Compendio RSACONFERENCE 2020
Parte 1.
RSACONFERENCE, en su edición número 29 concluyó el pasado 28 de febrero, deslumbrando una vez más con su impacto, alcance, definición de tendencias, innovación, lanzamientos, conocimiento, propuestas y reorientación para los profesionales de seguridad digital.
A pesar de la disminución de asistentes a 36000, cuando se esperaban casi los 50000, esto por el nivel de riesgo causado por el virus COVID-19, el evento se considera nuevamente un éxito. 650 expositores, a pesar de los retiros notables de IBM, AT&T y Verizon.
La semana que duró el evento, trae consigo la importancia del elemento humano en la ciberseguridad. Razón por la cual, directivos de la firma HackerGame hicieron presencia en esta edición de RSACONFERENCE, precisamente porque el ADN y propuesta de valor de nuestra firma está en el elemento humano, y lo que de este se desprende: decisión, acción, comportamiento, higiene digital y cultura en seguridad.
“Donde el mundo habla de seguridad”, es el eslogan que caracteriza este evento líder mundial en seguridad de la información (nótese que usaré de manera intercambiable seguridad digital, ciberseguridad y seguridad de la información). En este compendio destacamos precisamente lo que más se habló, se observó, se lanzó, incomodó, lo que sigue siendo normal, lo que se considera nuevo normal, lo que era viejo pero es nuevo otra vez (a veces con otro nombre), frases de impacto divulgadas, entre otras tendencias; y por supuesto las buzzwords no pueden faltar en este tipo de eventos, es decir esas palabritas o frases insistentes, repetidas y excesivamente usadas, por no decir abusadas y en ocasiones sacadas de su contexto original.
La simplicidad con resultados oportunos y eficientes es algo que definitivamente añoramos los profesionales de seguridad de la información, pero los fabricantes se empeñan en llenarnos de herramientas, módulos adicionales y capacidades tecnológicas complementarias, que complejizan el panorama y hacen inmanejable el ecosistema de ciberseguridad en las organizaciones. Reportes recientes, como el de Enterprise Strategy Group concluyen que las organizaciones grandes pueden tener cerca de 50 productos de ciberseguridad desplegados. Esto no solo aumenta costo y complejidad, sino que hace más difícil la tarea de protección, detección y respuesta. Cyber DB nos habla que en la actualidad puede haber casi 150 categorías de productos, una industria realmente inundada, y la firma Gartner tiene cerca de 25 cuadrantes mágicos para productos de seguridad, entre ellos los más conocidos: WAF, SIEM, EDR, UTM, IPS, CASB, DLP, Firewalls, SWG, etc.
Con esta “inundación” en mente, varias organizaciones maduras (y/o disruptivas), están balanceando la cantidad de tecnologías, con la cantidad de recursos para ejecutarlas, afinarlas y realmente usarlas. Es conocido que muchas adquisiciones se quedan en proyectos fallidos y tecnologías desaprovechadas. Las organizaciones adquieren e instalan soluciones de automatización en una operación ineficiente, para lograr magnificar su ineficiencia. Lo he visto como consultor tanto en MSSP y empresas usuarias de MSSPs.
Varios expositores y speakers conscientes de esta problemática (que no es nueva, pero parece que ahora si tiene más atención), reconocen la complejidad de las tecnologías tradicionales de SIEM, que incluso ahora son más complejas con esos add-ons llamados SOAR, UEBA y Forensics; algunos SIEM ya vienen con módulos “sofisticados” de ATT&CK. Sin embargo ¿esto resolverá la fatiga de las alertas y falsos positivos? “Si tu no recolectas ninguna métrica, estarás volando a ciegas. Si tu recolectas y te enfocas en demasiadas métricas, éstas pueden obstruir tu campo de visión. ― Scott M. Graffius. Cambia métricas por logs, alertas, indicadores, y la anterior frase sigue siendo válida.
Nuevos protagonistas en RSACONFERENCE ofrecen simplicidad respecto al SIEM, e incluso algunos se atrevieron a predecir la muerte del SIEM con soluciones de Security Analytics. Ha habido un éxodo importante del SIEM a alguno de los siguientes referentes: Cybraics, Empow, Elysium, Sumo Logic, Microsoft Azure Sentinel, Chronicle Backstory, Elastic, Devo, entre otros exponentes que están abordando y exponiendo capacidades de Security Analytics y posicionando conceptos como la Observabilidad y Telemetría de la seguridad digital. Otra novedad interesante fue la propuesta hecha por la firma LUMU, cuya tecnología busca identificar compromisos en redes y sistemas, de manera continua. Para esto se alimenta de DNS queries, netflows, threat intelligence, elementos de seguridad perimetral y control de navegación. Este es otro ejemplo de Security Analytics y observabilidad, una opción más frente al alicaído SIEM. Importante agregar que LUMU es desarrollado por un colombiano, pionero en temas de ciberseguridad.
