Nadya Bartol: Better cybersecurity starts with honesty and accountability | TED
35,920 views ・ 2021-06-01
Haga doble clic en los subtítulos en inglés para reproducir el vídeo.
00:00
Transcriber:
0
0
7000
Traductor: Emma Gon
Revisor: Sebastian Betti
00:13
Today, I'm going to talk about
a shameful topic.
1
13063
3667
Hoy hablaré de un tema penoso.
00:17
This has happened to many of us,
and it's embarrassing,
2
17463
4034
Esto nos ha pasado a muchos
y es vergonzoso,
00:21
but if we don't talk about it,
nothing will ever change.
3
21530
3367
pero si no hablamos de eso, nada cambiará.
00:24
It's about being hacked.
4
24930
2067
Es acerca de ser ‘hackeado’.
00:27
Some of us have clicked on a phishing link
and downloaded a computer virus.
5
27630
4600
Algunos de nosotros hemos dado clic
en un enlace phishing y bajado un virus.
00:32
Some of us have had our identities stolen.
6
32263
2434
A algunos nos robaron
nuestras identidades.
00:34
And those of us
who are software developers
7
34730
2000
Y aquellos que somos
desarrolladores de software
00:36
might have written insecure code
with security bugs in it
8
36763
3367
quizá escribimos
código inseguro lleno de errores
00:40
without realizing it.
9
40163
1400
sin saberlo.
00:42
As a cybersecurity expert,
10
42530
1700
Como experta en ciberseguridad,
00:44
I have worked with countless companies
on improving their cybersecurity.
11
44263
4334
he trabajado con infinidad de compañías
para mejorar su ciberseguridad.
00:49
Cybersecurity experts like me
have advised companies
12
49063
3400
Los expertos en ciberseguridad
como yo hemos dado consejo a compañías
00:52
on good cybersecurity practices,
13
52497
2600
sobre buenas prácticas de ciberseguridad,
herramientas de monitoreo
00:55
monitoring tools
14
55130
1133
00:56
and proper user behaviors.
15
56297
1700
y conductas de usuario apropiadas.
00:58
But I actually see a much bigger problem
that no tool can fix:
16
58030
4733
Pero veo un problema mayor
que actualmente no tiene remedio:
01:02
the shame associated with
the mistakes that we make.
17
62797
3300
la vergüenza asociada
con los errores que cometemos.
01:06
We like to think of ourselves
as competent and tech savvy,
18
66563
3867
Nos gusta creernos competentes
y sabiondos técnicos,
01:10
and when we make these mistakes
that can have a really bad impact
19
70463
3300
pero cuando cometemos errores
que pueden tener un mal impacto
01:13
on us and our companies --
20
73797
1400
en nosotros y nuestras compañías,
01:15
anything from a simple annoyance,
21
75230
1867
desde algo simple como una molestia
01:17
to taking a lot of time to fix,
22
77130
2167
que lleva tiempo arreglar
01:19
to costing us and our employers
a lot of money.
23
79330
3633
hasta algo que nos cuesta a nosotros
y a nuestros empleadores mucho dinero.
01:23
Despite billions of dollars
that companies spend on cybersecurity,
24
83630
4467
A pesar de miles de millones de dólares
que las empresas gastan en ciberseguridad,
01:28
practitioners like me see the same
problems over and over again.
25
88130
4500
practicantes como yo vemos
el mismo problema una y otra vez.
01:32
Let me give you some examples.
26
92663
1800
Daré unos ejemplos.
01:35
The 2015 hack of Ukrainian utilities
27
95330
3033
El hackeo del servicio
eléctrico ucraniano en 2015
01:38
that disconnected power
for 225,000 customers
28
98397
3766
que dejó sin energía a 225 000 clientes
01:42
and took months to restore
back to full operations
29
102197
3666
y llevó meses restablecer
a una operación completa
01:45
started with a phishing link.
30
105897
2100
comenzó con una liga de phishing.
01:48
By the way, 225,000 customers
is a lot more 225,000 people.
31
108030
5567
Por cierto, 225 000 clientes
son más de 225 000 personas.
01:53
Customers can be anything
from an apartment building
32
113630
2700
Clientes pueden ser desde
un edificio de departamentos
01:56
to an industrial facility
33
116363
1400
hasta instalaciones industriales
01:57
to a shopping mall.
34
117797
1433
hasta una plaza comercial.
