Recientes eventos nos vuelven a conectar con los temas de protección de la información y los retos que esta tarea tiene para asegurar este activo tan valioso, para las organizaciones y las naciones, en un contexto digitalmente modificado como el actual.
(Lea: DataCrédito, con irlandeses)
La mayor empresa del mundo de informes de crédito Equifax (lo que guardadas proporciones podría ser Datacrédito en Colombia) ha sufrido un robo de datos de 200 millones de personas, por los cuales los atacantes exigen un pago de 600 bitcoins (2,2 millones de dólares americanos aproximadamente), a cambio de no hacer públicos dichos datos.
(Lea: Instagram, la nueva víctima de los ciberdelincuentes)
Este nuevo hecho, según diferentes informes, se debe a una reiterada falta de gestión de seguridad y control de la firma, pese al conocimiento del nivel de criticidad de la información y los impactos que esta genera respecto del perfil crediticio de una persona. Al igual que caso del Banco de Bangladesh con la configuración del sistema Swift (un computador personal y un enrutador con configuración casi por defecto), por donde se movilizaban millones de dólares en transacciones financieras, Equifax contaba con un sitio web protegido con un firewall básico de software, con un acceso basado en un número de seguridad social y un pin básico para entrar a la base datos y hacer modificaciones, de acuerdo con lo indicado por Merce Molist, en su artículo en El Confidencial.
(Lea: ¿Estamos mentalmente preparados para un ataque cibernético?)
Sin perjuicio de las debilidades de gestión previamente indicadas, de acuerdo con Jeff Williams, co-fundador de la empresa Constrast Security, indica que la vulnerabilidad aprovechada por los atacantes se podía materializar con una petición http, solo que para efectos del ataque, se modificaba de forma conveniente la cabecera de la petición para concretar el compromiso del sitio web.
Esta situación ocurre en una empresa con operaciones en 23 países, asistida de una corporación de seguridad de la información de reconocido prestigio internacional y bajo una revisión y escrutinio de terceros dado el tipo de información que hace parte de la esencia de su negocio. Las preguntas que se pueden plantear en este momento son ¿qué pasó? ¿Nadie vio estas faltas básicas en las prácticas de seguridad y control de la información? Preguntas cuyas respuestas suelen resultar incómodas y posiblemente comprometedoras frente a los revisores externos de la firma y las posibles demandas de los terceros representados en los servicios jurídicos que estos contraten.
Los miembros de la junta directiva de Equifax, deben estar inquietos por el resultado y los impactos de esta noticia, que ya cobra pérdidas de más de 15% en sus acciones y posiblemente serán interrogados sobre su conocimiento acerca del perfil de riesgo de ciberseguridad de la empresa (o ciber riesgo). Este perfil de riesgo es un ejercicio de conocimiento y contraste que la organización hace frente a la inestabilidad de su escenario de negocios y los retos estratégicos planteados por junta directiva como cuerpo colegiado responsable de los destinos de la empresa.
De acuerdo con Hermans y Diemont, un perfil de ciber riesgo debe contener al menos los siguientes cinco elementos:
• Comprensión de su entorno de negocios, donde revise como base: mercados donde se mueve, nivel de digitalización de servicios, conexiones con otras organizaciones.
• Objetivos clave, donde se detallen los flujos de información, su nivel de relevancia para la empresa y los procesos que afecta.
• Adversarios/Atacantes, reconocer cuál es el atractivo de la empresa para los posibles atacantes, reconocer sus motivaciones y comprender las organizaciones criminales que pudiesen estar interesadas en los temas de la empresa.
• Vulnerabilidad/Resiliencia, entender, detallar y comprender las vulnerabilidades vigentes de la organización (y su relación con los objetivos clave) y tener claridad de cómo se recupera (mientras sigue operando) luego de una brecha de seguridad de la información.
• Regulación, comprender los requerimientos normativos que le son aplicables y sus implicaciones ante una brecha de seguridad de la información.
Como se puede advertir en el perfil de ciber riesgo, la organización reconoce su exposición a un escenario inestable y cambiante, con lo cual se habilita una construcción de capital político que es compartido entre los miembros del directorio, como responsable del entendimiento y aseguramiento de dicho perfil. No es un tema técnico que está fuera de la esfera de las decisiones estratégicas, sino un tema estratégico que asume las implicaciones políticas de las brechas de seguridad, como un insumo para aumentar la resiliencia de la organización ante la inevitabilidad de la falla.
En un reciente informe de la comunidad Darkreading, sobre la inversión en seguridad de la información, revela que las empresas siguen concentradas en la adquisición de tecnología informática de seguridad (más del 50% de la inversión) representada en firewalls de nueva general, anti-malware, detección de intrusos, protección de punto final y sistemas de monitoreo y correlación de eventos, mientras los temas de apropiación, concientización y cumplimiento, todos ellos relacionados con el cambio de comportamientos en las personas oscila entre el 11 y el 17% de la inversión.
Esta situación confirma que si bien las tecnologías de información de protección habilitan capacidades claves que deben llevar a las empresas a desarrollar posturas de defensa activa, son las personas y sus comportamientos, aquellas actividades que saben deben hacer y no hacen, aquellas acciones que deben ejecutar y que no realizan, las que hacen la diferencia cuando de una brecha de seguridad se trata. En el caso de Equifax, la limitada gestión de la seguridad de la información, revela una realidad aún más seria que sugiere una desconexión entre los ejecutivos de primer nivel y la esencia de la operación del negocio: los datos y la información.
Si los atacantes cumplen la promesa de revelar la información, una postura más reactiva será la que la organización deberá asumir, sabiendo que de forma paralela deberá adelantar los correctivos a que haya lugar tanto a nivel técnico, como a nivel táctico y ejecutivo.
Bajo esta condición, los miembros de la junta tendrán que sesionar no solo con los auditores, abogados, compañías de seguros (si lo tienen previsto) y las autoridades de policía judicial, sino salir a “dar la cara” a sus diferentes grupos de interés para dar cuenta de su interés genuino en sus necesidades, la responsabilidad digital empresarial, reflejada en el respeto y ética de los datos y la forma como la empresa asume la responsabilidad de reparar y asegurar los derechos y garantía de las personas frente a un evento, que si bien pudo ser por lo menos alertado, se concretó en una brecha de seguridad de la información con visibilidad global.
Jeimy J. Cano M.,
profesor de la Escuela de Administración de la Universidad del Rosario
