Por qué es tan difícil hacer bien la ciberseguridad

Parece que apenas pasa una semana sin noticias de una violación de datos en otra empresa. Y parece que cada vez es más común que las infracciones rompan récords en la cantidad de información robada. Si es una empresa que intenta proteger sus datos, ¿por dónde empieza? ¿Qué debería pensar? Para responder a estas preguntas, hablé con Marc van Zadelhoff, vicepresidente de IBM Security, sobre el estado actual de la ciberseguridad y el Ponemon Institute Estudio de 2015 de ciberseguridad en todo el mundo, patrocinada por IBM.

HBR: ¿El estudio encontró alguna nueva tendencia en ciberseguridad?

Marc van Zadelhoff: Tenemos una gran empresa dedicada a la seguridad, por lo que vemos incluso más allá del estudio, con miles y miles de clientes a los que supervisamos a diario. Una de las principales cosas que hemos visto en los últimos años es cómo delincuentes organizados cada vez más sofisticados cometen infracciones. El 45 por ciento de las infracciones se producen por la entrada de delincuentes, por lo que una de las razones por las que el coste de las infracciones aumenta es porque vemos que cada vez más son causadas por la delincuencia, a diferencia de otros factores, como los errores inadvertidos.

Una cosa es tener una infracción porque un empleado pierde un portátil, pero cada vez son más los delincuentes organizados que son muy persistentes en su enfoque. Por ejemplo, cuando se trata de un delincuente, el coste de una infracción suele ser de 170$ per cápita por infracción, en comparación con si se trata de un fallo del sistema o un error humano, son más bien 140 dólares por infracción. Se hace más caro porque roban más, son más persistentes, son sigilosos, se quedan, son más difíciles de detectar y más difíciles de eliminar. Es como un virus más difícil en su cuerpo. Los mejores ataques avanzados contra nuestra organización son simplemente más difíciles de vacunar y más difíciles de eliminar del sistema.

Me sorprende que el porcentaje de infracciones causadas por los atacantes no sea superior. Si lee los titulares de los periódicos, parece que esos son los que más escucha.

Si lo están violando, hay un incentivo para hablar de ello como un ataque y no como un error. Creo que por eso las que reciben mucha cobertura en la prensa son aquellas en las que las empresas se presentan y dicen: «Alguien dedicó mucho tiempo e hizo un trabajo profesional con nosotros». Creo que la gente hace oír un poco menos cuando es realmente un error.

¿Qué hay de las infracciones causadas por errores, de las que no se entera tanto?

Creo que no se presta suficiente atención a la exposición descuidada de los datos por errores internos, lo que ocurre con bastante frecuencia, incluso cuando no hay actores malintencionados que lo provoquen. Además de los errores más obvios, como dejar las contraseñas a la vista o no denunciar la pérdida o el robo de un dispositivo corporativo, hoy en día muchas personas suben información personal y corporativa a plataformas colaborativas de terceros sin pensárselo dos veces antes de lo segura que puede ser esta acción. Si bien estas herramientas nos brindan una gran cantidad de oportunidades a la hora de trabajar de manera más eficiente y colaborativa, debemos recordar que debemos tener siempre cuidado con la forma en que utilizamos, compartimos y recopilamos los datos.

¿Qué es lo que buscan normalmente los ciberdelincuentes? ¿Qué deberían proteger las empresas?

En general, la delincuencia organizada intenta robar cosas de gran valor y una de las industrias más valiosas, en términos de costes, es la atención médica. Lo que ve es que los delincuentes buscan el historial médico porque en el mercado negro probablemente puedan vender el historial médico de una persona por unos 50 dólares. Si solo roban datos de tarjetas de crédito o un número de seguridad social, tal vez puedan venderlos en el mercado negro por 1 dólar. O puede que roben un historial médico no para venderlo, sino para aprovechar esa información y lanzar un ataque más sofisticado contra usted. Podrían hacerse pasar por un banco y decir: «Ey, sé que está a punto de ir a operarse, no olvide transferir algo de dinero haciendo clic aquí», o lo que sea. Y luego piensa: «Bueno, ellos saben que tengo una operación mañana, así que debe ser un banco legítimo». Así que el delito inicial provoca que datos más valiosos salgan del edificio.

