¿Qué odia la gente al trabajar en el campo de la ciberseguridad?

Tener que explicar a los gerentes y otras suites C por qué necesitan realmente la ciberseguridad.

Para ellos, siempre son las otras compañías que son hackeadas, tienen infracciones de datos, pierden datos de los consumidores o les roban sus secretos comerciales.

Y, por supuesto, existe este problema absolutamente inaceptable que un experto en seguridad cibernética querrá cobrar …

Cuando he superado esos problemas, he pasado algún tiempo dentro de la empresa y finalmente presenté mi informe técnico, existe el problema de convencer realmente a los empleados (incluidos los gerentes) para que cambien realmente su comportamiento nuisible. Esto puede ser muy desordenado. Los empleados mismos están la mayor parte del tiempo bien. Están acostumbrados a que les digan qué y cómo hacer. Pero los ejecutivos necesitan ser convencidos diplomáticamente, e incluso entonces, a menudo son los primeros en abandonar las nuevas políticas por sí mismos y regresar a cómo hicieron las cosas en el pasado. Este comportamiento tan difícil de cambiar puede incluir:

• ¿Por qué el tweet de The Economist “¿Por qué los millennials no compran diamantes?” hacer enojar a la gente? ¿Fueron justificados en sus respuestas?
• ¿Qué debes hacer cuando te aburres con una forma de arte? ¿Debes empujar a través del aburrimiento, o hacer algo más?
• ¿No es incorrecto juzgar a las madres que no tienen leche materna o que tienen poco suministro porque no cuidan a sus bebés o se preocupan más por su apariencia que por su bebé?
• ¿Por qué la gente da dinero para Navidad y cumpleaños?
• ¿Por qué la gente está obsesionada con los jeans?

• Creyendo que en realidad hay mujeres solteras cerca de ellas que quieren conocerlas.
• teniendo una contraseña “a”. Como en: una sola contraseña fácil de adivinar para todo
• Acceso exigente de administrador / nivel de raíz a todas partes, por razones
• No cifrar archivos o correos electrónicos porque “es demasiado complicado y nadie está interesado en nuestras cosas de todos modos” a pesar de haber asistido a varios talleres donde se demostró cómo hacer esto en tan solo unos pocos clics.
• El ébola infectó a la lepra en el cadáver de una peste bubónica que es BYOD (no solo es “traer su propio dispositivo hoy en día” sino también “BYOS” traer sus propios servicios, como usar su propio proveedor de nube privada para datos empresariales, por supuesto con cifrado cero aplicado )

Luego, hay empresas que entienden todos estos problemas y los han reducido al mínimo o incluso erradicados, pero ahora vienen los problemas con su departamento de TI (la mayoría de mis clientes no son directamente compañías de TI como Google o Microsoft, solo tener un departamento que haga la ingeniería del software):

• Tratando de desarrollar sus propios algoritmos de cifrado. Muy, muy mala idea: incluso los criptógrafos más experimentados trabajan en equipos para desarrollar nuevos algoritmos y luego tienen la implementación de código abierto probada por el público durante años, solo para detectar los peores errores.
• Comprando el producto de cifrado X, donde X es un aceite de serpiente vendido por compañías poco honestas con promesas falsas: cifrado de 1 millón de bits (porque más bits = más seguridad, a la derecha), cifrado de grado militar (donde el grado militar nunca se define), cifrado de propiedad Algoritmo que hace que sea imposible encontrar debilidades (al parecer, nunca se enteraron de este software llamado desensamblador …)
• Tratar de usar un algoritmo bien conocido para el cifrado, pero insistiendo en volver a implementarlo en lugar de usar las bibliotecas existentes, o obstaculizar el uso de una biblioteca criptográfica (aplicar el cifrado con el BCE, ya sea de forma accidental o deliberada).

No me malinterprete, me encanta mi trabajo y ninguna compañía tiene todos esos problemas a la vez, pero algunos de estos son muy comunes y pueden ser molestos.