¿Su CEO realmente entiende la seguridad de los datos?
por Robert Plant
¿Se ha preguntado alguna vez qué le preguntaría al CEO si lo nombraran presidente del consejo durante 10 minutos y pudiera hacer una pregunta? Querrá hacer que cuente. Nada sobre los mercados o las estrategias. Los directores ejecutivos tienen respuestas listas para ese tipo de cosas. Querría una pregunta que quitara el manto de invencibilidad y revelara los temores más íntimos del CEO. Una pregunta que podría decirle mucho sobre el potencial de la empresa con este líder.
Qué tal esta, la versión para salas de juntas de Sophie’s Choice: «¿A quién preferiría despedir, al CFO o al CSO?»
En primer lugar, si la empresa no tiene un CSO y el director ejecutivo piensa que la «S» tiene algo que ver con la sostenibilidad, despídalo. Si tiene un CSO y el CEO decide eliminar ese puesto, haga lo mismo, porque es la respuesta equivocada. Mientras lo despide, informe al CEO de que la seguridad de los datos es la principal necesidad fundamental de las empresas estadounidenses en la actualidad y que el CSO es algo así como el presidente del Estado Mayor Conjunto. No se desharía del presidente del Estado Mayor Conjunto en tiempos de guerra.
Protestará: «¿En qué época de guerra?» «No nos están atacando». «No somos una empresa de tecnología». «Pasamos desapercibidos». «Somos demasiado pequeños para ser un objetivo». «Aquí no puede producirse una violación de datos».
Ríase, porque tomó la decisión correcta al despedirlo. Es ajeno a la realidad. Su ceguera con respecto a la seguridad es una forma de malversación tan grave como engañarle las cifras de rendimiento a un analista de Wall Street.
Los ejecutivos deben entender cuatro puntos básicos sobre la seguridad:
Un bien ejecutado violación de datos es potencialmente más peligroso para su negocio que una recesión. Puede sobrevivir a una recesión creando una versión más pequeña o barata de su producto y atrayendo a un consumidor reducido, pero es mucho más difícil sobrevivir después de que una «amenaza avanzada y persistente», una entidad que somete a su empresa a ciberataques avanzados durante un período de tiempo hasta que se produce una infracción.
La ciberdelincuencia no es problema de otra persona, es su problema. Las noticias están llenas de historias a capa y espada sobre hackers patrocinados por el estado, como Unidad 61398 del ejército chino que intenta penetrar en las agencias federales estadounidenses. Las empresas descartan erróneamente estos informes por irrelevantes para ellas. La realidad es que todos los días se producen millones de pequeñas infracciones, porque es fácil y las herramientas están disponibles de forma gratuita. El Kit de herramientas para ingenieros sociales, una versión cibernética del Libro de cocina anarquista, proporciona abiertamente herramientas y técnicas para lanzar ataques y adoptar otros comportamientos malévolos (aunque también es una herramienta útil para la comunidad de seguridad). El SET se ha descargado más de 2 millones de veces en los nueve meses transcurridos desde su lanzamiento. Bloomberg informa que se han producido ataques en muchas empresas importantes, incluidas BG Group y Coca-Cola. Los informes también tienen especuló que la oferta de 2.400 millones de dólares de Coca-Cola para adquirir el Huiyuan Juice Group, la mayor adquisición de este tipo de una empresa china en ese momento, se descarriló cuando un ejecutivo abrió un correo electrónico de suplantación de identidad con un enlace a un software de registro de claves. Esto permitió a los intrusos abrir una brecha en el sistema y entender la estrategia de adquisición con antelación.
Hay una razón para el silencio ensordecedor. El hecho de que no haya escuchado a sus colegas de alta dirección de otras firmas hablar de brechas de seguridad no significa que no estén ocurriendo, ni el hecho de que no haya encontrado nada en sus sistemas significa que está a salvo. Lo han violado, al igual que sus compañeros. Los intrusos pueden entrar, ejecutar actos de violencia aleatoria, extraer datos y salir de un sistema en menos de siete segundos. También pueden utilizar código para ocultar sus datos de entrada y salida de los registros, de modo que nadie sepa que estuvieron allí. El silencio forma parte del modelo de negocio de los hackers. Los hackers no suelen estar interesados en usted en particular; están más interesados en vender la información que han obtenido y las técnicas que han utilizado. Esto lo demostró la falta de competidores que se presentaron cuando Google organizó recientemente un concurso con premios de 1 millón de dólares en efectivo para revelar los puntos débiles de seguridad de Chrome. Lo reforzó Chaouki Bekrar , CEO de Vupen Security, quien comentó: «No compartiríamos este [exploit] con Google ni por un millón de dólares. No queremos darles ningún conocimiento que pueda ayudarlos a corregir este exploit u otros exploits similares. Queremos conservar esto para nuestros clientes». Otro motivo del silencio es la falta de requisitos uniformes de presentación de informes, no solo en los Estados Unidos sino en todo el mundo. En otros casos, como Seguro a nivel nacional La violación de seguridad de octubre de 2012, las empresas invocan el privilegio cliente-abogado para sellar las pruebas.