01:59
The 2017 data breach of Equifax
35
119263
3100
La filtración de datos de Equifax en 2017,
02:02
that exposed personally
identifiable information
36
122363
2834
que expuso información
de identidad personal
02:05
of 140 million people
37
125230
2433
de 140 millones de personas
02:07
and may ultimately cost Equifax something
on the order of 1.4 billion dollars:
38
127663
6334
y que al final tuvo un costo de
unos USD 1400 millones a Equifax,
02:14
that was caused by an exploitation
of a well-known vulnerability
39
134030
3500
fue ocasionado por la explotación
de una vulnerabilidad bien conocida
02:17
in the company's customer
consumer complaint portal.
40
137563
2934
en el portal de quejas
del consumidor de la compañía.
02:21
Fundamentally, this is about
technology and innovation.
41
141563
4100
En esencia, se trata
de tecnología e innovación.
02:25
Innovation is good;
it makes our lives better.
42
145697
3000
La innovación es buena,
mejora nuestras vidas.
02:28
Most of the modern cars we drive today
are fundamentally computers on wheels.
43
148697
6033
La mayoría de los autos modernos
de hoy son computadoras sobre ruedas.
02:34
They tell us where to go to avoid traffic,
when to take them in for maintenance
44
154763
4834
Nos dicen cómo evitar tráfico,
cuándo necesitan mantenimiento
02:39
and then give us all kinds of
modern-day conveniences.
45
159630
3200
y nos dan todo tipo
de conveniencias modernas.
02:42
Many people use connected
medical devices like pacemakers
46
162863
3434
Muchos usan dispositivos médicos
como marcadores de paso
02:46
and glucose monitors with insulin pumps.
47
166330
2300
y monitores de glucosa
con bombas de insulina.
02:49
These devices make
these people's lives better
48
169197
2533
Estos dispositivos mejoran
la vida de estas personas
02:51
and sometimes even extend their lives.
49
171763
2534
y a veces extienden sus vidas.
02:54
But anything that can be interconnected
can be hacked when it's connected.
50
174297
5533
Pero todo lo que se puede conectar
puede ser hackeado cuando está conectado.
03:00
Did you know that the former
US Vice President Dick Cheney
51
180230
3067
¿Sabían que el exvicepresidente
estadounidense Dick Cheney
03:03
kept his pacemaker disconnected from Wi-Fi
before he received a heart transplant?
52
183330
4500
mantenía su marcador
de paso desconectado
del wi-fi antes de
su trasplante de corazón?
03:07
I will let you figure out why.
53
187863
2134
Dejaré que Uds. averigüen la razón.
03:10
In a digitally interconnected world,
cyber risks are literally everywhere.
54
190830
5033
En un mundo interconectado digitalmente,
los riesgos cibernéticos
están en todas partes.
03:16
For years, my colleagues and I
have been talking about
55
196230
2800
Por años, mis colegas
y yo hemos hablado
03:19
this elusive notion
of cybersecurity culture.
56
199063
2467
sobre esta noción elusiva
de la cultura de ciberseguridad.
03:22
Cybersecurity culture is when
everybody in the organization
57
202030
3367
La cultura de la ciberseguridad es
cuando todos en una organización
03:25
believes that cybersecurity is their job,
58
205430
2733
creen que la ciberseguridad es su trabajo,
03:28
knows what to do and what not to do
59
208197
1900
saben qué hacer y qué no hacer
03:30
and does the right thing.
60
210097
1333
y hacen lo correcto.
03:32
Unfortunately, I can't tell you
which companies do this well,
61
212063
3500
Desafortunadamente, no les puedo decir
cuáles empresas lo hacen bien,
03:35
because by doing so, I would put
a juicy target on their backs
62
215597
3500
porque al hacerlo,
los haría un blanco jugoso
03:39
for ambitious attackers.
63
219097
1933
para atacantes ambiciosos.
03:41
But what I can do is make
cybersecurity less mysterious,
64
221030
4267
Pero sí puedo hacer que
la ciberseguridad sea menos misteriosa,
03:45
bring it out into the open
and talk about it.
65
225297
2900
exponiéndola abiertamente
para hablar de ella.
03:48
There should be no mystery or secrecy
within an organization.
66
228763
4600
No debería haber ni misterio
ni secrecía en una organización.
03:54
When something is invisible
and it's working,
67
234197
3800
Cuando algo es invisible y funciona,
no sabemos que está ahí hasta que no está.
03:58
we don't know that it's there
until it's not there.
68
238030
3467
04:01
Kind of like toilet paper.
69
241530
2333
Algo parecido pasó con el papel de baño.
04:04
When the COVID-19 pandemic began,
70
244663
2734
Cuando la pandemia de COVID-19 comenzó,
04:07
what has been there all of a sudden
became super important
71
247430
3167
lo que había estado ahí de repente
se volvió super importante,
04:10
because we couldn't find it anywhere.
