Seguridad absoluta es imposible

<p>&nbsp;</p>
<p><img src="../../../../mercado/ro/imagenes/foto_nota_1121_55_1.jpg" alt="" /></p>
<p>&ldquo;Ciberseguridad es la protecci&oacute;n de propiedad intelectual valiosa o datos de una compa&ntilde;&iacute;a en formato digital contra robo, apropiaci&oacute;n, pirater&iacute;a y otros peligros. Se trata sin duda de un problema cada d&iacute;a m&aacute;s cr&iacute;tico en <em>management</em>, porque es imposible alcanzar la perfecci&oacute;n en la materia&rdquo;. As&iacute; arranca una investigaci&oacute;n de James Kaplan y Allen Weinberg de McKinsey Nueva York y Boston. El propio Gobierno estadounidense ha declarado la ciberseguridad &ldquo;uno de los retos econ&oacute;micos y tecnol&oacute;gicos m&aacute;s severos que afronta el pa&iacute;s&rdquo;.<br />
Los or&iacute;genes de las amenazas abarcan empleados disconformes y aprovechadores que entregan a terceros informaci&oacute;n clave, sustraen propiedad intelectual o se dedican al fraude en l&iacute;nea. Por una parte, grupos t&eacute;cnicamente complejos y evolucionados (Nasdaq, Sony) han sufrido este mismo a&ntilde;o colapsos espectaculares en redes de seguridad, a manos de <em>hackers</em> por dem&aacute;s h&aacute;biles e inescrupulosos. Por otro lado, muchos m&aacute;s son los incidentes que no se comunican. En verdad, a las empresas no les gusta hacer p&uacute;blico que han pagado rescates a ciberdelincuentes o confesar vulnerabilidades puestas en evidencia por los piratas mismos. <br />
Dados el creciente ritmo y la complejidad de amenazas y extorsiones, las compa&ntilde;&iacute;as deben adoptar recursos o sistemas de ciberseguridad eficaces. En el plan de <em>management</em>, har&aacute; falta un firme compromiso por parte del director ejecutivo y otros mandos superiores. Su finalidad consistir&aacute; en proteger datos cr&iacute;ticos para el negocio, sin constre&ntilde;ir la innovaci&oacute;n o el crecimiento.</p>
<p><strong>Un tema relevante</strong><br />
En su mayor&iacute;a &ndash;se&ntilde;ala Weinberg&ndash;, &ldquo;las grandes organizaciones han mejorado dr&aacute;sticamente, durante los &uacute;ltimos cinco a&ntilde;os, su estructura y capacidad en ciberseguridad. Procedimientos formales han sido implementados para identificar puntos ciegos, priorizar riesgos en tecnolog&iacute;a inform&aacute;tica (TI) y desarrollar estrategias atenuantes. Entretanto, cientos de millones de d&oacute;lares han sido o son dedicados a ejecutarlas. Las salas de computadoras son hoy menos abiertas que hace unos pocos a&ntilde;os, pues se han desactivado puertos USB y bloqueado servicios de correo electr&oacute;nico. S&oacute;lidas tecnolog&iacute;as e iniciativas se han puesto en l&iacute;nea para neutralizar ataques en los per&iacute;metros de trabajo&rdquo;.<br />
Sin embargo, recientemente McKinsey Nueva York condujo una serie de entrevistas a fondo y sesiones para debatir problemas con jefes de seguridad TI en 25 empresas multinacionales. Los resultados revelaron preocupaciones e inquietudes amplias y crecientes. La combinaci&oacute;n de progreso tecnol&oacute;gico con operadores mal&eacute;volos pero efectivos complica las tareas de protecci&oacute;n a procedimientos e informaci&oacute;n cr&iacute;tica.</p>
<p><strong>Tendencias emergentes</strong><br />
Las entrevistas pusieron de manifiesto que determinados cambios en el empleo de tecnolog&iacute;as por <em>hackers</em> han hecho a los entornos empresarios m&aacute;s dif&iacute;ciles de proteger. Por ende, aumenta la importancia de los nuevos recursos y de cuatro tendencias emergentes:</p>
<p><strong>1. El valor sigue migrando en l&iacute;nea y los datos digitales se han difundido.</strong> &iquest;Por qu&eacute;, pues, algunas instituciones experimentan m&aacute;s ataques en l&iacute;nea por hora hoy respecto de meses o a&ntilde;os atr&aacute;s? Porque ah&iacute; est&aacute; el dinero. Sencillamente, m&aacute;s transacciones en l&iacute;nea generan mayores incentivos para los ciberdelincuentes. Por otra parte, compa&ntilde;&iacute;as en pos de captar datos de marketing derivan en lanzamientos de productos y crean propiedad intelectual atractiva para los piratas.</p>
<p><strong>2. Las compa&ntilde;&iacute;as, se espera, deben ser m&aacute;s &ldquo;abiertas&rdquo; que nunca antes. </strong>En forma creciente, la gente que trabaja en unidades de negocios exige mayor acceso a redes empresarias mediante los mismos dispositivos que usan en su vida cotidiana. En tanto los tel&eacute;fonos y las tabletas inteligentes aumentan las conexiones, tambi&eacute;n ofrecen nuevos tipos de amenaza a la seguridad. Cuando un <em>hacker</em> penetra en un dispositivo, genera un f&aacute;cil punto de entrada en redes privadas para su <em>malware</em> (<em>software</em> mal&eacute;volo)</p>
