TECNOLOGÍA |
“Ciberseguridad es la protección de propiedad intelectual valiosa o datos de una compañía en formato digital contra robo, apropiación, piratería y otros peligros. Se trata sin duda de un problema cada día más crítico en management, porque es imposible alcanzar la perfección en la materia”. Así arranca una investigación de James Kaplan y Allen Weinberg de McKinsey Nueva York y Boston. El propio Gobierno estadounidense ha declarado la ciberseguridad “uno de los retos económicos y tecnológicos más severos que afronta el país”.
Los orígenes de las amenazas abarcan empleados disconformes y aprovechadores que entregan a terceros información clave, sustraen propiedad intelectual o se dedican al fraude en línea. Por una parte, grupos técnicamente complejos y evolucionados (Nasdaq, Sony) han sufrido este mismo año colapsos espectaculares en redes de seguridad, a manos de hackers por demás hábiles e inescrupulosos. Por otro lado, muchos más son los incidentes que no se comunican. En verdad, a las empresas no les gusta hacer público que han pagado rescates a ciberdelincuentes o confesar vulnerabilidades puestas en evidencia por los piratas mismos.
Dados el creciente ritmo y la complejidad de amenazas y extorsiones, las compañías deben adoptar recursos o sistemas de ciberseguridad eficaces. En el plan de management, hará falta un firme compromiso por parte del director ejecutivo y otros mandos superiores. Su finalidad consistirá en proteger datos críticos para el negocio, sin constreñir la innovación o el crecimiento.
Un tema relevante
En su mayoría –señala Weinberg–, “las grandes organizaciones han mejorado drásticamente, durante los últimos cinco años, su estructura y capacidad en ciberseguridad. Procedimientos formales han sido implementados para identificar puntos ciegos, priorizar riesgos en tecnología informática (TI) y desarrollar estrategias atenuantes. Entretanto, cientos de millones de dólares han sido o son dedicados a ejecutarlas. Las salas de computadoras son hoy menos abiertas que hace unos pocos años, pues se han desactivado puertos USB y bloqueado servicios de correo electrónico. Sólidas tecnologías e iniciativas se han puesto en línea para neutralizar ataques en los perímetros de trabajo”.
Sin embargo, recientemente McKinsey Nueva York condujo una serie de entrevistas a fondo y sesiones para debatir problemas con jefes de seguridad TI en 25 empresas multinacionales. Los resultados revelaron preocupaciones e inquietudes amplias y crecientes. La combinación de progreso tecnológico con operadores malévolos pero efectivos complica las tareas de protección a procedimientos e información crítica.
Tendencias emergentes
Las entrevistas pusieron de manifiesto que determinados cambios en el empleo de tecnologías por hackers han hecho a los entornos empresarios más difíciles de proteger. Por ende, aumenta la importancia de los nuevos recursos y de cuatro tendencias emergentes:
1. El valor sigue migrando en línea y los datos digitales se han difundido. ¿Por qué, pues, algunas instituciones experimentan más ataques en línea por hora hoy respecto de meses o años atrás? Porque ahí está el dinero. Sencillamente, más transacciones en línea generan mayores incentivos para los ciberdelincuentes. Por otra parte, compañías en pos de captar datos de marketing derivan en lanzamientos de productos y crean propiedad intelectual atractiva para los piratas.