A propósito de simplicidad, Cisco lanzó en el marco del evento, una plataforma llamada SecureX, con la promesa de lograr una simplificación radical. Cisco afirma que con SecureX se logra que, en una sola interface en la nube, juntar la visibilidad (de amenazas) de todos sus productos y también de terceros. ¿Dónde habré escuchado esto? ¿Por qué siento que es un deja vú?
Llamó la atención el producto FortiAI, de la firma Fortinet, el cual usa redes neuronales profundas (¿WTF is that?) para disminuir las tareas manuales de los analistas de operaciones de ciberseguridad. Otra vez señalo: “si la operación es eficiente, este tipo de innovaciones magnificará la eficiencia”; al contrario, podría ser un ejemplo más de productos cool mal desplegados, y dinero arrojado al cesto.
Este asunto de adquirir productos cool, sofisticados y pioneros se analizó en una charla llamada “Así que compraste un Ferrari, ¿ahora qué?” Donde se comentaron ejemplos de dicha problemática, la relevancia de inspeccionar si se configuró correctamente el super producto y verificar su real funcionamiento y administración eficiente. Además, ¿qué hacer para disminuir los errores y consecuencias desfavorables por estas adquisiciones del módulo o producto de moda?, el Ferrari que permite decir “tengo lo máximo en ciberseguridad”, “tengo el super automóvil, aunque no puedo correrlo a más de 30 Km/h.”
No obstante, los vendors para estar en sintonía con el tema 2020 del RSACONFERENCE, el cual fue ELEMENTO HUMANO, insistieron en que sus productos son más fáciles de desplegar y usar, haciéndole la vida menos estresante al elemento humano. A propósito de estrés, quizá una de las charlas más interesantes que se realizó fue “Hackeando el stress en las operaciones de ciberseguridad” (Hacking Stress in Cybersecurity Operations), donde se quiso exponer con más detalle cómo disminuir el burnout y stress de los profesionales de ciberseguridad. No olvidemos que en 2019, la OMS reconoció como enfermedad el burnout. Para más información, ver: https://www.youtube.com/watch?v=xmkovHrjF0U
Recordemos algunos de los factores que más estresan a los profesionales de ciberseguridad en sus compañías: toma de decisiones con información escasa, incompleta o desconocida; mantenerse al ritmo del conocimiento nuevo y complejo, presión por la escasez de recursos, recompensa y palabras de agradecimiento escasas o nulas, ser el culpable cuando las cosas van mal, la compañía no toma la seguridad digital seriamente. Estos factores se tocaron y analizaron en varias charlas, invitando al asistente a enfrentar estos demonios y tener el coraje de hackear nuestra cultura, de hacerlo diferente, con énfasis en las personas y el equipo.
Justamente un seminario muy enriquecedor fue el de construcción de equipos exitosos de ciberseguridad, del cual sobresalen asuntos del talento humano como elemento multiplicador, la real ventaja competitiva de cualquier negocio es cuando las personas están realmente motivadas, cuando se ha invertido emocionalmente en el elemento humano, ellos querrán contribuir. Uno de los speakers de este seminario mostró un modelo muy interesante, precisamente para lograr inversión emocional, compuesto de 3 frases: 1. “Yo creo”: sentido de propósito, sin limitaciones y con convicción. 2. “Yo pertenezco”: conexión y confianza en los demás de mi equipo, ser auténtico, sentir que le intereso a los demás. Tu no perteneces, sino compartes un propósito, y la última del modelo: 3. Yo importo: visible, haces lo que realmente importa para ti y los demás.
MITRE ATT&CK a pesar de que no es nuevo, lo noté más popular, más adoptado por las organizaciones y profesionales, se habla y usa más este marco. Ahora los dedicados a la parte de defensa activa, cuentan con un marco maduro para llevar a cabo cacería usando TTPs. Más vendors mostraron que sus productos soportan o se alinean con ATT&CK. Aunque algunos saben que ATT&CK es una buzzword, es de vanguardia (cutting-edge) y lo usan en su discurso, solo para no quedarse atrás de la tendencia, así su producto o tecnología no necesite o no le aplique un marco de MITRE como lo es ATT&CK.
