Muchas razones. Intentaré dar algunos. Algunos son solo especulaciones de mi parte.
- Ignorancia. Algunas personas simplemente no son conscientes de que son un objetivo o que incluso ser un objetivo es posible. Dicen “no tenemos nada que quieran de todos modos” o “Tenemos un consultor que se encarga de esto” (a veces su “consultor” simplemente los configuró con el software AV y terminó su trabajo). No se dan cuenta de que todos los datos tienen algún valor, ya sea para vender o para cifrar y rescatar. Todos los equipos de TI tienen valor. Para ellos es gratis “hosting”. ¿Cómo curar esta ignorancia? Nunca lo he curado en nadie, incluso con mi pregunta “OK, si no tiene un plan de seguridad de TI, cuando sus datos están encriptados, ¿tiene copias de seguridad de sus datos que no están en el mismo sistema aquí?” O “¿qué? ¿es su plan para probar que el contenido ilegal como material de DMCA o pornografía infantil que se encuentra en su sistema no es suyo? ”(jadean en Child Porn pero tal vez lo pongo un poco grueso y ya no lo usaré más. Podría verse como una táctica de miedo)
- Nadie quiere ser responsable de ello. Si trabaja para una corporación que valora el “rendimiento”, entonces la seguridad de TI es una responsabilidad de la que es responsable. El mejor de los casos es que no hay métricas medibles de rendimiento mejorado (a menos que un sistema haya sido pirateado previamente), solo un aumento de presupuesto. Buena seguridad de TI = no se ve mucho y los promotores de carrera no quieren colocarse en un proyecto como ese. Por lo tanto, la cultura corporativa debe cambiar un poco para recompensar a algunas personas de tipo “lento y constante”. Además, si está a cargo de la seguridad de TI y ocurre un exploit de día cero que no puede hacer nada, se ve mal. Terrible en realidad. Es por eso que es mejor contratar a un consultor externo para hacer un trabajo aburrido o para echarle la culpa (una vez describí mi profesión como un saco de boxeo pero por gritar).
- Ser hackeado se ve mal. De hecho, he visto que personas que encontré fueron pirateadas en base a que su red se anunciaba en línea como en venta y la gente estaba enojada conmigo por contactarlos. ¿Por qué? Se veía mal. En este día de demostraciones de fuerza e imagen que hacen que pronunciar mal el nombre de una película se convierta en una noticia durante 3 días seguidos (Jenna Bush dice “Cercas” en lugar de otra cosa). La seguridad puede parecer un signo de debilidad para las personas estúpidas. Los libros inspiradores le dicen a las personas que “acepten sus errores y aprendan de ellos”, pero la realidad es que siempre hay alguien buscando colgar a alguien para que se seque. Abrazar errores es que los ejecutivos hablen sobre su pasado, no para los gerentes de la vida real en muchas compañías de la vida real.
- Superstición. Seriamente. Me he encontrado con personas sorprendidas de que tenga un extintor a la vista en mi cocina. Para ellos es como un talismán que dice: “Me alegro de un fuego de grasa”. Pensamos que esto es una locura, pero Elizabeth Holmes, de cuello de tortuga, de Theranos, dijo una vez: “Creo que en el momento en que tengas un plan de respaldo, admitirás que no vas a tener éxito”. La gente se burló de ella por decir eso. Ella estaba equivocada, por supuesto. También adularán el próximo fraude que lo diga también. Lea esa declaración como “Creo que en el momento en que tenga un plan de seguridad, ha admitido que será hackeado”. La gente cree esto. Ellos continuarán creyéndolo. La actual “cultura” empresarial de moda alienta esto.