Si los registros de salud valen tanto, ¿por qué los hackers persiguen cualquier otra cosa?

Si bien los registros médicos en sí mismos valen mucho en la Dark Web, hay otros tipos de datos de gran valor que se pueden reunir para utilizarlos en ataques sofisticados. Este tipo de información se puede utilizar para llevar a cabo actividades maliciosas, como la ingeniería social, la creación de expedientes sobre figuras destacadas (con el objetivo final de generar disrupción en sus vidas de forma maliciosa), robar identidades, dañar una marca corporativa y mucho más. Las empresas de todos los tipos y tamaños deben tratar de entender qué tipos de información tienen que serían más valiosos para los piratas informáticos y qué sería más perjudicial para su empresa, sus empleados y sus clientes si se produjera una infracción. Al dar el primer paso para definir qué es lo más importante y dónde reside, las organizaciones pueden personalizar sus programas de seguridad para proteger adecuadamente sus «joyas de la corona» únicas.

El estudio reveló que el factor que más afecta al coste per cápita de una infracción es la formación de los empleados. ¿Es la formación del personal de TI o la formación de seguridad estándar que reciben todos?

Ambos. Probablemente haya recibido una formación de seguridad en el trabajo, tal vez incluso le hayan hecho pruebas al final de esa formación en términos de recordar cosas. Pero puede hacer más pruebas a las personas a lo largo del año y puede intentar «engañarlas». Por ejemplo, trabajamos con los clientes para realizar una especie de ataque de suplantación de identidad contra los empleados. Es una forma de ver en qué hacen clic los empleados en un correo electrónico. Puede que le enviemos un correo electrónico que diga: «Ey, ya veo que se dirige a California la semana que viene, haga clic aquí para confirmar su viaje». Y lo habríamos descubierto porque publicó en Facebook que se dirigía a California. Bueno, si hace clic en eso, ya que es su empresa la que lo hace, aparecerá un mensaje que dirá: «Esto en realidad es un ataque de suplantación de identidad, siempre debe mirar el encabezado y quién lo envía antes de hacer clic en cualquier cosa». Así que es una forma de hacer pruebas sin que se trate realmente de un intento de hackeo.

Si tiene empleados conscientes y un poco paranoicos, puede marcar una gran diferencia. Y a menudo los empleados más sénior de una organización son los que tienen menos conciencia social, en términos de Facebook y LinkedIn y todas esas cosas. Pueden ser muy susceptibles a seguir haciendo clic en las cosas, o a suponer que si alguien le envía un correo electrónico y contiene un par de datos precisos, debe ser legítimo.

Ataques recientes contra OPM y un Fondo de cobertura londinense muestran dos formas diferentes en las que la ciberseguridad es tan difícil en este momento: primero, ni siquiera el gobierno de los EE. UU. está a salvo de los ataques y, segundo, pudieron engañar al director financiero del fondo de cobertura para que revelara información por teléfono. Si es una empresa que sigue esas historias, ¿qué debería aprender de ellas?

La primera conclusión de esas infracciones sería que las bandas de ciberdelincuentes actuales son descaradas y operan con la organización y la sofisticación de una empresa bien financiada.

Los empleados pueden ser vistos como el talón de Aquiles de la ciberseguridad; los errores de quienes tienen acceso a los sistemas de la empresa son el catalizador de El 95% de todos los incidentes. Puede ser tan simple como hacer clic accidentalmente en un enlace malicioso o no cuestionar la autenticidad de una llamada de teléfono o un sitio web bancario. Incluso las organizaciones con las estrategias de seguridad más sólidas y con visión de futuro no son inmunes a un error de juicio de los empleados.

