El factor humano de la ciberseguridad: lecciones del Pentágono

La gran mayoría de las empresas están más expuestas a los ciberataques de lo que deberían estar. Para cerrar las brechas en su seguridad, los directores ejecutivos pueden seguir el ejemplo del ejército de los Estados Unidos. Alguna vez fue un coloso de la TI vulnerable, se está convirtiendo en un hábil operador de redes bien defendidas. Hoy en día, los militares pueden detectar y solucionar las intrusiones en cuestión de horas, si no minutos. Solo desde septiembre de 2014 hasta junio de 2015, repelió más de 30 millones de ataques malintencionados conocidos en los límites de sus redes. Del pequeño número que lo consiguió, menos del 0,1% puso en peligro los sistemas de alguna manera. Dada la sofisticación de los ciberadversarios del ejército, ese historial es una hazaña importante.

Una lección clave de la experiencia militar es que, si bien las mejoras técnicas son importantes, minimizar los errores humanos es aún más crucial. Los errores de los administradores de red y los usuarios (falta de parches para las vulnerabilidades de los sistemas antiguos, ajustes mal configurados, infracciones de los procedimientos estándar) abren la puerta a la inmensa mayoría de los ataques exitosos.

El enfoque militar para abordar esta dimensión de la seguridad se lo debe en gran medida al almirante Hyman Rickover, el «padre de la Marina Nuclear». En sus más de 60 años de existencia, el programa de propulsión nuclear que ayudó a lanzar no ha sufrido ni un solo accidente. Rickover se centró intensamente en el factor humano y se aseguró de que los operadores de centrales de propulsión a bordo de buques de propulsión nuclear recibieran una formación rigurosa para evitar errores y detectar y corregir las anomalías antes de que se convirtieran en cascada y se convirtieran en graves averías. El Departamento de Defensa de los Estados Unidos ha ido adoptando protocolos similares a los de Rickover en su lucha por frustrar los ataques a sus sistemas de TI. Dos de los autores de este artículo, Sandy Winnefeld y Christopher Kirchhoff, participaron activamente en esos esfuerzos. El propósito del artículo es compartir el enfoque del departamento para que los líderes empresariales puedan aplicarlo en sus propias organizaciones.

Lectura adicional

El peligro desde dentro

Al igual que el Departamento de Defensa, las empresas están siendo bombardeadas constantemente por parte de todo tipo de fuentes: estados nacionales, sindicatos delictivos, cibervándalos, intrusos contratados por competidores sin escrúpulos, personas con información privilegiada descontenta. Los ladrones han robado o comprometido la información personal o de tarjetas de crédito de cientos de millones de clientes, incluidos los de Sony, Target, Home Depot, Neiman Marcus, JPMorgan Chase y Anthem. Se las han arreglado para robar información exclusiva sobre los depósitos de petróleo y gas de las compañías de energía en el mismo momento en que se completaron los estudios geológicos. Han borrado las estrategias de negociación de las redes corporativas internas en vísperas de importantes acuerdos y los datos de los sistemas de armas de los contratistas de defensa. Y en los últimos tres años, las intrusiones en infraestructuras críticas de EE. UU. (sistemas que controlan las operaciones en los sectores químico, eléctrico, del agua y del transporte) se han multiplicado por 17. No es de extrañar, entonces, que el gobierno de los Estados Unidos haya hecho de la mejora de la ciberseguridad en los sectores público y privado una prioridad nacional. Pero, como subraya el reciente hackeo de la Oficina de Administración de Personal del gobierno federal, también es un desafío monumental.

El ciberviaje de los militares

En 2009, el Departamento de Defensa, como muchas empresas actuales, tenía que cargar con una amplia gama de sistemas de TI y enfoques de seguridad dispares. Cada una de sus tres ramas militares, cuatro servicios uniformados y nueve comandos de combate unificados había funcionado durante mucho tiempo como su propio centro de pérdidas y ganancias, con un poder discrecional sustancial en cuanto a sus inversiones en TI. En total, el departamento estaba compuesto por 7 millones de dispositivos que operaban en 15 000 enclaves de red, todos gestionados por diferentes administradores de sistemas, que configuraban sus partes de la red según diferentes estándares. No era una receta para la seguridad o la eficiencia.