Por los lados de más buzzwords en el RSACONFERENCE 2020, están Machine Learning y AI. No faltó tecnología que manifestara uso de ML/AI en su composición. De AI solamente quiero dejar una frase extraída del libro recomendado AI Superpowers: China, Silicon Valley, and the New World Order, de autoría de Kai-Fu Lee: “Esta es la síntesis en la cual yo creo que debemos construir nuestro futuro compartido: en la capacidad de la AI para pensar, pero sumada con la capacidad del ser humano para amar. Si creamos esta sinergia, nos permitirá aprovechar el poder innegable de la inteligencia artificial para generar prosperidad mientras también acogemos nuestra humanidad esencial.”
Zero Trust completa esta lista de buzzwords vistas en el marco de la conferencia. Soy de los que afirma que Zero Trust es otra forma de llamar a términos y capacidades usados en las redes de datos en la década (2000-2010). Por ejemplo: access management through policy enforcement, Profiling and visibility, Security posture check, entre otros. Zero trust mantiene ese concepto de controles basados en identidad/usuario, o como dicen ahora los expertos: la identidad, el dispositivo y el usuario son el nuevo perímetro.
Con la publicación reciente de NIST Privacy Framework (enero 2020) e ISO 27701:2019, las cuales vienen a ayudar con regulaciones GDPR y CPPA (California Privacy Rights Act), la privacidad fue uno de los temas más abordados en RSACONFERENCE. Como la privacidad se considera un derecho, y el elemento humano fue el tema principal del evento, fue especial lo comentado y analizado alrededor de la privacidad, desde stickers muy divertidos regalados por International Association of Privacy Professionals (IAPP) (por cierto, ¿hay profesionales con certificaciones de esta institución en Latinoamérica?) hasta nuevas tecnologías como “Privacy-Preserving Machine Learning” que se supone es usar AI para mantener la privacidad; aparentemente contradictorio, no olvidemos el temor que ha causado la AI frente a la privacidad. Se considera que AI puede invadir la privacidad, causar brechas de datos y crisis. En algunos paneles, expertos discutieron cómo la AI puede amenazar la privacidad entre otros asuntos éticos y legales que la AI trae consigo. La alianza de seguridad AI: https://aisecurityalliance.org, con miembros de MIT, Google, Raytheon, US Bank, entre otros, conformaron estos paneles.
Continuando por el frente de la privacidad en el marco del evento, la operacionalización de ésta ahora se le conoce como PrivacyOps. Sí, similar a DevOps y DevSecOps. La compañía que sobresalió con el tema PrivacyOps, es SECURITI.ai. Afirman ser la primera plataforma de PrivacyOps potenciada con AI, para automatizar las funciones relacionadas con la privacidad, usa robotic automation y natural language processing. Fue tan innovadora que ganó en el RSACONFERENCE el reconocimiento como la startup más innovadora, en una competencia llamada Innovation Sandbox (https://www.rsaconference.com/usa/the-experience/innovation-programs/innovation-sandbox).
Tecnologías para potenciar DevSecOps también fueron observadas en el EXPO de RSACONFERENCE, pero no las abordé. Lo mismo pasó con vendors orientados a la seguridad de las APIs, infortunadamente no indagué sobre ellos, y apenas bordeé este tema, el cual para varios de ustedes es de amplio interés. Mi invitación es a que investiguen empresas como 42Crunch (42crunch.com), la cual cuenta con una plataforma que genera políticas de seguridad para las APIs empresariales.
Una de las charlas más esperadas y concurridas fue “Las 5 más peligrosas nuevas técnicas de ataque y como contrarrestarlas”, brindada por altos directivos de SANS Institute. Por temas de espacio, no menciono aquí las 5; si son apasionados del tema, averiguarán las restantes.
Una de las 5 técnicas mencionada es comando y control (C2), la proliferación de frameworks y herramientas C2 y sus avances en ocultamiento, los adversarios están usando y creando efectos que lucen como actividad normal a pesar de que es actividad maliciosa. Los analistas de SOC miran estos eventos, y creerán que todo está OK. Para saber más, consulte https://www.thec2matrix.com donde los profesionales de ciberseguridad (hunters, red teamers) podrán ver disponibilidad de herramientas C2, analizar, investigar y determinar cuáles podrían usar en sus ejercicios de emulación (C2 usando HTTP, HTTPS, HTTP2/3, ICMP, etc.). DeepBlueCLI – un módulo PowerShell para Threat Hunting via Windows Event Logs fue la defensa recomendada. Con esto ya cuentas con insumos para su red team y blue team.
