Prensa y Menciones

Para manejar eficazmente las auditorías internas de cumplimiento de ciberseguridad, las organizaciones deben realizar auditorías internas regulares para evaluar su estado de cumplimiento antes de la auditoría oficial. Esta práctica ayuda a identificar vulnerabilidades, asegurar el cumplimiento de las normas reglamentarias y mantener una postura de seguridad robusta.

Una mejor práctica a seguir es mantener una documentación detallada de todas las políticas, procedimientos y controles de seguridad. Esta documentación es crucial para que los auditores verifiquen el cumplimiento y para que la organización demuestre su compromiso con la ciberseguridad.

Además, las organizaciones deben mantener sus sistemas y software actualizados, fortalecer la gestión de identidades y accesos, prepararse para la respuesta y el informe de incidentes, asegurar el cumplimiento de los proveedores externos y capacitar a los empleados en prácticas de cumplimiento y seguridad. Estos pasos no solo ayudan a pasar la auditoría, sino que también mejoran la postura general de ciberseguridad de la organización.

La persona más influyente en mi carrera fue mi padre, James Knauss, quien falleció el año pasado. Su profesión como Maestro Electricista estaba muy lejos del rol de Director de Seguridad de la Información en el que terminé, pero la brecha entre nuestros campos no importó. Me enseñó tres lecciones críticas que formaron la esencia misma de quien soy, tanto como persona como líder en ciberseguridad.

Las dos primeras lecciones fueron pilares fundamentales de carácter y profesionalismo. Primero, sé honorable: si haces una promesa o un compromiso, debes cumplirlo a toda costa. Este principio de integridad inquebrantable no es negociable. Segundo, me enseñó que "llegar a tiempo es llegar tarde", inculcando el hábito de presentarse siempre cinco minutos antes. Este simple acto demuestra respeto, preparación y un compromiso de no hacer perder el tiempo a los demás.

Finalmente, la tercera lección fue sobre el temperamento y el impacto: nunca levantes la voz. Me enseñó que la voz más fácil de escuchar y entender es la suave y mesurada. En un campo de alto estrés como la ciberseguridad, esta lección ha sido invaluable. Me enseñó que la verdadera fuerza en el liderazgo no proviene del volumen, sino de la claridad, la calma y la fiabilidad inquebrantable que él ejemplificaba. Estos tres principios son la base de mi vida profesional.

"No aceptes un trabajo que no te emocione"... Ese consejo es prácticamente todo el juego, porque esa emoción inicial es la fuente de toda tu resiliencia más adelante. No se trata del factor "cool" superficial de un producto; se trata de tener una creencia profunda en la misión de la empresa. Ese propósito se convierte en tu ancla cuando las cosas inevitablemente salen mal. Cuando estás lidiando con una interrupción del sistema a las 3 AM o un proyecto que está completamente descarrilado, lo único que te mantiene en marcha es el conocimiento de que estás luchando por algo que importa. Sin esa convicción central, la presión constante es solo una rutina que te agotará por completo.

Mi técnica preferida para resolver problemas es siempre "factorizar el problema". La idea central es tomar un problema grande, complejo y a menudo abrumador y descomponerlo en los componentes más atómicos y resolubles posibles. Al negarse a abordar el problema grande y, en cambio, centrarse en los subproblemas más pequeños posibles, se puede avanzar constantemente, aislar los puntos de falla y generar impulso hacia una solución completa. Convierte un desafío intimidante en una lista de verificación manejable.

Mi consejo práctico número uno para lograr objetivos significativos en 2025 es reducir tu objetivo principal a una sola oración clara y afirmativa. Este enfoque es efectivo porque cambia el enfoque de depender de la motivación, que es un sentimiento fugaz, a establecer un sentido duradero de propósito. El simple acto de crear esta oración te obliga a eliminar el ruido y las distracciones de la vida diaria, proporcionando una claridad absoluta sobre lo que es esencial. Este proceso transforma una aspiración vaga en una misión concreta y personal.

El gran problema con la adopción generalizada de VoIP es que expande radicalmente la superficie de ataque. No es diferente de cualquier otra aplicación crítica que hemos movido a la nube; ahora son solo paquetes de datos.

Me preocupan los ataques DDoS basados en SIP dirigidos que pueden derribar toda nuestra pila de comunicaciones, o las sofisticadas campañas de vishing que suplantan extensiones internas para atacar a nuestros ejecutivos. Y el fraude de peajes es un verdadero asesino de presupuestos.

Debido a que está basado en IP, está totalmente expuesto a los ataques clásicos de capa de red: escuchas, hombre en el medio en la señalización de llamadas, lo que sea. Si ese tráfico no está cifrado de extremo a extremo (tanto señalización como medios), estamos expuestos.

Honestamente, todo se reduce a los fundamentos. Tenemos que tratarlo como cualquier otra carga de trabajo crítica: cifrado fuerte, segmentación de red adecuada para aislar la VLAN de voz y capacitación implacable de los usuarios sobre vishing. Es solo otro activo de alta prioridad que defender.

