Las empresas y los países que pierden sus datos

Con China hackeando los Estados Unidos, los Estados Unidos hackeando China y LinkedIn y Facebook y las compañías de tarjetas de crédito y Google y quién sabe quién más vomita nuestros datos por toda la web, me intrigó cuando apareció en mi escritorio un nuevo informe sobre la pérdida de datos de la firma de auditoría KPMG.

Hablé con Greg Bell, el director de protección de la información de la empresa, para analizar los datos sobre quién pierde su información y cómo.

¿Cómo obtiene estos datos?

Bell: En primer lugar, solo podemos utilizar la información que se haga pública. Analizamos fuentes estadounidenses y no estadounidenses que registraron pérdidas de datos. Ya sea un estado con un requisito de notificación, una presentación ante la SEC o una solicitud de la FTC, algunos de ellos se declaran por sí mismos. Si bien esto proporciona una enorme cantidad de información direccional, puede que haya imprecisiones o que se esté produciendo una infracción activa que aún se está investigando [y no se ha denunciado aún]. En segundo lugar, puede ser que en un país o lugar determinado no haya ningún imperativo ni presión para divulgar esa información.

Y en tercer lugar, creemos que algunas organizaciones han sufrido una violación de datos y puede que aún no lo sepan. Así que esto no es exacto al 100%, pero creemos que proporciona información direccional. Por eso hemos optado por los porcentajes y no por las cifras totales.

¿Cómo evoluciona la amenaza?

Hay organizaciones o grupos que causan estos factores externos: grupos de elementos delictivos organizados que buscan monetizar rápidamente la información; hay grupos que tienen agendas sociales o de otro tipo, el término du jour es hactivista y, luego, estamos viendo un aumento de las amenazas nacionales extranjeras.

Todos estos grupos se dirigen a organizaciones específicas. Las organizaciones han pasado de ser un objetivo de oportunidad a un objetivo de elección. Lo que antes pasaba era el equivalente a caminar por el aparcamiento y probar las puertas de todos los coches. [Un chico malo] escanearía la presencia de todas las empresas en Internet. Pero lo que vemos hoy es un objetivo elegido: sectores específicos, empresas específicas, propósitos específicos. Y utilizarán tipos de ataques multifacéticos para obtener la información que desean. Cambia las reglas del juego.

¿Qué industrias corren mayor riesgo?

Lo que vemos cada vez más son tres industrias clave. Obviamente, los gobiernos son los principales objetivos por elección. Servicios financieros: ahí es donde está el dinero. Y la industria de la tecnología, por un par de razones clave: una, ahí está la propiedad intelectual y, segundo, estas empresas pueden ofrecer vías hacia otros [objetivos]. Esos son los tres lugares en los que vemos los objetivos prioritarios, pero hemos visto ataques dirigidos en todos los sectores, desde la lista Fortune 500 hasta empresas muy pequeñas.

**Egoístamente, tengo que preguntarme: ¿por qué hay tantos hackers interesados en la industria de los medios de comunicación?
**
Es la naturaleza de la información, el deseo de monetización. La información tiene valor. Ya sea, quiero descargar y distribuir la última versión de una película, o…

Espere, ¿quiere decir que el nivel de hackeo es tan alto debido a que toda la gente descarga películas y música ilegalmente?

Sí, piratería. Esos son la mayoría de esos objetivos.

Caray, entonces todos somos hackers… no es que haya descargado una canción de forma ilegal. [Risa nerviosa. Pausa incómoda.] Entonces, ¿cuál es la lección para los líderes empresariales?

La clave no es adoptar el enfoque de «Oh, no, el cielo se cae», sino tenerlo en cuenta en su consideración del riesgo. Significa entender lo valiosa que es su información: la propiedad intelectual que la hace única, los datos operativos en los que se basan todos los días, la información que les pueden confiar sus empleados o socios comerciales. Muchas otras organizaciones buscan ese valor. Piense en: «¿Qué pasaría con mi negocio si un gobierno extranjero robara mi técnica de fabricación única? ¿Qué pasaría si los datos operativos que utilizo todos los días para tomar decisiones se vieran comprometidos y alguien cambiara esos datos para que se vean peor o mejor de lo que realmente tienen?» Las organizaciones solo tienen que darse cuenta de que es un riesgo.

Para la mayoría de las organizaciones, ese debate se ha centrado mucho en la TI. Pero cada vez más, se trata de un debate de la dirección ejecutiva y un debate de la junta.

Hablemos de las tendencias mundiales. Uno de sus hallazgos sorprendentes es cuánto están disminuyendo los Estados Unidos como porcentaje del total de incidentes de hackeo. ¿Cree que eso da crédito a las afirmaciones de otros gobiernos de que han sido objeto de ataques de hackeo?

Bueno, los Estados Unidos siempre han tendido a ser un poco más transparentes. Así que, si bien el gráfico podría mostrar que hace cinco años EE. UU. representaba el 75% del total mundial, podría ser más fácil recopilar esa información. Lo que estamos viendo ahora es que todas las principales entidades extranjeras están muy centradas en la situación. Cada vez más gobiernos participan, con fines de inteligencia, desarrollo económico y ciberataque y ciberdefensa, como parte de la próxima generación de guerra. Todos los países importantes están desarrollando ese tipo de capacidad.

Así que los incidentes [de pérdida de datos] en todas partes están aumentando y las personas se sienten más cómodas denunciando los incidentes. La conciencia va en aumento. También estamos resolviendo los problemas más fáciles; la fruta fácil, los agujeros de seguridad fáciles se han apuntalado. Ya se ha resuelto toda la información sencilla. Ahora buscan información muy complicada. No solo irrumpir en su sitio web, sino perseguir a sus socios comerciales, sus empleados, su cuenta de correo electrónico, incluso atacar a exempleados. Es mucho más insidioso.

Entonces, ¿es algo que considera que requiere políticas nacionales, la intervención del gobierno? ¿O es algo con lo que las empresas individuales tendrán que lidiar por sí mismas?

Creo que va a ver un aumento de la política nacional [en los Estados Unidos] y en otros lugares. Eso por sí solo no va a resolver el problema. Para las empresas que operan en todo el mundo, a través de muchas fronteras, la política de un país no las protegerá. Seguirá siendo responsabilidad de la empresa actuar con prudencia.

Así que es más o menos como la forma en que el gobierno puede proporcionar una fuerza policial, pero los bancos y las tiendas todavía tienen un guardia de seguridad.

Exactamente. Me gusta esa metáfora.