72
250597
1800
porque no lo había en ningún lado.
04:12
Cybersecurity is just like that:
73
252830
2167
La ciberseguridad es igual:
04:15
when it's working, we don't know,
and we don't care.
74
255030
3067
cuando funciona, no sabemos
y no nos importa.
04:18
But when it's not working,
75
258130
1533
Pero cuando no funciona,
04:19
it can be really, really bad.
76
259697
2600
puede llegar a ser muy malo.
04:22
Toilet paper is pretty straightforward.
77
262797
2766
El papel de baño se arregla fácil.
04:25
Cybersecurity is mysterious and complex.
78
265563
3034
La ciberseguridad es
misteriosa y compleja.
04:28
And I actually think it starts
with the notion of psychological safety.
79
268630
3867
Y creo que comienza con
la noción de seguridad psicológica.
04:33
This notion was popularized
by an organizational behavior scientist,
80
273297
3900
Esta noción la popularizó una científica
de conducta organizacional,
04:37
Amy Edmondson.
81
277230
1733
Amy Edmonson.
04:38
Amy studied behavior of medical teams
in high-stakes situations like hospitals,
82
278963
5167
Amy estudió la conducta de equipos médicos
en situaciones de alto riesgo
como hospitales,
04:44
where mistakes could be fatal.
83
284163
1734
donde los errores pueden ser fatales.
04:45
And she found out
that nurses were not comfortable
84
285930
2700
Descubrió que las enfermeras
no se sentían cómodas
04:48
bringing up suggestions to the doctors
85
288630
2267
en dar sugerencias a los médicos
04:50
because of the fear
of questioning authority.
86
290897
2233
debido al temor de
cuestionar a la autoridad.
04:53
Amy helped improve medical teams
87
293797
2600
Amy ayudó a mejorar a los equipos médicos
04:56
to make nurses more comfortable
bringing up suggestions to the doctors
88
296430
3700
para que las enfermeras se sintieran
mejor al hacer sugerencias a los médicos
05:00
for patient treatment
89
300130
1200
en el tratamiento de pacientes
05:01
without the fear of being
scolded or demeaned.
90
301330
3067
sin el miedo de ser
regañadas o humilladas.
05:04
For that to happen, doctors needed
to listen and be receptive --
91
304397
3566
Para que eso sucediera, los doctores
tenían que escuchar y ser receptivos,
05:07
without judging.
92
307997
1200
sin juzgar.
05:10
Psychological safety is when everybody
is comfortable speaking up
93
310363
4134
La seguridad psicológica es
cuando alguien se siente bien al hablar
05:14
and pointing things out.
94
314530
1700
y señalar puntos.
05:17
I want cybersecurity to be the same.
95
317097
2733
Quiero que la ciberseguridad sea igual,
05:19
And I want cybersecurity practitioners
to be comfortable bringing suggestions up
96
319863
4034
que los practicantes de ciberseguridad
de sientan bien al hacer sugerencias
05:23
to senior executives
or software developers,
97
323930
2867
a directivos o
desarrolladores de software,
05:26
without being dismissed as those people
who continue to talk about
98
326830
3900
sin que sean tachados de ser
personas que seguido hablan
05:30
horrors and errors,
99
330763
1334
de horrores y errores
05:32
and say no.
100
332130
1267
y de decir no.
05:33
Not doing so is really hard
101
333963
3100
No hacerlo en verdad es difícil
05:37
for the individuals who are responsible
for the creation of digital products
102
337097
4100
para aquellos responsables
de la creación de productos digitales,
05:41
because fundamentally, it's about
their pride and joy in their creations.
103
341230
4800
porque en esencia, se trata de
su orgullo y alegría de sus creaciones.
05:46
I once tried talking to a senior
software development executive
104
346597
3433
Una vez trate de hablar con un alto
ejecutivo de desarrollo de software
sobre la necesidad
de mejorar la seguridad.
05:50
about the need to do better security.
105
350063
2034
05:52
You know what he said?
106
352097
1233
¿Saben lo que dijo?
05:53
"Are you telling me
we're developing insecure code?"
107
353363
2534
“¿Me estás diciendo que
desarrollamos un código inseguro?
05:56
In other words, what he heard
was, "Your baby is ugly."
108
356263
3434
En otras palabras, lo que oyó fue,
“Tu bebé está feo”.
06:00
What if instead of focusing on
what not to do,
109
360330
4400
¿Qué tal si en lugar de enfocarnos
en lo que no hacemos,
06:04
we focused on what to do?
110
364763
2267
nos enfocamos en qué hacer?