Se hizo referencia en esta charla de SANS, que el malware insertado directamente en los cables USB (usados para cargar y/o trasferir/sincronizar su dispositivo móvil) se ha intensificado. Aquí entra en acción la defensa en amplitud. Se hizo mención específicamente a las USB Ninja https://lab401.com/products/usbninja; las USB Ninja no son nuevas, llevan algunos años. El reto es que proliferan más. Igual que C2, no es algo nuevo, lo que es nuevo es su amplia proliferación, sofisticación y capacidades de ocultamiento. Por eso aquí se habla que lo viejo es nuevo otra vez.
Sin embargo, también en el evento se hicieron propuestas nuevas, intentos de nuevos paradigmas en ciberseguridad. Una de ellas por Sounil Yu (https://owasp.org/www-project-cyber-defense-matrix) un gran estratega de ciberseguridad, quien transforma la ya esencial triada de la seguridad de la información DIC (Disponibilidad, Integridad, Confidencialidad) por algo DIE (Distribuido, Inmutable y Efímero). Distribuido en lugar de Disponibilidad, pues actualmente los servicios Cloud y las Content delivery networks permite ser más resistente a los ataques DDOS, en otras palabras: la mejor solución frente a un ataque distribuido es un servicio distribuido. Además, en lugar de Integridad, surge Inmutabilidad, y esto se da gracias a BlockChain, donde los cambios son más fáciles de detectar y reversar. BlockChain, garantía de inmutabilidad. Y la más abstracta, que aun no comprendo totalmente, Efímero. Se dice que las arquitecturas serverless así como los containers (Dockers) hace más difíciles los ataques persistentes, y se reducen las preocupaciones por aquellos activos en riesgo. Aunque el expositor menciona lograr que el valor de los activos sea cercano a cero por la propiedad de efímero; esto es lo que aún genera inquietud, y varios investigadores de ciberseguridad están avanzando en este frente. Más de esto veremos en los próximos meses.
Recordando el viejo proverbio “Es muy difícil encontrar un gato negro en una habitación oscura- especialmente cuando no hay gato”, la gente de Booz Allen Hamilton propone un framework de Defensa Dinámica, para fortalecer y/o transformar las operaciones de ciberseguridad. Dentro de este framework presentan el Cyber Discovery Model, para reducir el ruido (causado por exceso de alertas y falsos positivos) y disminuir la invisibilidad (oscuridad de la habitación). Este modelo une ecosistema de sensores con capacidades analíticas y un entorno o panorama del adversario (el gato negro). Al unir estos tres componentes se obtiene una zona de Cyber discovery, esta zona es nuestra verdad, la vista idónea para analistas y hunters. Aún hay poca literatura al respecto, pero si es un modelo interesante que probablemente tomará fuerza y crecerá su adopción.
Acercamientos prácticos a este modelo Cyber discovery, es el proyecto Sigma, (https://github.com/Neo23x0/sigma) orientado a TTPs y reglas de SIEM, más fáciles y accionables que los propios IOCs.
La firma Intsights aprovechó el evento para hacer público los resultados de una investigación, enfocada en Latinoamérica, “The Dark Side of Latin America: Cryptocurrency, Cartels, Carding, and the Rise of Cybercrime” la cual se puede descargar en el siguiente link: https://intsights.com/resources/the-dark-side-of-latin-america-cryptocurrency-cartels-carding-and-the-rise-of-cybercrime
Parte 2.
Como se mencionó al principio de este artículo de opinión, el elemento humano en la ciberseguridad fue el centro de atención en RSACONFERENCE, y varios seminarios, charlas y talleres se concentraron en este elemento. En la naturaleza humana está el disfrutar, progresar y tener éxito. Es al humano al que hay que motivar e inspirar, es el humano quien recibe y aplica los métodos de influencia y mejora de sus comportamientos y hábitos, tanto en el mundo físico y su entorno digital.
Ira Winkler, experto en temas de awareness, comentó que está escribiendo su nuevo libro You Can stop stupid (para 2021). Nuevamente en su charla, este experto afirmó: “detrás de cada usuario estúpido, hay un profesional de ciberseguridad más estúpido”. Winkler continúa con su irreverencia, y nos pone a reflexionar frente al elemento humano; si la estupidez es falta de inteligencia, falta de sentido común, entonces tantos casos de intrusiones y fugas de datos causadas por el elemento humano, son porque las empresas ¿están contratando gente con poco sentido común?
