Hace unos días, el Centro de Convenciones de Anaheim en California fue el anfitrión de la conferencia AWS re:Inforce 2023, el evento insignia de AWS centrado en la seguridad, la identidad y la nube. AWS anunció una serie de nuevos servicios y capacidades, como suelen hacer en eventos como este, y hubo muchos discursos informativos y sesiones de trabajo.
Hablé con Jenny Brinkley , directora de seguridad de Amazon, y le pedí su opinión sobre el evento y sus puntos clave. “Todavía estamos viendo grandes tendencias en torno a, 'Necesito contratar. ¿Dónde encuentro gente? Cómo los retengo una vez que los tengo es otro gran tema, junto con la diversidad, la equidad y la inclusión siguen siendo un desafío en el espacio de seguridad. ¿Cómo piensas realmente en la representación y la búsqueda de talento diverso para construir equipos y luego, una vez que los tienes, cómo los retienes y evitas el agotamiento?
Sin embargo, a lo largo del evento, los temas predominantes fueron el papel fundamental de la capacitación en concientización sobre seguridad, el valor de la diversidad, la equidad y la inclusión (DEI) en las estrategias de seguridad y el impacto de la IA generativa en el panorama de la seguridad.
Capacitación de concientización sobre seguridad
Un tema central que surgió fue la importancia de la capacitación en concientización sobre seguridad. Como la columna vertebral de cualquier estrategia robusta de ciberseguridad, tradicionalmente se le ha subestimado, a menudo relegado a ejercicios anuales de cumplimiento. Sin embargo, con el aumento de la sofisticación y la escala de las amenazas, esto está cambiando drásticamente. La ciberseguridad ya no es responsabilidad exclusiva de los departamentos de TI, sino responsabilidad colectiva de todos los empleados.
AWS re:Inforce 2023 enfatizó el concepto de 'Cultura de seguridad' donde cada miembro del equipo, independientemente de su rol, es una parte crucial del mecanismo de defensa de la organización. Los programas de concientización sobre seguridad atractivos y efectivos, diseñados para convertir a cada empleado en un defensor de la seguridad, representan una línea de defensa crucial contra las amenazas cibernéticas cada vez más sofisticadas. Una mejor conciencia de seguridad es un cambio significativo hacia la defensa proactiva, lo que subraya la necesidad de integrar la seguridad en el tejido de la cultura de una organización.
Diversidad, Equidad e Inclusión (DEI)
DEI fue otro punto clave de discusión en la conferencia. Tradicionalmente, el campo de la ciberseguridad ha estado dominado por un grupo demográfico específico, lo que da como resultado una perspectiva limitada sobre el análisis y la mitigación de amenazas. El aumento de la diversidad dentro de los equipos de seguridad puede conducir a enfoques más efectivos, creativos e integrales para salvaguardar los activos digitales. Una mayor representación, que se extiende por género, raza, etnia y neurodiversidad, trae una variedad de experiencias y perspectivas a la mesa, mejorando así las capacidades de resolución de problemas y fomentando la innovación.
Re:Inforce demostró un esfuerzo concertado para incorporar DEI en las estrategias de seguridad. Esto incluyó mesas redondas, eventos de networking y presentaciones dedicadas a empoderar a los grupos subrepresentados en el campo de la ciberseguridad. El consenso fue claro: aprovechar la diversidad y fomentar la inclusión equivale a una seguridad más sólida y eficaz.
Brinkley explicó que Amazon comenzó recientemente una nueva iniciativa en asociación con la Alianza Nacional de Ciberseguridad para trabajar con colegios y universidades históricamente negros (HBCU) para invertir en programas de ciberseguridad y promover carreras en ciberseguridad. Basicamente la alianza se dedica a visitar los campus y trabajan con los estudiantes para ayudarlos a comprender las oportunidades y cómo navegar en el campo de la ciberseguridad.
También hablamos sobre el hecho de que hay cientos de roles muy diferentes dentro del espectro de la ciberseguridad y formas variadas y dispares de ingresar al campo de la ciberseguridad. No existe un “camino correcto” hacia la ciberseguridad. Brinkley señaló: “Todos vienen desde una perspectiva diferente. Sí, tienes personas que se han unido de agencias de tres letras, pero también tienes personas que han venido con títulos musicales”.
IA generativa
La IA generativa viene dominando los titulares durante todo el año, por lo que no debería sorprender que también ocupe un lugar central en re:Inforce 2023. Como tecnología disruptiva, la IA generativa tiene el potencial de revolucionar las industrias, acelerar la productividad y ampliar los límites de la capacidad humana. Sin embargo, también presenta nuevos desafíos de seguridad. Los sistemas de inteligencia artificial pueden generar correos electrónicos de phishing realistas o identidades sintéticas, lo que hace que las amenazas cibernéticas sean más sofisticadas y difíciles de detectar.
Sin embargo, el sentido del evento fue inequívoco: las recompensas superan los riesgos. La IA generativa se puede aprovechar para la detección y respuesta proactiva de amenazas, la automatización de tareas repetitivas y la facilitación de la toma de decisiones. Cuando se administra adecuadamente, la IA generativa tiene el potencial de optimizar las operaciones de ciberseguridad y elevar el nivel de lo que las personas pueden lograr. El enfoque no debe estar en sofocar la innovación por temor a un posible uso indebido, sino en crear sistemas resilientes para gestionar y mitigar esos riesgos.
Ecosistema próspero
Una de las razones por las que AWS es una fuerza tan poderosa es el alcance y la profundidad del ecosistema de socios. Amazon ofrece cientos de servicios, pero los proveedores asociados integran, aumentan y respaldan esos servicios de manera que ayudan a garantizar que los clientes obtengan los resultados que necesitan.
Tuve una conversación con Manoj Nair , director de productos de Snyk , y Carey Stanton , vicepresidente sénior de negocios globales y desarrollo corporativo de Snyk, sobre el evento y su asociación con AWS. Hablamos sobre cómo trabajan en estrecha colaboración con AWS y analizamos el concepto del modelo de responsabilidad compartida. Nair explicó: “Creo que una de las áreas en las que estamos educando a los clientes junto con AWS en nuestro espacio es ahora, con la llegada de la IA generativa y el hecho de que AWS con algunas de sus capacidades recientes y otras cosas que han anunciado, eso es una oportunidad allí.”
Hablamos sobre el requisito de una lista de materiales de software y la tendencia creciente de los ataques a la cadena de suministro de software, y cómo Snyk está ayudando a los clientes a abordar esas preocupaciones. Nair dijo: “Si eres un profesional de Appsec, necesitas un banco de trabajo para entender, '¿Qué aplicaciones tengo? ¿Dónde están los oleoductos que se están acelerando? ¿Mi código y todas las cosas que estoy produciendo realmente tienen cobertura?' y ese tipo de preguntas y la capacidad de automatizar eso es una gran parte de lo que nos enfocamos”.
re: reforzar la seguridad
AWS re:Inforce 2023 subrayó la necesidad de navegar las intersecciones entre la seguridad, la diversidad y la innovación de IA de manera estratégica. La capacitación en concientización sobre seguridad y DEI no son simplemente valiosas; son indispensables para una estrategia de ciberseguridad más sólida y eficaz.
La IA generativa, aunque plantea ciertos desafíos de seguridad, presenta una oportunidad para acelerar la productividad y elevar el nivel de los logros humanos. A medida que avanzamos, es evidente que adoptar este trío (conciencia de seguridad, DEI e innovación de IA) será fundamental para impulsar un progreso significativo en el panorama de la ciberseguridad.
*Nota Publicada en Forbes US