06:07
Like, how do we develop better software
111
367063
3567
Tal como de qué forma
desarrollamos mejor software
06:10
and protect our customer
information at the same time?
112
370663
3534
y protegemos la información de
nuestros clientes al mismo tiempo?
06:14
Or how do we make sure
that our organization is able to operate
113
374230
4433
¿O cómo nos aseguramos de que
nuestras organizaciones pueden operar
06:18
in crisis, under attack
or in an emergency?
114
378697
2766
bajo crisis, ataque o en una emergencia?
06:21
And what if we reward good things that
people do in cybersecurity in some way
115
381863
4067
¿Y qué tal si premiamos lo bueno
que la gente hace en ciberseguridad
06:25
and encourage them to do so,
116
385963
1600
y los animamos a que lo hagan,
06:27
like reporting security incidents,
117
387597
2166
como reportar incidentes de seguridad,
06:29
reporting potential phishing emails,
118
389797
2566
reportar correos phishing potenciales,
06:32
or finding and fixing
software security bugs
119
392363
3500
o encontrar y corregir
errores de seguridad
06:35
in the software that they develop?
120
395897
1866
en el software que desarrollamos?
06:37
And what if we tied these good security
actions to performance evaluations
121
397797
3800
¿Qué tal si estas acciones de seguridad
buenas se ligan con evaluaciones
06:41
to make it really matter?
122
401630
1633
de desempeño para hacerlas que importen?
06:43
I would love for us to communicate
these good cybersecurity things
123
403763
4267
Me encantaría que nos comunicáramos
estas cosas buenas de ciberseguridad
y promoverlos en alguna forma
de comunicación en toda la compañía
06:48
and encourage them in some sort of
company-wide communications
124
408063
2934
como boletines, blogs,
sitios web, micrositios,
06:51
like newsletters, blogs,
websites, microsites --
125
411030
2700
06:53
whatever we use to communicate
to our organization.
126
413763
3267
lo que sea que usemos para
comunicación en nuestras organizaciones.
06:57
What if a company announced a competition
for who finds the most security bugs
127
417063
5467
¿Qué tal si una compañía
anunciara una competencia
para encontrar la mayoría
de los errores de seguridad
07:02
and fixes them in a two-week
development sprint
128
422530
3267
y corregirlos en un sprint
de desarrollo de 15 días
07:05
and then announces the winner
of the competition for the quarter
129
425830
3333
y luego anunciar al ganador del trimestre
07:09
at a large company virtual town hall,
130
429197
2766
en una gran asamblea virtual
de la compañía,
07:11
and then rewards these people,
these winners, with something meaningful,
131
431963
4234
y premiar a estos ganadores
con algo significativo
07:16
like a week's vacation or a bonus.
132
436230
2167
como una semana
de vacaciones o un bono.
07:18
Others will see
the celebration and recognition,
133
438763
2834
Otros verán la celebración
y el reconocimiento
07:21
and they'll want to do the same.
134
441630
1933
y querrán hacer lo mismo.
07:23
In the energy industry,
135
443563
1400
En la industria de la energía,
07:24
there is a really strong
culture of safety.
136
444997
2833
hay una sólida cultura de seguridad.
07:27
People care about this culture,
are proud of it,
137
447830
2967
A la gente le importa esta cultura
y se enorgullece de ella
07:30
and there is a collective
reinforcement of this culture
138
450797
3466
y existe un refuerzo
colectivo de esta cultura
07:34
to make sure that nobody gets hurt.
139
454297
1933
que asegura que nadie se lastime.
07:36
One of the ways they exhibit and keep
this safety conscious culture going
140
456230
4533
Una de las forma en
que exponen y mantienen
la cultura de conciencia
de seguridad vigente
07:40
is by counting and visibly displaying days
since the last safety incident.
141
460797
6233
es con el despliegue visual del conteo
de días desde el último incidente.
07:47
And then everybody works really hard
not to have that count go back to zero
142
467663
4367
Y así todos trabajan en verdad arduo
para que el conteo no regrese a cero
07:52
because that means
that somebody did get hurt.
143
472063
2500
porque eso significa
que alguien salió lastimado.
07:54
Cybersecurity is the same as safety.
144
474597
3133
La ciberseguridad es
lo mismo que seguridad.
07:57
What if we all agree
145
477763
1634
¿Qué tal si todos acordamos
07:59
to keep that count of days
since the last cybersecurity incident
146
479430
3267
en mantener el conteo de días desde
el último incidente de ciberseguridad
08:02
going on forever
147
482730
1333
que siga para siempre
08:04
and then work really hard
not to have it reset to zero?
148
484097
3200
y trabajamos arduamente
para no regresarlo a cero?