2. Las compañías, se espera, deben ser más “abiertas” que nunca antes. En forma creciente, la gente que trabaja en unidades de negocios exige mayor acceso a redes empresarias mediante los mismos dispositivos que usan en su vida cotidiana. En tanto los teléfonos y las tabletas inteligentes aumentan las conexiones, también ofrecen nuevos tipos de amenaza a la seguridad. Cuando un hacker penetra en un dispositivo, genera un fácil punto de entrada en redes privadas para su malware (software malévolo)
3. Las cadenas de abastecimiento están cada vez más interconectadas. Para fortalecer los lazos con clientes y optimizar esas cadenas, las empresas alientan a vendedores y compradores a combinar sus redes. No obstante, estos nexos tornan casi imposible blindar el campo tecnológico de una compañía. Por supuesto, la mayor integración con socios de negocios también implica claros beneficios. Pero asimismo significa que la defensa contra ataques descanse parcialmente en las políticas de seguridad propias de socios y clientes. “La red en pleno –subraya Kaplan– queda expuesta al eslabón más débil. Una firma grande, por ejemplo, impedía a su personal compartir documentos delicados vía software entre pares en la Web. Pero descubrió que ciertos contratistas locales los usaban para escanear los mismos documentos.
4. Los actores malévolos se hacen paulatinamente más sutiles y complejos. Las bandas organizadas del ciberdelito profesional, los “hacktivistas” y los grupos auspiciados por Gobiernos también se han hecho tecnológicamente avanzados. A menudo, superan habilidades y recursos de los equipos privados que deben combatirlos. Resulta entonces frecuente que los piratas ofrezcan un “servicio” y cobren a terceros por cada usuario final de dispositivos infectados por un malware. Como resultado, durante el lapso 2006/10 los ataques fueron haciéndose más complejos y mejor apuntados. Por consiguiente, el malware actual es mucho más difícil de detectar y, en ciertos casos, se personaliza para robar determinados datos y venderlos.
Algunos ejecutivos sostienen que el crimen organizado parece disponer de más fondos que quienes lo combaten por Internet. En diferente plano, los ataques más duros explotan vulnerabilidades humanas, no tecnológicas, más fáciles de remediar. Con creciente frecuencia, las organizaciones del ciberdelito usufructúan información espigada de sitios sociales para armar complejas incursiones de “phishing”, phony identity scam hacking (algo así como pirateo de identidades falsas), homófono de “fishing”, pesca.
En esa modalidad, los ataques inducen a ejecutivos superiores o administradores de sistemas a apretar determinada teclas, que de inmediato instalan un spyware (soft espía). Justamente cuando un minorista trata de crear una experiencia multicanal en su computadora portátil, alguna entidad ciberdelictiva interfiere combinando interacciones y tácticas en línea o fuera. Así, una institución fue objeto de un esfuerzo concertado para “robar” dispositivos –mal asegurados– a ejecutivos superiores. Luego se emplearon para facilitar acceso a datos claves de la red empresaria.
Modelo centrado en negocios
Ahora más que siempre, proteger los activos tecnológicos de una empresa de daños malévolos y usos inapropiados requiere limitaciones inteligentes sobre el acceso de empleados, clientes, socios o proveedores a datos y aplicaciones estratégicas. Salvaguardias insuficientes resultarán en la pérdida de datos críticos, pero contralores por demás estrictos pueden interponerse en los negocios o tener otros efectos adversos.
Por ejemplo, en una banca de inversión un software de seguridad endiabladamente lento hizo que sus especialistas en fusiones y adquisiciones abandonasen computadoras portátiles y correos electrónicos. Los sustituyeron con dispositivos personales y Web mail.
Por consiguiente, cualquier modelo de ciberseguridad orientado a negocios deberá aportar flexibilidad a empresas abiertas. Aun en caso de que surjan agentes malévolos capaces y decididos. Naturalmente, para terminar, un requisito básico: la ciberseguridad ha de encararse en los mayores niveles de una organización.
En muchas compañías, la cuestión ha sido tratada primordialmente como un tema de tecnología, aunque lo sea realmente de management. Según las entrevistas conducidas por Weinberg y Kaplan para McKinsey Nueva York y Boston, muchos creen que los estamentos superiores no tienen tiempo ni ganas de comprender los riesgos de seguridad que implica la tecnología informática. Pese a ello, un grupo de compañías ha comenzado a hacer de la ciberseguridad una parte de la estrategia de negocios, no ya solo de tecnología. La actividad, por ende, va pasando de la tercera o segunda línea a la primera.