Ese año, reconociendo tanto las oportunidades de una mayor coherencia como la necesidad de detener el aumento de los incidentes dañinos, Robert Gates, entonces secretario de Defensa, creó el Cibercomando de los Estados Unidos. Puso las operaciones de red en todo el dominio.mil bajo la autoridad de un oficial de cuatro estrellas. Al mismo tiempo, el departamento comenzó a consolidar sus extensas redes, uniendo los 15 000 sistemas en una única arquitectura unificada llamada Entorno de Información Conjunto. El trabajo ha sido arduo, pero pronto los barcos, submarinos, satélites, naves espaciales, aviones, vehículos, sistemas de armas y todas las unidades del ejército estarán unidos en una estructura común de mando y control que abarcará todos los dispositivos de comunicación. Lo que antes era una mezcla de más de 100 000 administradores de red con diferentes cadenas de mando, estándares y protocolos está evolucionando hacia un grupo reducido de defensores de redes de élite.

Al mismo tiempo, el Cibercomando de los Estados Unidos ha estado mejorando la tecnología militar. Los sensores sofisticados, los análisis y las «pilas de seguridad» consolidadas (conjuntos de equipos que realizan diversas funciones, incluido el análisis de macrodatos) ofrecen a los administradores de red una visibilidad mayor que nunca. Ahora pueden detectar rápidamente las anomalías, determinar si representan una amenaza y modificar la configuración de la red en respuesta.

La interconexión de redes que antes estaban separadas introduce nuevos riesgos (por ejemplo, que el malware pueda extenderse por los sistemas o que una vulnerabilidad en un sistema permita a alguien robar datos de otro). Pero estas ventajas las superan con creces: monitorización central, defensas estandarizadas, fácil actualización y reconfiguración instantánea en caso de ataque. (Las redes clasificadas están desconectadas de las redes no clasificadas, por supuesto.)

El Departamento de Defensa de los Estados Unidos recibe 41 millones de escaneos, sondas y ataques al mes.
Fuente Informe Norton de 2013, Symantec

Sin embargo, la arquitectura unificada y la tecnología más avanzada son solo una parte de la respuesta. En casi todas las penetraciones en la red .mil, las personas han sido el eslabón más débil. El Estado Islámico tomó brevemente el control de la cuenta de Twitter del Comando Central de los Estados Unidos en 2015 al explotar una cuenta individual que no se había actualizado a la autenticación de doble factor, una medida básica que exige a los usuarios comprobar su identidad mediante una contraseña y un generador de números simbólicos o un chip cifrado. En 2013, un país extranjero se metió cuatro meses en la red desclasificada de la Marina de los Estados Unidos al aprovechar un fallo de seguridad en un sitio web público que los expertos en TI de la marina conocían, pero no lo solucionaron. La violación más grave de una red clasificada se produjo en 2008, cuando, infringiendo el protocolo, un miembro del Comando Central de una base de Oriente Medio insertó una memoria USB cargada de malware directamente en una máquina de escritorio segura.

Si bien las recientes intrusiones muestran que la seguridad actual no es en absoluto perfecta, el rendimiento humano y técnico de los administradores y usuarios de redes militares es mucho mejor, según varios criterios, que en 2009. Un punto de referencia son los resultados de las inspecciones de ciberseguridad de los comandos, cuyo número pasó de 91 en 2011 a 285 previstos en 2015. A pesar de que los criterios de calificación se han hecho más estrictos, el porcentaje de comandos que han aprobado una calificación (que han demostrado que están «preparados para la ciberseguridad») ha pasado del 79% en 2011 a más del 96% este año.

