Cómo el lenguaje especializado en ciberseguridad genera obstáculos y derrocha recursos.

La utilización de acrónimos en la ciberseguridad es un fenómeno común, reflejando la forma en que interactuamos en esta industria, pero plantea la pregunta de si realmente es necesario añadir más complejidad a un campo ya complicado. Este contexto podría estar contribuyendo al desánimo de los desarrolladores. El sector de la ciberseguridad está experimentando un crecimiento significativo, con un incremento del 20% interanual, impulsado por la promesa de mayor productividad. Sin embargo, los desarrolladores a menudo se sienten abrumados por la cantidad de nuevas siglas que deben estudiar para poder avanzar en sus tareas.

Uno de los problemas de comunicación radica en que se utilizan nombres que describen las herramientas de seguridad por su naturaleza, en lugar de explicar su funcionalidad. Por ejemplo, "static application security testing" (SAST) puede resultar incomprensible para quienes no están familiarizados con el término, aunque lo que realmente hace es asegurar el código. Una descripción más clara facilitaría la comprensión de "dynamic application security testing", que se encarga de buscar vulnerabilidades en las aplicaciones.

Se acentúa la frustración al notar que no hay necesidad de utilizar acrónimos cuando se puede describir lo que las herramientas hacen de una manera más accesible. Esta barrera comunicativa se intensifica en niveles jerárquicos más altos; los equipos de seguridad suelen enfrentarse a desafíos en la obtención de financiamiento debido a que quienes toman decisiones en la dirección de la empresa no comprenden plenamente lo que estas herramientas aportan. Esto crea una situación complicada, donde la falta de inversión y el aumento de ciberataques son evidentes.

Adicionalmente, se observa que la creación continua de nuevos acrónimos puede parecer más un intento de generar ganancias que una necesidad real, lo que complica la distinción entre herramientas esenciales y aquellas que son solo una moda pasajera.

En 2024, es crucial adoptar un enfoque más holístico en la ciberseguridad. Actuar en diferentes etapas de desarrollo o en silos puede diluir la efectividad de la seguridad. Se propone un enfoque integrador que aborde cuatro áreas clave:

1. Seguridad del código fuente: Abarca todo lo escrito en código, incluyendo infraestructura como código, enfocándose en la creación de código seguro desde un inicio.
2. Seguridad de la aplicación en ejecución: Consiste en proteger la aplicación mientras opera, identificando vulnerabilidades mediante herramientas de fuzzing y pruebas de API.
3. Seguridad de los entornos en la nube: Implica la protección de la infraestructura sobre la que todo opera.
4. Seguridad de la cadena de suministro: Se refiere a la protección de las dependencias, componentes de código abierto y elementos de terceros.

Al presentar estas áreas de manera clara y comprensible, se facilita la labor de los desarrolladores al evitar el uso de acrónimos confusos y se establece una comunicación más efectiva, que respeta tanto el tiempo como la carga cognitiva de todos los involucrados. Una comunicación clara no solo mejora la transmisión de información, sino que también permite que la ciberseguridad sea vista como una parte integral y bien financiada dentro de la organización.