Él nos recuerda que no se puede tener sentido común sin conocimiento común. Y se está fallando en darle ese conocimiento común a nuestro personal. Este conocimiento debe ser de interés, que permita tomar decisiones y ejecutar acciones. El conocimiento común y accionable no se logra con una jornada anual de ciberseguridad (con ingenieros preventa dando charlas gratis en la jornada), o una charla semestral de seguridad o un curso e-learning anual con quiz al final de este. Estas charlas quizá dan cierto nivel de conocimiento, la gente se hace consciente de algo, pero realmente saber no es suficiente. Un estudio de LastPass en 2017 indica que 91% de los usuarios entienden el riesgo de reutilizar las contraseñas, sin embargo el 61% usa la misma contraseña en varias cuentas. Además, al usuario ¿le importa el contenido de la charla de awareness?, ¿una charla cambia uno o más hábitos incorrectos? ¿La desatención o indiferencia del usuario frente a la ciberseguridad se resuelve con métodos tradicionales de awareness? Se hace visible una de las tantas frases de Bruce Schneier: “Personalmente creo que el entrenamiento en seguridad para los usuarios es generalmente una pérdida de tiempo” https://www.schneier.com/essays/archives/2013/03/on_security_awarenes.html. Aunque esta sentencia del experto es definitiva, y data de hace 7 años, quizá es bastante radical. Tal vez el entrenamiento/formación/awareness/educación no es pérdida de tiempo si se hace de manera diferente a lo tradicional y con mediciones reales al cambio de comportamiento de las personas. Que la medición no sea el simple quiz y una calificación, que la medición no sea el listado de asistencia a una charla; sino medir cambios culturales, medir acciones y hábitos, medir percepciones de la gente, medir cantidad de personas que detectan y reportan intentos de ingeniería social, medir número de personas que protegen su puesto de trabajo antes de ir a casa.
Un reporte de Gartner lo declara: “Las organizaciones que basan la concienciación en seguridad en resultados de aprendizaje medibles experimentarán un 40% menos de incidentes de seguridad generados por los usuarios que aquellas organizaciones que mantienen programas de concienciación tradicionales”.
El usuario es parte de un ecosistema digital. Los incidentes se dan por la falla de dicho ecosistema, no es por falla del usuario. Por ejemplo, si un usuario cae en un link malicioso enviado dentro de un email engañoso, y el malware no solo infecta el PC de este usuario sino que se expande a otros PCs de la red, la falla es del ecosistema completo, no solo del usuario. Winkler afirma, si esto sucede, es que tu red apesta. Por supuesto, administradores de sistema y seguridad, buscarán al culpable, y el usuario por ser el próximo al error, es el indicado para culpar. Pero en este caso, la falla es de la red, por permitir la expansión/propagación del malware que entró por el error humano. Este error de usuario es un síntoma de que el ecosistema completo está mal. No es falla del usuario, reitera, es falla del ecosistema. Un usuario no es la causa del daño, falla o brecha, es del sistema. Creer que tus sistemas, redes y datos son seguros sino fuera por las personas es una visión errada y desactualizada. Entender que el error humano es un problema organizacional y por ende cultural, es la nueva visión. Así de contundente. Que los profesionales de ciberseguridad no se sigan escudando en la ya trillada frase: “el humano es el enlace más débil de la ciberseguridad”. Cuando culpamos a la gente, perdemos la oportunidad de aprender del ecosistema completo, el error humano nunca es la causa, es un síntoma de un problema sistémico mayor inmerso en la cultura, procesos, sistemas y estrategia de ciberseguridad.
De lo anterior fue consciente el nuevo CISO de Equifax, quien expresó en RSACONFERENCE que logró establecer en la organización un cambio de tono, exigió apoyo y estableció un cambio de cultura en seguridad, iniciando por la alta gerencia, para construir un equipo de alto desempeño en seguridad. Aunque no es claro en como logró este cambio, contaba con un punto a favor, Equifax sufrió un incidente grave hace unos pocos años, y eso ya hace consciente a la alta dirección de una necesidad de cambio y un deseo de soportar ese cambio.