<p><strong>3. Las cadenas de abastecimiento est&aacute;n cada vez m&aacute;s interconectadas. </strong>Para fortalecer los lazos con clientes y optimizar esas cadenas, las empresas alientan a vendedores y compradores a combinar sus redes. No obstante, estos nexos tornan casi imposible blindar el campo tecnol&oacute;gico de una compa&ntilde;&iacute;a. Por supuesto, la mayor integraci&oacute;n con socios de negocios tambi&eacute;n implica claros beneficios. Pero asimismo significa que la defensa contra ataques descanse parcialmente en las pol&iacute;ticas de seguridad propias de socios y clientes. &ldquo;La red en pleno &ndash;subraya Kaplan&ndash; queda expuesta al eslab&oacute;n m&aacute;s d&eacute;bil. Una firma grande, por ejemplo, imped&iacute;a a su personal compartir documentos delicados v&iacute;a <em>software</em> entre pares en la <em>Web</em>. Pero descubri&oacute; que ciertos contratistas locales los usaban para escanear los mismos documentos.</p>
<p><strong>4. Los actores mal&eacute;volos se hacen paulatinamente m&aacute;s sutiles y complejos. </strong>Las bandas organizadas del ciberdelito profesional, los &ldquo;<em>hacktivistas</em>&rdquo; y los grupos auspiciados por Gobiernos tambi&eacute;n se han hecho tecnol&oacute;gicamente avanzados. A menudo, superan habilidades y recursos de los equipos privados que deben combatirlos. Resulta entonces frecuente que los piratas ofrezcan un &ldquo;servicio&rdquo; y cobren a terceros por cada usuario final de dispositivos infectados por un <em>malware</em>. Como resultado, durante el lapso 2006/10 los ataques fueron haci&eacute;ndose m&aacute;s complejos y mejor apuntados. Por consiguiente, el <em>malware</em> actual es mucho m&aacute;s dif&iacute;cil de detectar y, en ciertos casos, se personaliza para robar determinados datos y venderlos.</p>
<p>Algunos ejecutivos sostienen que el crimen organizado parece disponer de m&aacute;s fondos que quienes lo combaten por Internet. En diferente plano, los ataques m&aacute;s duros explotan vulnerabilidades humanas, no tecnol&oacute;gicas, m&aacute;s f&aacute;ciles de remediar. Con creciente frecuencia, las organizaciones del ciberdelito usufruct&uacute;an informaci&oacute;n espigada de sitios sociales para armar complejas incursiones de &ldquo;<em>phishing</em>&rdquo;, <em>phony</em> <em>identity scam hacking</em> (algo as&iacute; como pirateo de identidades falsas), hom&oacute;fono de &ldquo;<em>fishing</em>&rdquo;, pesca.<br />
En esa modalidad, los ataques inducen a ejecutivos superiores o administradores de sistemas a apretar determinada teclas, que de inmediato instalan un <em>spyware</em> (<em>soft</em> esp&iacute;a). Justamente cuando un minorista trata de crear una experiencia multicanal en su computadora port&aacute;til, alguna entidad ciberdelictiva interfiere combinando interacciones y t&aacute;cticas en l&iacute;nea o fuera. As&iacute;, una instituci&oacute;n fue objeto de un esfuerzo concertado para &ldquo;robar&rdquo; dispositivos &ndash;mal asegurados&ndash; a ejecutivos superiores. Luego se emplearon para facilitar acceso a datos claves de la red empresaria.</p>
<p><strong>Modelo centrado en negocios</strong><br />
Ahora m&aacute;s que siempre, proteger los activos tecnol&oacute;gicos de una empresa de da&ntilde;os mal&eacute;volos y usos inapropiados requiere limitaciones inteligentes sobre el acceso de empleados, clientes, socios o proveedores a datos y aplicaciones estrat&eacute;gicas. Salvaguardias insuficientes resultar&aacute;n en la p&eacute;rdida de datos cr&iacute;ticos, pero contralores por dem&aacute;s estrictos pueden interponerse en los negocios o tener otros efectos adversos. <br />
Por ejemplo, en una banca de inversi&oacute;n un <em>software</em> de seguridad endiabladamente lento hizo que sus especialistas en fusiones y adquisiciones abandonasen computadoras port&aacute;tiles y correos electr&oacute;nicos. Los sustituyeron con dispositivos personales y <em>Web mail.</em><br />
Por consiguiente, cualquier modelo de ciberseguridad orientado a negocios deber&aacute; aportar flexibilidad a empresas abiertas. Aun en caso de que surjan agentes mal&eacute;volos capaces y decididos. Naturalmente, para terminar, un requisito b&aacute;sico: la ciberseguridad ha de encararse en los mayores niveles de una organizaci&oacute;n.<br />
En muchas compa&ntilde;&iacute;as, la cuesti&oacute;n ha sido tratada primordialmente como un tema de tecnolog&iacute;a, aunque lo sea realmente de <em>management</em>. Seg&uacute;n las entrevistas conducidas por Weinberg y Kaplan para McKinsey Nueva York y Boston, muchos creen que los estamentos superiores no tienen tiempo ni ganas de comprender los riesgos de seguridad que implica la tecnolog&iacute;a inform&aacute;tica. Pese a ello, un grupo de compa&ntilde;&iacute;as ha comenzado a hacer de la ciberseguridad una parte de la estrategia de negocios, no ya solo de tecnolog&iacute;a. La actividad, por ende, va pasando de la tercera o segunda l&iacute;nea a la primera.</p>