08:08
And then certain things are a no-no,
149
488097
2033
Hay cosas que son un no-no,
08:10
and we need to clearly communicate
to our organizations what they are
150
490163
3434
y debemos comunicarlas claramente
en las organizaciones cuáles son
08:13
in an easily digestible
and maybe even fun way,
151
493630
2867
de manera sencilla
y hasta incluso divertida,
08:16
like gamification or simulations,
152
496530
2667
con ludificación o simulaciones,
08:19
to make sure that people
can remember this.
153
499230
2467
para asegurarnos de que
la gente lo pueda recordar.
08:21
And if somebody does something
they're not supposed to do,
154
501730
2833
Y si alguien hace algo
que se supone no debía,
08:24
they should face some sort
of consequences.
155
504597
2133
deberían enfrentar las consecuencias.
08:26
So, for example, if an employee buys
equipment on Amazon or eBay
156
506763
4734
Así, por ejemplo, si un empleado
compra un equipo en Amazon o eBay
08:31
or uses personal Dropbox
for their company business,
157
511530
3400
o usa un Dropbox personal
para el negocio de la compañía,
08:34
then they should face
some sort of consequences.
158
514963
2467
deberían enfrentar
algún tipo de consecuencia.
08:37
And when this happens, executives
should get the same treatment
159
517463
3134
Cuando esto ocurra, los ejecutivos
deben recibir el mismo trato
08:40
as regular employees,
160
520630
1667
que recibe el empleado común,
08:42
because if they don't,
then people won't believe that it's real
161
522297
3000
porque si no, entonces la gente
no creerá que es real
08:45
and will go back to their old behaviors.
162
525330
1933
y volverá a sus viejas conductas.
08:47
It's OK to talk about mistakes,
163
527297
2500
Está bien hablar de los errores,
08:49
but just like a teenager who violates
the rules tells us about it,
164
529830
4033
así como un adolescente
que viola las reglas nos lo dice,
08:53
we appreciate that they told us about it,
165
533897
2066
apreciar que lo confiesa,
08:55
but there should still be
some sort of consequences.
166
535997
2433
pero que debería haber
algún tipo de consecuencia.
09:00
Cybersecurity is a journey.
167
540263
2134
La ciberseguridad es un viaje,
09:02
It's not a destination,
168
542430
1500
no un destino
09:03
and we need to keep working on it.
169
543930
1933
y debemos seguir trabajándola.
09:06
I would love for us to celebrate
cybersecurity people
170
546297
3133
Me encantaría que celebráramos
a la gente de ciberseguridad
09:09
like the heroes that they are.
171
549430
1933
como los héroes que son.
09:11
If we think about it,
they are firefighters,
172
551363
2967
Si lo pensamos, son como bomberos,
09:14
emergency room doctors and nurses,
173
554330
1833
médicos y enfermeras de urgencias,
09:16
law enforcement, risk executives
and business strategists
174
556197
3766
policía, ejecutivos de riesgos
y estrategas de negocios
09:19
all in the same persona.
175
559963
1900
todo en el mismo personaje.
09:21
And they help us protect our modern life
that we like so much.
176
561897
3800
Nos ayudan a proteger nuestra vida
moderna que tanto nos gusta.
09:25
They protect our identities,
our inventions, our intellectual property,
177
565697
4333
Protegen nuestras identidades,
inventos, propiedad intelectual,
09:30
our electric grid, medical devices,
178
570063
2400
red eléctrica, dispositivos médicos,
09:32
connected cars and myriad other things.
179
572497
3500
autos conectados y un sinfín de cosas.
09:35
And I'd like to be on that team.
180
575997
1600
Y me gustaría estar en ese equipo.
09:38
So let's agree that this thing
is with us to stay,
181
578097
4266
Aceptemos que esto llegó para quedarse,
09:42
let's create a safe environment
to learn from our mistakes,
182
582363
3600
formemos un ambiente seguro
para aprender de nuestros errores
09:45
and let's commit to making things better.
183
585963
2367
y comprometámonos
a mejorar las cosas.
09:48
Thank you.
184
588363
1267
Gracias.
New videos
Original video on YouTube.com
Acerca de este sitio web
Este sitio le presentará vídeos de YouTube útiles para aprender inglés. Verá lecciones de inglés impartidas por profesores de primera categoría de todo el mundo. Haz doble clic en los subtítulos en inglés que aparecen en cada página de vídeo para reproducir el vídeo desde allí. Los subtítulos se desplazan en sincronía con la reproducción del vídeo. Si tiene algún comentario o petición, póngase en contacto con nosotros mediante este formulario de contacto.