Los ataques constantes, la escasez de trabajadores cualificados y la innovación de los piratas informáticos somete a los profesionales del sector a una presión que aumenta el riesgo de brechas de seguridad. La comunidad empieza a ser consciente de la importancia y la urgencia de aliviar esta tensión
Este año, los miles de profesionales de ciberseguridad que han acudido a la conferencia Black Hat, que se celebra cada verano al calor abrasador de Las Vegas (EE. UU.), se han encontrado con un nuevo tipo de sesión. Un nuevo movimiento de la "comunidad" ha ofrecido charlas sobre distintos problemas en el lugar de trabajo a los que se enfrentan los defensores de la ciberseguridad que luchan para proteger al mundo de los hackers.
Con títulos como Mental Health Hacks: Fighting Burnout, Depression and Suicide in the Hacker Community (que se traduciría como Hackeos de salud mental: lucha contra el agotamiento, la depresión y el suicidio en la comunidad hacker), estas sesiones han abordado la presión a la que están sometidos los equipos de seguridad, y su impacto negativo en el bienestar de los trabajadores.
"Muchos miembros de la comunidad quieren proteger a sus usuarios a toda costa. Pero esto es muy complicado de hacer si las personas sufren altos niveles de estrés de forma continua, lo que aumenta el riesgo de depresión y enfermedades mentales", explica el ponente de Duo Security Jamie Tomasello.
El estrés genera un impacto negativo en la vida de los defensores cibernéticos y también en la seguridad en sí misma. A pesar de que cada vez más tareas de ciberseguridad se están automatizando, todavía hay muchas que requieren mucha mano de obra. Los profesionales que experimentan problemas de salud mental tienen más probabilidades de cometer errores y de acusar problemas de rendimiento que obligan a sus compañeros a prestar más atención, lo que también aumenta su probabilidad de cometer errores.
El estrés aumenta el riesgo de sufrir un ataque
Este asunto es cada vez más preocupante ya que lo que está en juego en el terreno de la ciberseguridad también es cada vez más crítico. Los hackers ya no se limitan a robar datos de tarjetas de crédito y registros digitales de salud; están empezando a atacar los sistemas que gobiernan redes eléctricas, fábricas y otras infraestructuras sensibles (ver Terrorismo que mata a través de internet).
Por supuesto, los profesionales de ciberseguridad no son los únicos que sufren estrés laboral. Hay muchos otros tipos de trabajadores, como los soldados y los cirujanos, que también se enfrentan a una intensa presión en sus trabajos. Y dentro de la informática, las tareas relacionadas con el mantenimiento y la actualización de redes y bases de datos claves también pueden ser estresantes.
Pero expertos de la industria señalan que en el área de la ciberseguridad se suman varios factores que dan lugar a un problema especialmente sensible. Uno de ellos es el hecho de que cualquier tipo de sistema informático recibe ataques constantes. Esto provoca que el trabajo de asegurarlos no acabe nunca. "Nunca hay tiempo de inactividad. No se detiene y todos los días son una batalla", explica la ejecutiva de la firma de seguridad cibernética Endgame Andrea Little Limbago, que ha escrito sobre el tema del estrés en el ciberespacio.
Y la velocidad a la que los hackers idean nuevas formas de ataque también crea presiones únicas. "Los desafíos para mantenerse al día son una locura", señala el cofundador de BSides Jack Daniel, otra conferencia de seguridad que ha destacado los problemas de salud mental.
Faltan trabajadores
Para empeorar las cosas, la industria se enfrenta una carencia de trabajadores cualificados. Según una estimación, solo en EE. UU. hay cerca de 300.000 empleos de ciberseguridad sin cubrir. Eso significa más trabajo y presión para quienes sí ocupan algún puesto de este tipo.
Una encuesta global a 343 ejecutivos de seguridad cibernética publicada en noviembre de 2017 por Enterprise Strategy Group y Information Systems Security Association descubrió que casi el 40 % de ellos afirmaba que la falta de habilidades estaba causando altas tasas de agotamiento y rotación de personal. "Realmente existe una necesidad urgente de investigaciones más serias sobre este tema", indica Daniel.
Una simple forma de medir los niveles de estrés ente los profesionales de ciberseguridad sería útil. Eso es lo que han intentado hacer los investigadores de la Agencia de Seguridad Nacional de Estados Unidos Celeste Lyn Paul y Josiah Dykstra dentro de su organización, cuyo personal suele estar sometido a situaciones estresantes. El equipo ha desarrollado una encuesta de estrés que puede usarse para un estudio único o como un punto de referencia. Ambos presentaron su enfoque en Black Hat y lo compartirán online el 13 de agosto para que cualquiera pueda acceder a él.
¿IA al rescate?
Aunque sería más útil contar con más evidencia empírica, las empresas ya pueden tomar medidas para abordar los problemas relacionados con el estrés con algunas medidas sencillas. Pueden asegurarse de que sus responsables de ciberseguridad tengan tiempo libre regularmente, animarles a compartir cualquier preocupación sobre el estrés con sus responsables, y darles acceso a fuentes de asesoramiento y consejos sobre problemas de salud mental.
La tecnología también podría ayudar a mejorar las cosas. Cada vez más proveedores de software de ciberseguridad están adoptando herramientas inteligencia artificial para automatizar cada vez más tareas (ver Este robot hacker encuentra y repara vulnerabilidades automáticamente). Este enfoque podría aliviar algo de tensión a los profesionales con exceso de trabajo, pero antes de que eso ocurra a gran escala, harán falta muchos más humanos en las líneas fronterizas cibernéticas.