Las empresas también tienen que abordar el riesgo de error humano. Los piratas informáticos penetraron en JPMorgan Chase explotando un servidor cuya configuración de seguridad no se había actualizado a la autenticación de doble factor. Es casi seguro que la filtración de 80 millones de registros personales de la aseguradora de salud Anthem, en diciembre de 2014, se debió a un correo electrónico de «suplantación de identidad» que puso en peligro las credenciales de varios administradores del sistema. Estos incidentes subrayan el hecho de que se producen errores entre ambos Los profesionales de TI y la fuerza laboral en general. Varios estudios muestran que la mayor parte de los ataques se pueden prevenir simplemente parcheando las vulnerabilidades conocidas y garantizando que las configuraciones de seguridad están configuradas correctamente.

Lectura adicional

Vea su empresa con los ojos de un hacker

La lección clara aquí es que las personas importan tanto, si no más, que la tecnología. (La tecnología, de hecho, puede crear una falsa sensación de seguridad.) Los ciberdefensores tienen que crear «organizaciones de alta fiabilidad», creando una cultura excepcional de alto rendimiento que minimice el riesgo de forma constante. «Tenemos que ir más allá de centrarnos solo en la pieza tecnológica», ha dicho el almirante Mike Rogers, que supervisa el Cibercomando de los Estados Unidos. «Se trata de un ethos. Se trata de cultura. [Se trata de] cómo dirige, forma y equipa su organización, cómo la estructura, los conceptos operativos que aplica».

La organización de alta confiabilidad

El concepto de organización de alta fiabilidad, o HRO, surgió por primera vez en las empresas, donde las consecuencias de un solo error pueden ser catastróficas. Por ejemplo, las compañías aéreas, el sistema de control del tráfico aéreo, los vuelos espaciales, las centrales nucleares, la extinción de incendios forestales y el tren de alta velocidad. En estas operaciones altamente técnicas, la interacción de los sistemas, los subsistemas, los operadores humanos y el entorno externo con frecuencia provoca desviaciones que deben corregirse antes de que se conviertan en problemas desastrosos. Estas organizaciones están muy lejos de mejorar continuamente las fábricas «ajustadas». Sus operadores y usuarios no pueden darse el lujo de aprender de sus errores.

Operar de forma segura una tecnología que es intrínsecamente arriesgada en un entorno peligroso y complejo requiere más que invertir en la mejor ingeniería y los mejores materiales. Las organizaciones de alta fiabilidad son muy conscientes de sus propias vulnerabilidades, están profundamente comprometidas con principios operativos comprobados y estándares altos, articulan claramente la responsabilidad e investigan atentamente las fuentes del fracaso.

Michael Byers

El programa de propulsión nuclear de la Marina de los Estados Unidos es sin duda el HRO con la trayectoria más larga. Dirigir un reactor nuclear en un submarino en las profundidades del océano, sin comunicación con ningún tipo de asistencia técnica durante largos períodos de tiempo, no es poca cosa. El almirante Rickover impulsó una estricta cultura de excelencia en cada nivel de la organización. (Se dedicó tanto a garantizar que solo las personas que pudieran gestionar esa cultura entraran en el programa que, durante sus 30 años al frente, entrevistó personalmente a todos los oficiales que solicitaban unirse a él, una práctica que todos sus sucesores han seguido.)

En el centro de esa cultura hay seis principios interconectados que ayudan a la marina a eliminar y contener el impacto del error humano.

1. Integridad.

Con esto nos referimos a un ideal profundamente internalizado que lleva a las personas, sin excepción, a eliminar los «pecados de comisión» (desviaciones deliberadas del protocolo) y a reconocer inmediatamente los errores. La marina nuclear se lo inculca a la gente desde el primer día, dejando claro que no hay segundas oportunidades para los lapsos. Por lo tanto, no solo es poco probable que los trabajadores tomen atajos, sino que también es muy probable que notifiquen a los supervisores cualquier error de inmediato, de modo que se pueda corregir rápidamente y no sea necesario realizar largas investigaciones más adelante, cuando se produzca un problema. Los operadores de las plantas de propulsión denuncian fielmente cada anomalía que supere un umbral de gravedad bajo a la sede técnica central del programa. Los oficiales al mando de los barcos son plenamente responsables del estado de sus programas, incluida la honestidad en la información.