La mejor defensa contra las estafas de IA y los deepfakes no es una nueva tecnología; es una nueva mentalidad. Debemos tratar cada solicitud urgente e inesperada con una buena dosis de escepticismo. La regla de oro es "verificar antes de actuar". Si una llamada o mensaje solicita información sensible o una transferencia rápida de fondos, cuelgue y use un número de contacto de confianza previamente guardado para verificar la solicitud. Esta simple acción interrumpe el cronograma del estafador y le devuelve el control.

Como CTO, veo la gestión de la deuda técnica no como una tarea de limpieza, sino como una parte fundamental de nuestra gestión estratégica de riesgos y recursos. Si bien asignar un porcentaje de nuestro tiempo —digamos, el 10%— a la refactorización es una táctica común, un enfoque maduro va mucho más allá, centrándose en la prevención proactiva y el pago dirigido.

Hacer la Deuda Visible y Cuantificable

Primero, no se puede gestionar lo que no se usa. Tratamos la deuda técnica como un pasivo financiero en un balance. Utilizamos una combinación de herramientas de análisis de código estático, seguimiento de la complejidad del código, identificación de dependencias obsoletas y la creación de un "registro de deuda" formal. Cada elemento del registro se etiqueta con su impacto potencial —¿Está ralentizando el desarrollo de funciones? ¿Supone un riesgo de seguridad? ¿Está afectando el rendimiento del sistema? Esto hace que el concepto abstracto de "deuda" sea concreto y nos permite discutirlo en términos comerciales.

Aquí es donde reside la verdadera ventaja. La deuda más barata de arreglar es la deuda que nunca se crea. Fundamental para esto es nuestro estricto cronograma de parches automatizados para todas las dependencias y sistemas, ya que las vulnerabilidades sin parchear son una de las formas más peligrosas de deuda técnica. También aplicamos la Infraestructura como Código (IaC) para la gestión de la configuración para evitar desviaciones y asegurar que nuestros entornos sean reproducibles y consistentes, lo que elimina una fuente masiva de deuda operativa. Más allá de eso, tenemos un proceso ligero de revisión arquitectónica para evitar decisiones que nos acorralarían dentro de años. Finalmente, nuestra definición de "hecho" para cualquier tarea incluye pruebas adecuadas, documentación y el cumplimiento de nuestros estándares de codificación establecidos. Recortar estos aspectos es como comienza la deuda, así que simplemente no lo permitimos.

No solo damos a los equipos un "impuesto" fijo del 10% para trabajar en lo que quieran. Gestionamos nuestro registro de deuda como un backlog de producto e incluimos explícitamente elementos relacionados con la deuda junto con nuevas funciones durante la planificación. La priorización está impulsada íntegramente por el impacto. Siempre abordamos primero la deuda de alto riesgo, como las vulnerabilidades de seguridad y los problemas de estabilidad. Luego, nos enfocamos en la deuda de "tasa de interés" en áreas de la base de código donde estamos desarrollando activamente, ya que saldarla acelera inmediatamente la entrega de nuevas funciones. Sin embargo, algo de deuda está bien. Si una pieza de código "fea" está en una parte del sistema que rara vez cambia y funciona de manera fiable, optamos conscientemente por dejarla en paz. No tiene sentido refactorizar por el mero hecho de la elegancia.

Como experto en ciberseguridad, creo que los gestores de contraseñas son una herramienta vital para mejorar la seguridad en línea. Simplifican el proceso de gestionar contraseñas fuertes y únicas para múltiples cuentas, lo cual es crucial en el panorama digital actual.

Sin embargo, es importante usarlos correctamente para maximizar sus beneficios. Un consejo crucial para usar gestores de contraseñas de forma segura es habilitar la autenticación multifactor (MFA).

MFA añade una capa extra de seguridad al requerir no solo tu contraseña maestra, sino también una segunda forma de verificación, como un código enviado a tu teléfono o un escaneo biométrico.

Esto reduce significativamente el riesgo de acceso no autorizado, incluso si tu contraseña maestra se ve comprometida.

Además, asegúrate de elegir un gestor de contraseñas de buena reputación que ofrezca funciones de seguridad robustas y actualice regularmente su software para proteger contra amenazas emergentes.

"La idea de Tony era tomar un reproductor de MP3, construir un servicio de venta de música tipo Napster para complementarlo y crear una empresa a su alrededor", dijo Knauss. "Tony tuvo la idea de negocio". Knauss dijo que Fadell dejó Philips y se estableció como contratista independiente para ofrecer la idea. Knauss dijo que Fadell se acercó a varias compañías y fue rechazado por todas ellas, excepto por Apple.

Lo interesante del iPod es que, desde que comenzó, tuvo el 100 por ciento del tiempo de Steve Jobs. No muchos proyectos consiguen eso. Él estaba muy involucrado...

"La idea de Tony [Fadell] era tomar un reproductor de MP3, construir un servicio de venta de música tipo Napster para complementarlo y crear una empresa a su alrededor. Tony tuvo la idea de negocio."

"#Winprog te golpea en la cara con tu fracaso", dijo Knauss.

El tiempo puede estar corriendo. Los recientes recortes de tasas podrían señalar una tendencia a la baja, lo que significa que estos atractivos pagos de anualidades podrían no durar. Para aquellos que dudan, el riesgo de esperar es que podrían asegurar un ingreso vitalicio más bajo.