Cuatro cosas que el sector privado debe exigir en materia de ciberseguridad

El viernes 31 de mayo en el Diálogo sobre seguridad entre Shangri-La en Singapur, el secretario de Defensa de los Estados Unidos, Chuck Hagel, dijo que las ciberamenazas representaban un peligro «silencioso, sigiloso e insidioso» para los Estados Unidos y otros países.

Espere un minuto. Qué es exactamente silencioso y sigiloso sobre un tema de seguridad que el colega de Hagel, el general Keith B. Alexander, director de la Agencia de Seguridad Nacional, calificó unas semanas antes como la fuente del «la mayor transferencia de riqueza de la historia»¿de empresas estadounidenses a hackers extranjeros?

Para las empresas y organizaciones que dedican enormes sumas de dinero y algunos de sus mejores talentos técnicos al desafío de tratar de proteger sus redes de miles de ciberataques a diario, lo que está sucediendo no tiene nada de silencioso o simplemente insidioso. ¿Recuerda el verano de 2001, cuando el director de la CIA, George Tenet, habló de la amenaza de Al-Qaeda? «el sistema parpadeaba en rojo» pero ¿pocos a su alrededor parecieron darse cuenta de la urgencia? Creo que la ciberamenaza en este momento tiene prácticamente el mismo carácter. No tiene que dominar los detalles extraordinariamente complicados y altamente técnicos del tema para reconocer esta importante señal: casi de manera universal, descubrirá que cuanto más conocen los técnicos de una organización sobre la naturaleza de la dinámica de respuesta a las amenazas, más les preocupa quién va a ganar esa carrera.

¿Cómo dejamos que las cosas se pusieran tan mal? La primera respuesta a esta pregunta suele ser de ingeniería o económica. Los ingenieros señalan los problemas inherentes a los protocolos de Internet que se diseñaron, desde el principio, para tener más que ver con la interoperabilidad y la conectividad que con la seguridad per se. Los economistas señalan los problemas de la acción colectiva y las normas de responsabilidad desalineadas que, de hecho, reducen los incentivos para que las empresas inviertan de manera suficiente y eficiente en la protección de la red. Y luego está la política: todos los políticos quieren defender los aspectos de «innovación» y crecimiento de Internet, y hay poco que ganar si se destaca lo peligroso que puede ser realmente un lugar.

Lo que parece más difícil de hablar, pero en última instancia más fundamental, es la cultura. Admitámoslo: como sociedad, la cultura de Internet se basa mucho más en la apertura y la experimentación que en la protección y la seguridad. Esto tiene sus raíces profundas en las ideologías libertarias del movimiento de los ordenadores personales (en realidad era un movimiento) y en la mentalidad tecnoutópica y antiautoridad que hizo de Internet lo que es, y es en parte responsable de lo que hace que sea tan buena como es.

Pero Internet ahora ha crecido. Nuestro sistema financiero, militar, sanitario, de servicios públicos, de comunicaciones, comercio, cadena de suministro y casi todos los demás sistemas esenciales de infraestructura vital y empresarial ahora dependen de ello. La cultura de Internet, sin embargo, ha crecido menos. Tenga en cuenta lo siguiente: no puede subirse a un avión, entrar en un edificio de oficinas en Nueva York o comprar un coche sin demostrar que es quien dice ser; pero cualquiera puede entrar en Internet de forma anónima desde casi cualquier parte del planeta y recorrer el equivalente virtual de casi todos los mismos sistemas. A veces necesita herramientas de hackeo a las que se pueda acceder fácilmente para su compra en la web; a veces necesita una gran experiencia técnica. Y la mayoría de las veces no necesita nada más que una intención maliciosa, o incluso curiosa.