2. Profundidad de conocimiento.

Si las personas entienden perfectamente todos los aspectos de un sistema, incluida la forma en que está diseñado, sus vulnerabilidades y los procedimientos necesarios para su funcionamiento, reconocerán más fácilmente cuando algo va mal y gestionarán cualquier anomalía de forma más eficaz. En la marina nuclear, los operadores reciben un riguroso entrenamiento antes de poner sus manos en una verdadera planta de propulsión y son supervisados de cerca hasta que dominan. A partir de entonces, se someten a controles periódicos, a cientos de horas de entrenamiento adicional y a simulacros y pruebas. Se espera que los capitanes de barco supervisen regularmente el entrenamiento e informen trimestralmente sobre el dominio de la tripulación.

3. Cumplimiento procesal.

En los buques nucleares, los trabajadores deben conocer (o saber dónde encontrar) los procedimientos operativos adecuados y seguirlos al pie de la letra. También se espera que reconozcan cuando una situación ha eclipsado los procedimientos escritos existentes y se necesitan otros nuevos.

Una de las formas en que la marina nuclear maximiza el cumplimiento es mediante su amplio sistema de inspecciones. Por ejemplo, todos los buques de guerra se someten periódicamente a rigurosos exámenes operativos de salvaguardia de los reactores, que incluyen pruebas escritas, entrevistas y observaciones de las operaciones diarias y de las respuestas a emergencias simuladas. Además, un inspector de la oficina regional de reactores navales puede subir a bordo cada vez que un barco esté en puerto, sin previo aviso, para observar las operaciones y el mantenimiento de la central eléctrica. El oficial al mando del barco es responsable de cualquier discrepancia que el inspector encuentre.

4. Respaldo contundente.

Cuando una planta de propulsión nuclear está en funcionamiento, los marineros que realmente la controlan, incluso los que tienen mucha experiencia, siempre son vigilados de cerca por personal superior. Cualquier acción que represente un alto riesgo para el sistema debe ser realizada por dos personas, no solo por una. Y todos los miembros de la tripulación, incluso los más jóvenes, tienen el poder de detener un proceso cuando surge un problema.

5. Una actitud inquisitiva.

Esto no es fácil de cultivar en ninguna organización, especialmente en una con una estructura de rangos formal en la que el cumplimiento inmediato de las órdenes es la norma. Sin embargo, esa mentalidad tiene un precio incalculable: si se entrena a las personas para escuchar sus alarmas internas, buscar las causas y, después, tomar medidas correctivas, las probabilidades de que eviten los problemas aumentan drásticamente. Los operadores con actitudes interrogantes comprueban dos o tres veces el trabajo, permanecen atentos a las anomalías y nunca se conforman con una respuesta poco exhaustiva. Simplemente preguntar por qué las lecturas horarias de un instrumento oscuro de cada cien cambian de forma anormal o por qué una red muestra un comportamiento determinado puede evitar costosos daños en todo el sistema.

6. Formalidad en la comunicación.

Para minimizar la posibilidad de que las instrucciones se den o reciban de forma incorrecta en momentos críticos, los operadores de las embarcaciones nucleares se comunican de la manera prescrita. Quienes den órdenes o instrucciones deben indicarlas claramente y los destinatarios deben repetirlas textualmente. La formalidad también significa establecer una atmósfera de la gravedad adecuada, eliminando las conversaciones triviales y la familiaridad personal que pueden provocar falta de atención, suposiciones erróneas, saltarse pasos u otros errores.

