (qué, cuándo, dónde, quién y por qué) y luego alinear la situación exacta con los términos y condiciones de la política, que pueden ser muy confusos. ¿Ha habido una violación en su sistema o en el sistema de un proveedor que usa? ¿Fue causado por un error suyo o de ellos? Ahí es donde entran los profesionales de seguros como yo y las empresas de seguros como Embroker. Ayudenos a solucionar las vulnerabilidades de su empresa y a elaborar una política que se ajuste a sus necesidades hoy y en el futuro.

DP: ¿Cómo funciona el conocimiento cero? ¿Cómo puede una empresa que almacena mis contraseñas no poder verlas? Para ser justos, en calidad de abogado, no me lo preguntan directamente muy a menudo, pero a menudo esto subyace a las preguntas que tienen nuestros clientes y usuarios, y paso mucho tiempo explicando cómo este hecho arquitectónico sustenta muchas de las posiciones que asumimos en nuestros acuerdos. 

P: ¿Cuál es la estadística más alarmante que ha visto que debería hacer que las personas se preocupen más por el futuro de la ciberseguridad?

MM: En la encuesta de Riesgo cibernético de Embroker de 2022, descubrimos que el 68 % de los fundadores encuestados habían sufrido un ciberataque en una de sus empresas. Pero, curiosamente, el 50 % de las personas también consideraba que sus pólizas de seguro actuales solo las cubrirían parcialmente en caso de ataque o violación. Estos hallazgos me indicaron la rapidez con que se mueve la tecnología, así como la necesidad de tener protección contra la ciberseguridad de extremo a extremo. Tener un seguro no resolverá todos sus problemas, ni tampoco lo hará tener solo herramientas y tecnologías de ciberseguridad. Estos deben funcionar juntos para cubrir todos los vectores de riesgo cibernético para empresas de todos los tamaños.

DP: Que la mayoría de las violaciones de seguridad en las organizaciones se producen porque se vulneró la contraseña débil de una sola persona. Dada la naturaleza distribuida de la infraestructura tanto del trabajo como la operativa (piense en cuántas herramientas SaaS usa su organización), realmente ya no hay perímetro en el sentido de seguridad del hardware de TI tradicional en la mayoría de las organizaciones. La interfaz de cada usuario con cada herramienta es un punto de riesgo, y la forma más rentable de limitar ese riesgo es proteger esa interfaz garantizando que las credenciales sean únicas, robustas y seguras.

P: ¿Cómo contribuye a «desmitificar» el campo de la ciberseguridad?

MM: El riesgo cibernético es muy malentendido. Como muchas cosas que conciernen al mundo de hoy, puede olvidarse fácilmente porque no se ve en gran medida. Hasta que le suceda algo a usted o a su empresa, puede ser difícil justificar tomarse el tiempo para aprender sobre lo arriesgado que puede ser el mundo digital. Mi equipo de Embroker trabaja con nuestros clientes y la comunidad empresarial para comprender sus sentimientos (o la falta de ellos) en torno a la ciberseguridad y para ofrecerles recursos para ayudarles. Creamos informes, desarrollamos encuestas, nos asociamos con grandes organizaciones como Dashlane y hacemos que nuestros datos sean lo más transparentes posible para educar a la comunidad empresarial sobre los riesgos y oportunidades de nuestro mundo digital.

DP: Soy un gran partidario de explicar las cosas de forma clara y sencilla. Y valoro esto profundamente porque necesito que las personas puedan explicarme cosas muy técnicas de una forma que luego pueda traducir con precisión en contratos, por lo que he aprendido muy bien a escuchar la voz técnica y luego traducirla a un lenguaje sencillo y comprensible. Luego trato de asegurarme de reflejar las partes importantes de mis acuerdos sin volver a traducirlas al lenguaje legal. Odio la jerga. No voy a cambiar el mundo, pero hace que resulte mucho más fácil explicar por qué asumimos las posiciones contractuales que hacemos cuando el idioma no nos intimida.

P: ¿Algún gran cambio que haya visto este año que demuestre que las personas se toman la ciberseguridad mucho más en serio?

MM: Dos cosas me han llamado la atención recientemente.

El gobierno de los Estados Unidos ha realizado algunos movimientos este año que han puesto en perspectiva la importancia de este problema. El 1 de marzo de 2023, la Administración Biden lanzó una Estrategia Nacional de Ciberseguridad, que destaca su compromiso de apoyar a la nación en el mundo digital. Sin embargo, para las empresas y empresas tecnológicas, esta estrategia también agregó un nuevo nivel de responsabilidad. La responsabilidad ha pasado de las acciones no intencionadas de una persona a los sistemas y tecnologías creados por las empresas en las que confiamos para acceder al ciberespacio. Este es un movimiento importante, y seguramente veremos las implicaciones de esto en los frentes de ciberseguridad y seguros cibernéticos en los próximos años.

La segunda historia, aún más reciente, fue la decisión de la SEC de que las empresas deben proporcionar material sobre incidentes, exposiciones, administración de riesgos, estrategias y gobernanza en torno a la ciberseguridad cada año. Estas reglas de divulgación, que esperan arrojar luz sobre los incidentes a menudo ocultos que afectan a clientes, personal e inversores, ofrecerán al público información sobre las brechas en la protección que pueden ayudar mejor a evitar futuros ataques y responsabilizar a las organizaciones de forma responsable. El aspecto de la responsabilidad se remonta a la Estrategia Nacional de Ciberseguridad y puede poner a los ejecutivos y el liderazgo corporativo en mayor riesgo de responsabilidad.

DP: Exactamente lo que dijo Mike. 

P: ¿Qué es lo que más le inspira de trabajar en su empresa hoy en día?

MM: Ayudar a las empresas a crecer. Crear una empresa y dirigir una en ese sentido es una tarea aterradora. A través de encuestas e informes, hemos descubierto que la mayoría de los empresarios se ven a sí mismos como reacios al riesgo. Quiero decir, se necesitan muchas agallas para montar una empresa. Supone mucho trabajo y muchos riesgos de que estos propietarios de empresas necesariamente tengan que pasar por alto para seguir avanzando. Nuestro trabajo en Embroker es ayudar a eliminar la incertidumbre frente a las cosas que las empresas simplemente no pueden evitar. El miedo es una fuerza fuerte, y ofrecemos a los empresarios la confianza para construir grandes cosas.

DP: El espacio es interesante, importante y se mueve rápidamente. Trabajar en algo que importa con muchos compañeros de trabajo inspiradores y comprometidos es estimulante. Y nunca me aburro.