El viernes de esta semana, el presidente Obama y el presidente chino, Xi Jinping, pasarán una buena parte del tiempo juntos hablando del problema de la ciberseguridad. Ninguno de los dos estaba ansioso por hacerlo por motivos políticos, pero la oleada de recientes informes de los medios de comunicación y filtraciones públicas han dejado a Obama, al menos, sin otra opción real. Es muy posible que estén de acuerdo en principio en un interés compartido en lo que más importa a los gobiernos: la protección de las infraestructuras nacionales críticas. Con el tiempo, los dos gobiernos (esperemos) lleguen a reglas de circulación compartidas que se alejen de la amenaza apocalíptica de una ciberguerra masiva, del mismo modo que los rusos y los estadounidenses encontraron formas durante la Guerra Fría de reducir la probabilidad de que se produjera un escenario termonuclear apocalíptico del que ninguna de las partes podría beneficiarse.

Pero no se pondrán de acuerdo en qué hacer con los niveles de amenaza «menores», como tampoco lo hacían los adversarios de la Guerra Fría en su época. Esto se debe a que cuando se trata de cosas como el espionaje comercial y el robo de propiedad intelectual (las cosas que importan a las empresas individuales), los dos grandes actores cibernéticos de los estados nacionales ocupan posiciones muy diferentes y tienen intereses muy diferentes. Es un poco demasiado simplificado, pero básicamente correcto reconocer que los Estados Unidos tienen mucho más que proteger y los chinos tienen mucho más que atacar.

Esta es la verdadera amenaza insidiosa de la que tienen que preocuparse las empresas. ¿Y si Washington y Pekín llegan a un acuerdo sobre las cosas realmente importantes —los enormes riesgos de seguridad para los intereses soberanos— y toman medidas para reducir la amenaza de una ciberdestrucción mutua asegurada? ¿Qué harán entonces todos los hackers y ciberdelincuentes —patrocinados oficialmente o no— con su exceso de tiempo y experiencia? Un cambio profesional razonable sería especializarse en ataques de «nivel inferior», como, bueno, el espionaje corporativo y el robo de propiedad intelectual.

Para los gobiernos, la mayor parte de esto es una molestia, una cuestión comercial y, a gran escala, potencialmente una cuestión de competitividad, pero no es lo mismo que un ataque masivo a la red eléctrica nacional y no generará el mismo tipo de respuesta gubernamental.

Si espera a que los gobiernos definan y resuelvan este problema por usted, puede que lo arrojen bajo el autobús.

Estas son cuatro cosas que el sector privado —y me refiero a los directores ejecutivos, no a los directores de tecnología— debería exigir a Washington en voz alta y persistente en este momento:

1. Financiado por el gobierno FFRDC-institución tipo, para pagar la investigación básica y la inversión inicial en la fase de riesgo en sistemas de seguridad comerciales.
2. Un sistema de apoyo, financiero y legal, para las empresas más pequeñas y emergentes que no pueden darse el lujo de gastar su dinero y su tiempo preocupándose por la seguridad de sus redes.
3. Un ciberguardia nacional o un cibercuerpo de paz equivalente, que difundiría el software y las prácticas primero por los Estados Unidos y, luego, entre los aliados y amigos dispuestos a hacerlo en el extranjero.
4. Un importante esfuerzo nacional para educar al público y promocionar una nueva «cultura de seguridad» para el comportamiento en Internet. Es el eslabón humano el que es y es casi seguro que siempre será el eslabón más débil de cualquier sistema de seguridad. Por eso necesitamos mensajes constantes sobre lo básico de bloquear y abordar el comportamiento en Internet para que las personas reconozcan sus propias acciones riesgosas y su responsabilidad personal por la seguridad. ¿Cómo llegó Stuxnet por primera vez a los ordenadores iraníes? Probablemente a través de una memoria USB que un irreflexivo ingeniero iraní llevó a un centro de control de centrífugas nucleares. No nos gusta admitirlo, pero siempre ocurre el mismo tipo de descuido en Estados Unidos. Mientras la cultura de Internet permita o incluso apoye ese tipo de «libertad» (como, por ejemplo, una extensión culturalmente aceptable de las políticas de BYOD), las empresas corren un verdadero peligro.

Datos bajo asedio
Un HBR Insight Center

• Bienvenido al Insight Center «Data Under Siege»
• ¿Su CEO realmente entiende la seguridad de los datos?
• Las empresas y los países que pierden sus datos
• Proteja las redes sociales de su empresa contra hackeos