Las brechas de ciberseguridad causadas por errores humanos casi siempre implican la violación de uno o más de estos seis principios. He aquí un ejemplo de algunos que el Departamento de Defensa descubrió durante los ejercicios de prueba de rutina:

• Un amable oficial de personal del cuartel general abrió la puerta a otro agente, que en realidad era un intruso que llevaba un carné de identidad falso. Una vez dentro, el intruso podría haber instalado malware en la red de la organización. Principios violados: cumplimiento procesal y actitud interrogatoria.
• Un administrador del sistema, al navegar por Internet desde su cuenta elevada, que tenía menos restricciones automáticas, descargó un popular videoclip que se hizo «viral» en más de un sentido. Principios violados: integridad y cumplimiento procesal.
• Una oficial de estado mayor hizo clic en un enlace de un correo electrónico en el que prometía descuentos en compras por Internet, lo que en realidad fue un intento de los evaluadores de poner una puerta trasera de suplantación de identidad en su estación de trabajo. Principios violados: actitud interrogatoria, profundidad de conocimiento y cumplimiento procesal.
• Un nuevo administrador de red instaló una actualización sin leer la guía de implementación y sin supervisión. Como resultado, las mejoras de seguridad anteriores estaban «sin parches». Principios infringidos: profundidad de conocimiento, cumplimiento de los procedimientos y respaldo contundente.
• Un servicio de asistencia de red restableció la conexión en una oficina sin investigar por qué la conexión se había desactivado en primer lugar, aunque el motivo podría haber sido un cierre automático para impedir la conexión de un ordenador o usuario no autorizado. Principios violados: cumplimiento procesal y actitud interrogatoria.

Crear una organización de TI de alta fiabilidad

Sin duda, cada organización es diferente. Por lo tanto, los líderes deben tener en cuenta dos factores a la hora de diseñar el enfoque y el calendario para convertir sus empresas en HRO ciberseguras. Una es el tipo de empresa y su grado de vulnerabilidad a los ataques. (Los servicios financieros, la fabricación, los servicios públicos y las grandes empresas minoristas corren un riesgo especial.) Otra es la naturaleza de la fuerza laboral. Una fuerza laboral creativa compuesta predominantemente por millennials acostumbrados a trabajar desde casa con herramientas de colaboración en línea presenta un desafío diferente al de los empleados de ventas o fabricación acostumbrados a entornos estructurados con muchas reglas.

Es más fácil crear una cultura basada en normas para los administradores de redes y el personal de ciberseguridad que para toda una fuerza laboral. Sin embargo, esto último es sin duda posible, incluso si la empresa tiene un número enorme de empleados y una cultura establecida. Sea testigo de las numerosas empresas que han cambiado con éxito sus culturas y enfoques operativos para aumentar la calidad, la seguridad y la igualdad de oportunidades.

Sea cual sea la dinámica de sus organizaciones, los líderes pueden implementar una serie de medidas para incorporar los seis principios en las rutinas diarias de los empleados.

Hacerse cargo.

Una encuesta reciente de la Universidad de Oxford y el Centro para la Protección de la Infraestructura Nacional del Reino Unido reveló que la preocupación por la ciberseguridad era significativamente menor entre los directivos de la alta dirección que entre los directivos ajenos a ella. Esa falta de visión en la cúpula es un problema grave, dadas las consecuencias financieras de los ciberataques. En un estudio de 2014 realizado por el Instituto Ponemon, el coste medio anualizado de la ciberdelincuencia incurrida por una muestra de referencia de empresas estadounidenses fue de 12,7 millones de dólares, un aumento del 96% en cinco años. Mientras tanto, el tiempo que se tarda en resolver un ciberataque aumentó un 33%, de media, y el coste medio incurrido en resolver un solo ataque ascendió a más de 1,6 millones de dólares.

El coste global anual de la ciberdelincuencia contra los consumidores es de 113 000 millones de dólares. Fuente Informe Norton de 2013, Symantec

La realidad es que si los directores ejecutivos no se toman en serio las amenazas a la ciberseguridad, sus organizaciones tampoco lo harán. Puede estar seguro de que Gregg Steinhafel, que fue expulsado de Target en 2014 después de que los ciberdelincuentes robaran la información de sus clientes, desearía haberlo hecho.