Ann Johnson, CVP Cybersecurity Solutions Group de Microsoft, compartió ejemplos reales de dos compañías, que crearon una cultura sólida, donde las personas son la mejor defensa. Esta cultura sólida, resultado del conocimiento de cómo cambiar, exhibir el cambio y hacer que el cambio se mantenga continuamente (que no solo sea mientras la firma externa de auditoría esté presente), es lo que se logra con métodos diferentes de concienciación.
Estos métodos deben reducir el ruido, así las personas se enganchan con la señal (lo realmente importante que genera cambios de comportamiento), se debe reducir la fricción simplificando procedimientos y políticas (usar infogramas de referencia rápida), darle las herramientas para que sus decisiones y acciones sean más simples. No podemos seguir complicándolos con cambios de contraseña cada 30 días, con contraseñas extensas y combinaciones complejas, etc.
Deben querer hacerlo y para eso se necesita mensajes optimistas, emocionantes, divertidos e inspiradores por medio de instrumentos interactivos. Fuimos testigos de varios casos de éxito en cómo la gamificación (método principal usado en los servicios de HackerGame) influye fuertemente en el elemento humano y logra cambios exitosos en la cultura de ciberseguridad de las organizaciones. Incluso logramos participar en un par de ellos, ver mecánicas de juegos, prototipos y ejemplos. Gabe Zichermann autor de The Gamification Revolution, quien fue referenciado en el evento por otros speakers, manifiesta que grandes empresas de Fortune 500 ya usan la gamificación como instrumento para influenciar mejores comportamientos de ciberseguridad.
Un par de profesionales australianos de la firma Terra Schwartz, presentaron casos de éxito en el uso de juegos serios para optimizar la estrategia de ciberseguridad de las compañías. Los juegos serios potencian las habilidades 4C, afirmaron los profesionales, refiriéndose a Comunicación, Creatividad, Colaboración y Pensamiento Crítico. Ken Sexsmith, director de educación y awareness en Microsoft también hizo alusión a la gamificación como instrumento aún no convencional para fortalecer la primera línea de defensa (el usuario final).
“Cada generación se imagina a sí misma ser más inteligente que la generación anterior, y más sabia que la generación que viene después”. George Orwell. Esta frase es para expresar otro factor dentro del elemento humano, las diferencias generacionales como reto en los asuntos de concienciación y cultura de ciberseguridad. Es posible que tu actual programa de awareness, tenga sesgos generacionales. Este tema fue expuesto en algunas conferencias y seminarios durante el evento RSACONFERENCE. Baby boomers, generación x, milenials, centenials tienen percepciones, valores y principios alrededor de la ciberseguridad muy diferentes entre ellos, aprenden diferente, y por ende influenciarlos, generar cambios en sus comportamientos digitales y uso de la tecnología, representa un reto para los líderes de seguridad digital que quieren usar métodos diferentes de concienciación, como lo es la gamificación. Pues además de haber diferencias generacionales, tenemos variedad de tipos de jugadores: exploradores (investigadores y navegadores), peleadores, competidores, recolectores, socializadores (influenciadores, entrenadores), entre otros.
RSACONFERENCE sigue siendo el gran evento de seguridad, y con casi 30 años de historia, las sorpresas, nuevo conocimiento y exposición del estado del arte en ciberseguridad se mantienen. El evento sirvió al personal de HackerGame como termómetro frente al tema de cultura de seguridad utilizando métodos diferentes, como lo es gamificación/juegos serios/playful learning, indicándonos que estamos en el camino correcto, y por ende nuestros clientes que ya usan nuestros servicios.
¿Quieres cambiar tu programa convencional de concienciación pero no sabes por dónde comenzar? ¿Quieres ir más allá del tradicional show de slides con power point? ¿Quieres generar impacto positivo en las personas? ¿Quieres que el elemento humano realmente sea tu primera línea de defensa? ¿Quieres usar instrumentos emocionantes y divertidos diseñados para cambiar comportamientos en el mundo digital personal y empresarial?
Para de hacer cosas que no hacen la diferencia. HackerGame te puede ayudar.
Si crees que la tecnología puede solventar tus problemas de seguridad, entonces no entiendes los problemas y no entiendes de tecnología —Bruce Schneier.
Autor:
R. Fabian Garzón, CISM, CRISC, CISSP, GCIH
Has two decades of experience in the IT and information security consultancy services working in various roles including product management, IT security operations engineer, cybersecurity incident management, PCI DSS implementation, cyber risk management and now is a Director at Hackergame, Colombia. He can be reached at [email protected] or www.linkedin.com/in/r-fabian-gg/