Una de las cosas que me ha llamado la atención en la comunidad dedicada a la ciberseguridad, es cuando algunos especialistas emiten comentarios despectivos respecto de otros; o bien, cuando expertos en ciertas áreas se refieren con desprecio respecto de disciplinas distintas.
Personalmente me vi afectado hace algunos meses por una situación como la comentada, cuando luego de una exposición en el Congreso de mi país; un especialista comentó en su cuenta en Twitter refiriéndose a mí, que era una vergüenza que un supuesto experto expusiera sobre ciberseguridad, cuando no tenía idea de nada.
No viene al caso señalar lo rotundamente equivocado que estaba dicha persona respecto de mis competencias y experiencias profesionales, ni tampoco del alcance de los logros que he tenido en mis áreas de especialización; esas las tengo bien asumidas aun cuando, producto de la naturaleza de mis funciones, no pueda referirme abiertamente a ellas. Sin embargo, no pudo dejar de llamarme profundamente la atención dicho comentario, más aún porque la persona que lo hizo no me conoce, nunca trabajó conmigo y, al contrario, habíamos intercambiado un par de agradables comentarios a través de nuestras respectivas cuentas en LinkedIn.
Por supuesto le pregunté el motivo de su comentario y su respuesta no pudo ser más inesperada, me comentó que en redes sociales solía hacer comentarios con ese tono agregando, que de todas maneras consideraba que la ciberseguridad requería de un trabajo en conjunto de todos los actores participantes en ella y que me ofrecía toda su colaboración. Reconozco que sus argumentos me dejaron sorprendido por la evidente contradicción en ellos, puesto que considero que el desprecio injustificado y la cooperación no se complementan.
Posterior a ese episodio comencé a recordar las muchas ocasiones en las que he visto en redes sociales, particularmente en LinkedIn, comentarios que de manera genérica, a veces sutil, tienden a descalificar las competencias profesionales de otros en el campo de la ciberseguridad.
Es común la eterna discusión de si en ciberseguridad es más importante la experiencia o las competencias, enfrentando títulos y certificaciones con experiencia y habilidades. Seguramente habrán leído en sus redes profesionales comentarios que señalan que este campo está lleno de personas con títulos o certificaciones “rimbombantes”, pero que nunca han estado detrás de un teclado; o al contrario, comentarios de personas que critican a quienes no han sacado la cabeza de las pantallas y no cuentan con la preparación para comprender y dirigir; por ejemplo, la gestión integral de ciberseguridad.
Otra discusión típica es la generada por aquellos que dan a entender que los únicos que pueden hablar de ciberseguridad y considerarse expertos en eso, son quienes explotan vulnerabilidades y por ende, los pocos que tienen autoridad para hablar de ella, dirigirla y comprenderla con propiedad. Recientemente, con posterioridad a un muy interesante conversatorio de ciberseguridad en Santiago, en una red social en la que yo participo alguien preguntó con sarcasmo qué hacker de renombre había participado en la misma, lo que a mi entender tuvo el propósito de desvirtuar el encuentro.
Y a propósito de hackers, pareciera ser que el uso de tal denominación también es un blanco de este tipo de comentarios, en más de una ocasión he leído descalificaciones señalando que hay gente que se cree hacker, porque han hecho un par de cursos o certificaciones de una semana en los que les enseñan a usar herramientas para penetration testing.
Para que hablar de las discusiones respecto de quien merece ser llamado hacker.
Pero las críticas que más me impresionan son aquellas dirigidas a los responsables de la ciberseguridad de organismos que han sufrido una vulneración de seguridad. En esos casos es sorprendente la cantidad de generales después de las batallas o los leñadores de árboles caídos, que hacen gala de sus conocimientos para destacar las supuestas incompetencias, fallas o faltas de previsión de sus colegas. Parecieran olvidar la permanente tensión y las complejidades que deben enfrentar los responsables de la ciberseguridad, para minimizar todas las posibilidades de vulneración en sus sistemas.
En fin, el fondo de esta reflexión es que, en mi humilde opinión, es necesario entender que la ciberseguridad es un esfuerzo multidisciplinario en la que se produce la intersección de tecnologías, múltiples disciplinas, investigación, planes, estrategias y políticas; en las que tanto experiencia como competencias profesionales son necesarias y complementarias, tratar de convencer cuál de ellas es más importante, es una discusión fatua.
Por otro lado, me atrevo a sugerir a practicar la empatía con quienes han sufrido vulneraciones a sus sistemas, porque más tarde o más temprano todos podemos estar en esa situación.
Para finalizar, es necesario reconocer que, como en todo ámbito, en ciberseguridad también hay personas que declaran experiencia o competencias que no tienen y que igual se desempeñan en campos donde son necesarias; sin embargo, para juzgarlas hay que tener la sensatez para, al menos, verificar sus capacidades, eso se llama respeto.
Gracias por visitar el blog.
Héctor Gómez Arriagada 
Un comentario