Los directores ejecutivos saben que es importante consolidar su mezcla de sistemas de red, como lo ha hecho el Departamento de Defensa. Pero muchos no actúan lo suficientemente rápido, sin duda porque esta tarea puede resultar enorme y cara. Además de acelerar ese esfuerzo, deben organizar todo su equipo directivo (dirección técnica y de línea y recursos humanos) para que las personas, los principios y los sistemas de TI funcionen juntos. La clave es hacer hincapié repetidamente en la importancia de las cuestiones de seguridad. Y los directores ejecutivos deberían resistirse a las garantías generales de los CIO que afirman que ya están adoptando prácticas de alta fiabilidad y dicen que lo único que se necesita es aumentar el presupuesto de seguridad o las herramientas de seguridad más nuevas.

Los directores ejecutivos deberían hacerse a sí mismos y a sus equipos directivos preguntas difíciles sobre si están haciendo todo lo posible para crear y mantener una cultura de HRO. ¿Los administradores de red se aseguran de que las funciones de seguridad de los sistemas están activadas y actualizadas? ¿Cómo se llevan a cabo las auditorías puntuales del comportamiento y qué pasa si se descubre un lapso importante? ¿Qué programas de formación estandarizados sobre los aspectos conductuales y técnicos de la ciberseguridad existen y con qué frecuencia se actualizan esos programas? ¿Las tareas de ciberseguridad más importantes, incluida la manipulación de los ajustes que podrían exponer el sistema, se llevan a cabo de forma formal, con el tipo de respaldo adecuado? En esencia, los directores ejecutivos deben preguntarse constantemente qué significan la integridad, la profundidad del conocimiento, el cumplimiento de los procedimientos, el respaldo contundente, la actitud cuestionadora y la formalidad en sus organizaciones. Mientras tanto, los consejos de administración, en su función de supervisión, deberían preguntarse si la dirección tiene en cuenta adecuadamente la dimensión humana de la ciberdefensa. (Y de hecho, muchos están empezando a hacerlo.)

Haga que todos rindan cuentas.

Los comandantes militares son ahora responsables de la buena administración de la tecnología de la información, y también lo son todos en todas las filas. El Departamento de Defensa y el Cibercomando de los Estados Unidos están estableciendo un sistema de informes que permite a las unidades rastrear sus infracciones de seguridad y anomalías con un simple cuadro de mando. Antes, la información sobre quién cometía un error y su gravedad solo la conocían los administradores del sistema, si es que lo rastreaban. Pronto los comandantes superiores podrán supervisar el rendimiento de las unidades casi en tiempo real y ese rendimiento será visible para personas de niveles mucho más altos.

Póngase a prueba

¿Es una ciberamenaza para su organización?

El objetivo es hacer de la seguridad de la red una prioridad diaria para las tropas tanto como mantener sus fusiles limpios y operativos. Todos los miembros de las fuerzas armadas deben conocer y cumplir las normas básicas de higiene de la red, incluidas las destinadas a evitar que los usuarios introduzcan hardware potencialmente contaminado, descarguen software no autorizado, accedan a un sitio web que pueda comprometer las redes o sean víctimas de correos electrónicos de suplantación de identidad. Cuando se infringe una norma, y especialmente si se trata de una cuestión de integridad, se espera que los comandantes disciplinen al infractor. Y si se encuentra un clima de autocomplacencia en una unidad, se juzgará al comandante en consecuencia.

Las empresas deberían hacer lo mismo. Si bien no siempre tienen a su disposición las mismas medidas, todos los directivos, desde el CEO en adelante, deberían ser responsables de garantizar que sus informes siguen las prácticas de ciberseguridad. Los gerentes deben entender que ellos, junto con los empleados en cuestión, tendrán que rendir cuentas. Todos los miembros de la organización deben reconocer que son responsables de las cosas que pueden controlar. Esta no es la norma en muchas empresas.

Instituir normas uniformes y gestionar la formación y la certificación de forma centralizada.

