Durante muchos años, términos como» lista negra «y» lista blanca » se usaron comúnmente dentro de los círculos de ciberseguridad e infosec para simplemente designar qué persona o aplicación tenía acceso a un sistema o red (y cuáles fueron denegadas).
A raíz de protestas nacionales de meses de duración sobre temas como la injusticia racial y la mala conducta policial, las comunidades de ciberseguridad e infosec están teniendo su propio debate sobre términos como «negro» y «blanco» y lo que significan esas connotaciones. ¿Ha llegado el momento de cambiar la terminología de la seguridad para que la industria sea mucho más justa y una comunidad más inclusiva?
Algunos de estos problemas ya han salido a la superficie.
A finales de abril, justo cuando se estaban construyendo protestas en Estados Unidos y en otros lugares, el Centro Nacional de Seguridad Cibernética del Reino Unido, que forma parte de la agencia de inteligencia británica GCHQ y dirige el equipo de respuesta a incidentes de esa nación, publicó un anuncio de que ahora usaría los términos «lista de permiso» y «lista de denegación» en lugar de la lista blanca y la lista negra más tradicionales.
En junio, Cisco Talos, el brazo de investigación de amenazas de la división de seguridad de Cisco, anunció una medida similar.
» Aunque reconocemos que es un pequeño cambio, Cisco Talos se está moviendo para reemplazar nuestro uso de los términos ‘lista negra’ y ‘lista blanca’ por ‘lista de bloqueo’ y ‘lista de permisos'», según el equipo de Cisco Talos. «A pesar de que estos términos se usan comúnmente en la industria de la seguridad, no aceptaremos asignar casualmente connotaciones positivas a ‘blanco’ mientras asignamos connotaciones negativas a ‘negro’.»
Incluso se está gestando un debate sobre si uno de los eventos más reconocidos de ciberseguridad, BlackHat, debe cambiar su nombre para reflejar el debate más amplio. A principios de julio, David Kleidermacher, vicepresidente de ingeniería de Google, que supervisa la seguridad de Android y Google Play Store, anunció que se retiraba de una charla programada para estimular a la comunidad de infosec a usar términos más neutros.
» Si bien muchas personas afirmarán con razón que nunca asociaron conscientemente dichos términos con el racismo, la realidad es que las palabras importan, y estas palabras perpetúan la noción de ‘blanco’ como ‘bueno’ y ‘negro’ como ‘malo'», dijo a Dice Michelle McLean, vicepresidenta de marketing de productos de la firma de seguridad StackRox. Su compañía también ha comenzado a usar términos más neutros en cuanto a raza y género, como «lista de permisos» y «lista de denegación».»
«Los lingüistas han argumentado durante mucho tiempo que las palabras moldean directamente nuestra conciencia y nuestra realidad, por lo que necesitamos tomar medidas como eliminar dichos términos racistas de nuestro vocabulario técnico como una pequeña parte de un esfuerzo mucho mayor necesario para crear entornos y oportunidades positivos para las personas negras y otras personas con poca representación en tecnología», agregó McLean.
Debate en curso
Si bien puede parecer que las comunidades de TI, desarrolladores y seguridad solo han comenzado recientemente a debatir opciones de palabras como lista blanca y lista negra, así como «maestro» y «esclavo», las preocupaciones sobre el uso de estos términos y lo que significan han sido parte de la discusión durante algún tiempo.
En 2018, por ejemplo, dos académicos irlandeses publicaron un artículo de investigación que abordaba el «uso generalizado de lenguaje racista en discusiones sobre publicaciones depredadoras», incluidos los términos lista negra y lista blanca.
Thomas Hatch, director de tecnología y cofundador de la firma de seguridad SaltStack, cree que no solo los términos más modernos y neutrales en función de la raza ayudan a eliminar el lenguaje racista, sino que también ofrecen definiciones más claras de lo que la seguridad debe significar para una organización.
» En el pasado, la mayoría de nosotros no considerábamos la connotación dentro de los términos lista blanca y lista negra. Simplemente pensamos en ellos como términos de computación estándar», dijo Hatch a Dice. «Sin embargo, alejarse del uso de terminología que se ha originado específicamente en tales prácticas inhumanas es positivo para la industria de la seguridad, así como para otras industrias. Ha sido refrescante ver que esta tendencia se ha extendido a través de la tecnología.»
Un futuro más perfecto
Mientras que el debate sobre términos como lista negra y lista blanca realmente solo ha comenzado, y no todos pueden sentir la necesidad de cambiarlos, Heather Paunet, vicepresidenta de gestión de productos de la firma de seguridad Untangle, cree que eliminar ciertas terminologías ahora puede dar sus frutos en el futuro al hacer que la ciberseguridad y la infosec sean más inclusivas y respetuosas con el talento al que quieren recurrir.
» ‘Lista negra’ y ‘lista blanca’ son términos que deben aprender los recién llegados a una empresa de seguridad o producto de seguridad, porque no está claro lo que significan cuando se encuentran por primera vez», dijo Paunet. «El uso de términos donde es obvio lo que hacen facilitará la comprensión de las soluciones de seguridad, además de promover una cultura de no aceptar el uso de terminología que promueve asociaciones positivas o negativas con los colores «negro» y «blanco».»
McLean de StackRox también cree que actualizar las palabras que utiliza la industria puede ayudar a cambiar la cultura, haciendo de la ciberseguridad una carrera más atractiva para muchas más personas talentosas de diversos orígenes.
«La industria de la seguridad solo se beneficiará de poder aprovechar un grupo de talentos más grande y diverso a medida que trabajamos juntos para proteger las aplicaciones y la infraestructura críticas», dijo McLean. «Pensar de manera más amplia crea mejores soluciones, y la industria de la seguridad necesita esa herramienta de talento más que nunca.»