Probablemente no comprenda dónde están sus datos. Dado que la tendencia hacia la computación en nube sigue creciendo, es vital que las relaciones con los proveedores externos se gestionen cada vez más de cerca. La idea de poner sus datos, probablemente el activo más importante de su empresa, en manos de un tercero necesita una revisión detenida. El ahorro de costes convence fácilmente a demasiadas empresas. Sin embargo, el hecho de que la empresa a la que recurre tenga su sede en un solo lugar, por ejemplo, EE. UU., no significa que los datos vayan a permanecer allí. Puede que acabe en un lugar en el que las leyes, los reglamentos y la ética sean muy cuestionables. Por ejemplo, Brasil y Arabia Saudí parecen ubicaciones de datos en el extranjero seguras y de bajo coste, pero Transparency InternationalÍndice de percepción de la corrupción los clasifica por debajo de Cuba y Ruanda. Ahora es un buen momento para comprobar los detalles de los SLA de terceros, especialmente porque, según Mandiante, el 94% de las infracciones salen a la luz a través de terceros, pero el tiempo medio de detección de intrusiones es de 416 días.
¿Y ahora qué? Ha despedido al CEO, pero sus 10 minutos como presidente se están acabando. En los segundos que quedan, envíe este mensaje al resto de la junta:
Podría decirse que el CSO es un activo más valioso que el CFO porque las infracciones cuestan mucho dinero; el ROI de la seguridad, como analista de riesgos Don Ulsch afirma que es «el valor de su empresa». Cuándo Sony La base de datos de 77 millones de clientes quedó expuesta en 2011, el coste inmediato de la reparación se estimó en 14 000 millones de yenes (171 millones de dólares) y la marca perdura. Más recientemente, el Pagos globales la infracción en abril de 2012 costó 93,9 millones de dólares, incluidos 35,9 millones de dólares en multas y otros cargos por incumplimiento.
Recuerde a la junta que en una guerra, la empresa necesita una mentalidad de guerrero. El CSO debe utilizar estrategias encubiertas y contratar a personas de nivel militar al estilo de la NSA criptoanalistas, el nuevo trabajo más sexy del siglo XXI. Este equipo necesitará el apoyo, los recursos y las garantías de las que el grupo tradicional de «seguridad» del MIS no disfruta en las organizaciones que no entienden el nivel real de amenaza.
Por último, se debe dar al CSO la autoridad sobre las personas, los procesos y las tecnologías. Al igual que el presidente del Estado Mayor Conjunto, el CSO necesita hacer cumplir procesos que no sean populares ni estén alineados con un enfoque de la estrategia tecnológica impulsado por el mercado. Por ejemplo, puede que haya que ignorar la nube pública de bajo coste en favor de una nube privada o una nube colaborativa, ya que los rivales del sector comparten un espacio definido.
Ahora se acabaron sus 10 minutos. Ha hackeado la mal concebida estructura de seguridad de su empresa o la falta de ella. A medida que vuelva a meterse en su cubo, puede estar seguro de que, aunque no haya puesto a su empresa en el camino hacia una seguridad perfecta, al menos ha abierto algunos ojos y, con suerte, la junta ahora contratará a alguien que comprenda la necesidad de proteger el negocio de los ciberespías, los malévolos y los curiosos.
Datos bajo asedio
Un HBR Insight Center
Artículos Relacionados
La IA es genial en las tareas rutinarias. He aquí por qué los consejos de administración deberían resistirse a utilizarla.
Investigación: Cuando el esfuerzo adicional le hace empeorar en su trabajo
A todos nos ha pasado: después de intentar proactivamente agilizar un proceso en el trabajo, se siente mentalmente agotado y menos capaz de realizar bien otras tareas. Pero, ¿tomar la iniciativa para mejorar las tareas de su trabajo le hizo realmente peor en otras actividades al final del día? Un nuevo estudio de trabajadores franceses ha encontrado pruebas contundentes de que cuanto más intentan los trabajadores mejorar las tareas, peor es su rendimiento mental a la hora de cerrar. Esto tiene implicaciones sobre cómo las empresas pueden apoyar mejor a sus equipos para que tengan lo que necesitan para ser proactivos sin fatigarse mentalmente.
En tiempos inciertos, hágase estas preguntas antes de tomar una decisión
En medio de la inestabilidad geopolítica, las conmociones climáticas, la disrupción de la IA, etc., los líderes de hoy en día no navegan por las crisis ocasionales, sino que operan en un estado de perma-crisis.