El Cibercomando de los Estados Unidos ha desarrollado normas para garantizar que cualquier persona que opere o utilice una red militar está certificada para hacerlo, cumple con criterios específicos y se vuelve a entrenar a los intervalos adecuados. El personal de los equipos especializados a cargo de la defensa de las redes recibe una amplia formación formal. Para estos ciberprofesionales, el Departamento de Defensa está optando por el modelo establecido por la marina nuclear: enseñanza en el aula, autoaprendizaje y, al final del proceso, un examen gradual formal. Para crear una cartera amplia y profunda de defensores, las academias militares exigen que todos los asistentes tomen cursos de ciberseguridad. Dos academias ofrecen una licenciatura en ciberoperaciones y dos ofrecen licenciaturas menores. Todos los servicios tienen ahora escuelas de formación avanzada y trayectorias profesionales específicas para especialistas en ciberseguridad. El ejército también está incorporando la ciberseguridad en los programas de educación continua para todo el personal.

Relativamente pocas empresas, por el contrario, tienen una ciberformación rigurosa para las bases, y las que la tienen rara vez la aumentan con cursos de actualización o sesiones informativas a medida que surgen nuevas amenazas. No basta con enviar correos electrónicos a los empleados sobre los nuevos riesgos. Tampoco lo hace la práctica común de exigir a todos los empleados que sigan un curso anual, que implica dedicar una o dos horas a revisar las políticas digitales, con un breve cuestionario después de cada módulo.

Admito que las medidas más intensivas llevan mucho tiempo y distraen la atención del día a día, pero son imprescindibles para las empresas de todos los tamaños. Deberían ser tan sólidos como los programas para hacer cumplir las prácticas éticas y de seguridad, y las empresas deberían hacer un seguimiento de la asistencia. Al fin y al cabo, solo se necesita una persona sin formación para provocar una infracción.

Combine la formalidad con un respaldo contundente.

En 2014, el ejército estadounidense creó una estructura que detallaba con gran detalle su estructura de mando y control cibernéticos, especificando quién está a cargo de qué y en qué niveles se gestionan y cambian las configuraciones de seguridad en respuesta a los acontecimientos de seguridad. Ese marco claro de presentación de informes y responsabilidades se apoya con una protección adicional: cuando se realizan actualizaciones de seguridad en las partes principales de la red del Departamento de Defensa o los administradores del sistema acceden a las áreas donde se almacena información confidencial, entra en vigor una regla de dos personas. Ambas personas deben tener la vista puesta en la tarea y estar de acuerdo en que se ha realizado correctamente. Esto añade un grado adicional de fiabilidad y reduce drásticamente el riesgo de ataques internos de lobos solitarios.

Michael Byers

No hay razón para que las empresas no puedan hacer también estas cosas. La mayoría de las grandes firmas ya han reducido agresivamente su lista de usuarios «privilegiados» del sistema y han creado procesos para anular los derechos de acceso de los contratistas que abandonan un proyecto y de los empleados que abandonan la empresa. Las empresas medianas y pequeñas deberían hacer lo mismo.

Una forma de respaldo puede ser un software económico y fácil de instalar que avise a los empleados cuando están transfiriendo o descargando información confidencial o impida que lo hagan y, a continuación, supervise sus acciones. Recordar regularmente a los empleados que se controla su cumplimiento de las normas de seguridad reforzará una cultura de alta fiabilidad.

Compruebe sus defensas.

En junio de 2015, el Cibercomando y el Departamento de Defensa de los Estados Unidos anunciaron amplias pruebas operativas tanto para los administradores de red como para los usuarios. El ejército también está estableciendo normas rigurosas para las inspecciones de ciberseguridad y coordinando estrechamente los equipos que las llevan a cabo.

Las empresas también deberían seguir su ejemplo en este caso. Si bien muchas grandes empresas realizan auditorías de seguridad, suelen centrarse en la vulnerabilidad de las redes a los ataques externos y prestan muy poca atención al comportamiento de los empleados. Los directores ejecutivos deberían considerar invertir más en capacidades para probar las prácticas operativas de TI y ampliar la función de la función de auditoría interna para incluir la tecnología, las prácticas y la cultura de la ciberseguridad. (Es posible que consultores externos también presten este servicio.)

Además de las auditorías programadas, las empresas deben realizar comprobaciones aleatorias. Son muy eficaces para contrarrestar los atajos y los compromisos que se introducen en el lugar de trabajo, como transferir material confidencial a un portátil no seguro para trabajar en él en casa, utilizar los servicios de nube pública para intercambiar información confidencial y compartir contraseñas con otros empleados. Es importante descubrir (y corregir) este comportamiento antes de que se convierta en un problema grave.