Es fundamental que, además de una sólida defensa técnica de seguridad, las empresas eduquen continuamente a los empleados sobre los peligros de los ataques a la seguridad, asegurándose de que saben qué buscar y cómo no caer víctimas de la ingeniería social. Deberían revisar y controlar continuamente qué empleados tienen acceso a los datos confidenciales y asegurarse de que el acceso se elimine al instante una vez que una persona se desvincule de la organización o cambie sus funciones por una que no requiera el mismo nivel de acceso.

Como ha estudiado la seguridad en todo el mundo, ¿cuáles son las mejores prácticas que deberían seguir las empresas?

Las mejores prácticas son, en primer lugar, contar con análisis e inteligencia muy buenos. Necesita tener sondas disponibles para obtener información, ya sea a medida que se produce la violación de datos o después, para poder entender los daños. Luego, tener un equipo de respuesta a incidentes formado y preparado para el escenario de una infracción. Como sus hijos en la escuela practicando simulacros de incendio, usted practica que lo infrinjan, así que si se produce una infracción, ya sabe, vale, ella va a estar al mando, él va a ser la cara de la prensa y Larry y Sue van a llamar al FBI. Las empresas que tenían un equipo de respuesta tenían un coste medio de violación per cápita de 12 o 13 dólares menos que las empresas que no lo tenían.

El tercero es el uso del cifrado. Si sus datos están cifrados por capas, tal vez obtengan un nombre de usuario, la contraseña o un número de seguro social, pero el historial médico está realmente cifrado. Así que robaron datos por valor de 1 dólar, pero no se quedaron con los 50 dólares en datos.

El cuarto es la formación de los empleados. En quinto lugar, todas las organizaciones tienen un equipo de gestión de la continuidad del negocio. Si hay un tornado o un huracán, pueden ayudar a las empresas a mantenerse en funcionamiento. Bueno, hacer que se involucren cuando se produce una infracción es una buena práctica. Y, por último, la participación a nivel de la junta. Por ejemplo, supongamos que lo violan y va al departamento de marketing y dice: «Tenemos que cerrar una base de datos concreta con datos de clientes a la que se accede con frecuencia». Puede que lo miren y digan: bueno, ¿por qué? Pero si se ha tomado el tiempo de antemano para prepararse y, por ejemplo, en un escenario de infracción, estas son las cosas que vamos a hacer y que pueden marcar una gran diferencia,

Y si es una empresa que planifica sus esfuerzos de seguridad, ¿cuál debería ser su objetivo? ¿De verdad puede defenderse de que lo hackeen?

La realidad hoy en día es que por muy cuidadosos que seamos, no importa lo bien que diseñemos nuestras estrategias o lo minuciosamente que eduquemos e involucremos a los empleados, nunca estamos a salvo al 100% contra un ciberataque. Nuestra mejor defensa es renovar la forma en que abordamos la seguridad y pasar de posiciones defensivas aisladas y bombardeadas constantemente a un frente de colaboración unido e impulsado por la inteligencia contra la ciberdelincuencia.

Tenemos que empezar a pensar como los hackers que están penetrando con tanto éxito en las empresas. Los piratas informáticos utilizan la red clandestina de la Dark Web para compartir datos, conocimientos y recursos. Mediante la colaboración, han creado redes de ciberdelincuencia complejas y altamente eficientes, a partir de las cuales se inicia el 80% de las campañas maliciosas. El sector privado sigue trabajando en gran medida en silos, sin visibilidad de los ataques que se avecinan hasta que se produzcan.

Para contraatacar de la mejor manera posible, necesitamos colaborar al mismo nivel que los hackers y compartir información entre los sectores y las organizaciones para ver los ataques en tiempo real. Al igual que una epidemia de enfermedades, si somos capaces de establecer la infraestructura, las advertencias y las precauciones adecuadas antes de que se produzca un ataque malintencionado, lo más probable es que estemos mucho mejor preparados para detectarlo y apagarlo si entra en nuestros sistemas.