Elimine el miedo a la honestidad y aumente las consecuencias de la deshonestidad.

Los líderes deben tratar los errores ocasionales y no intencionales como oportunidades para corregir los procesos que permitieron que se produjeran. Sin embargo, no deberían dar segundas oportunidades a las personas que infringen intencionalmente las normas y los procedimientos. Edward Snowden pudo acceder a información clasificada al convencer a otro empleado civil de que introdujera su contraseña en la estación de trabajo de Snowden. Fue una violación grave del protocolo por la que el empleado fue despedido con razón. Hizo que muchos líderes militares se dieran cuenta de que una cultura operativa que hiciera hincapié en la integridad, la actitud inquisitiva, el respaldo contundente y el cumplimiento de los procedimientos podría haber creado un entorno en el que Snowden habría sido detenido sin parar. Tal incumplimiento de las normas habría sido impensable en el departamento de reactores de un buque de la marina.

El Departamento de Defensa está consolidando 15 000 redes en una única arquitectura unificada. Fuente Departamento de Defensa de los Estados Unidos

Al mismo tiempo, se debe animar a los empleados a reconocer sus inocentes errores. Cuando los operadores de una central de propulsión nuclear descubren un error, están condicionados a revelárselo rápidamente a sus supervisores. Del mismo modo, un usuario de la red que haga clic sin darse cuenta en un correo electrónico o sitio web sospechoso debería estar condicionado a denunciarlo sin miedo a ser censurado.

Por último, debería ser fácil para todos los miembros de la organización hacer preguntas. Los operadores de las plantas de propulsión están capacitados para consultar inmediatamente a un supervisor cuando se encuentran con una situación desconocida y no están seguros de cómo gestionar. Del mismo modo, al garantizar que todos los empleados pueden obtener ayuda fácilmente de una línea directa o de sus gerentes, las empresas pueden reducir la tentación de adivinar o esperar que una acción en particular sea segura.

Sí, pedimos un enfoque mucho más formal y reglamentado del que emplean muchas empresas ahora. Dado que las ciberamenazas representan un peligro claro y presente para las empresas individuales y, por extensión, para el país, no hay otra alternativa. Se necesitan normas y principios para tapar las numerosas lagunas de las ciberdefensas de los Estados Unidos.

¿Las empresas no podrían centrarse simplemente en proteger sus joyas de la corona? No. En primer lugar, eso implicaría varios estándares de ciberseguridad, lo que sería difícil de gestionar y, por lo tanto, peligroso. En segundo lugar, las joyas de la corona a menudo no son lo que cree que son. (Se podría argumentar que la filtración de correos electrónicos embarazosos fue el aspecto más perjudicial de Corea del Norte ataque de hackers en Sony Pictures Entertainment.) Por último, los piratas informáticos suelen acceder a datos o sistemas muy confidenciales a través de un sistema aparentemente de bajo nivel, como el correo electrónico. Una empresa necesita un enfoque común para proteger todos sus datos.

Capacidad técnica, excelencia humana

Durante la última década, la tecnología de redes ha pasado de ser una simple utilidad que se podía dar por sentada a un motor de operaciones importante pero vulnerable, cuya seguridad es una de las principales prioridades corporativas. El creciente número de ciberataques lo ha dejado muy claro. La tecnología por sí sola no puede defender una red. Reducir los errores humanos es al menos igual de importante, si no más. La manera de hacerlo es adoptar los principios que un almirante irascible implantó en la marina nuclear hace más de 60 años.

Crear y fomentar una cultura de alta fiabilidad requerirá la atención personalizada de los directores ejecutivos y sus consejos de administración, así como inversiones sustanciales en formación y supervisión. La ciberseguridad no va a ser barata. Pero hay que hacer estas inversiones. La seguridad y la viabilidad de las empresas —así como las economías de los países en los que hacen negocios— dependen de ello.