Mayday: desastres cibernéticos
Existe un programa de televisión conocido que presenta en cada episodio la historia de accidentes aéreos. Esto puede parecer morboso para algunos, pero es interesante cuánto se aprende sobre las incidencias de un avión con cada caso reportado. Digo incidente porque las investigaciones se llevan a cabo incluso cuando no hay ningún accidente (de hecho, entre los mejores episodios se encuentran aquellos casos en que las tragedias se evitan debido a la habilidad de los pilotos quienes impiden que incidentes se convirtiesen en accidentes-y también se investigaron).
Dicho programa muestra cómo la industria aeronáutica evoluciona con las lecciones aprendidas en cada investigación, las cuales se hacen de manera metódica y constante. Y también muestra cómo cada día la aviación se vuelve más segura.
Después de más de 20 años trabajando con seguridad cibernética y viendo errores e incidentes que se repiten sin que lecciones fueran aprendidas, ver este programa me hace pensar por qué la seguridad cibernética es encarada de forma tan diferente a la seguridad aeronáutica. ¿Acaso la diferencia son las vidas humanas en juego?¿O es por qué el transporte aéreo necesita ser confiable para que siga siendo un negocio multimillonario? ¿Será debido a los estándares de la industria y sus duras penas para los culpables? ¿O tal vez es por la difusión dada a los accidentes?
Por mucho tiempo la seguridad cibernética no compartía estos aspectos con la seguridad aeronáutica, y cualquiera de las cuestiones antes mencionadas podría explicar la diferencia de actitudes. Pero la verdad es que un análisis rápido nos deja ver que la seguridad cibernética camina velozmente para estar expuesta a los mismos desafíos. Considerando lo siguiente:
– Vidas en juego: El año pasado un ramsonware (WannaCry) atacó equipos médicos en diversos hospitales de todo el mundo. Los ataques cibernéticos contra infraestructuras críticas de electricidad, petróleo y gas, refinerías, plantas industriales, minas, entre otras, pueden causar muertes de varias maneras tales como explosiones, inundaciones, accidentes, intoxicaciones, el Internet de las Cosas, autos y ciudades inteligentes; mantener a todo el mundo conectado hace que nuestras vidas estén más expuestas a incidentes cibernéticos que antes afectaban «sólo» a nuestros datos.
– Confianza en negocios multimillonarios: Es muy simple – la tecnología permea todos los negocios en el mundo actual. La seguridad cibernética es vital para todos los negocios multimillonarios de hoy. Pero también es necesario hacer una pequeña digresión sobre el tema ‘confianza en negocios multimillonarios’. El sector financiero siempre ha dependido mucho de la confianza, y nunca ha dependido tanto de la seguridad cibernética. Es por ello que fraudes cibernéticos recientes en México (SEPI) y Chile (SWIFT) causaron pérdidas de más de 30 millones de dólares. Los ataques han impactado la confianza de los clientes en el sistema, y acciones concretas para evitar futuros fraudes son requeridos para los bancos de estos países.
– Normas y sanciones: Las reglas y sanciones son aquí consideradas juntas porque son dos temas relacionados: las sanciones vienen generalmente de la regulación. Considerando ejemplos recientes tales como el GDPR (la norma de protección de datos de Europa) y la Ley General de Protección de Datos (LGPD) brasileña. Aunque también desde hace años hay una sanción de valor considerable en la ley norteamericana SOX, a la que muchas grandes empresas de América Latina están expuestas.
– Publicidad dada a los eventos: Combatir el delito cibernético – pero sólo el que no se puede ocultar – ha sido una regla en muchas organizaciones durante años. Si ocultarlo mantiene al negocio funcionando y la confianza de los clientes, ¿para qué invertir en seguridad? Afortunadamente para nosotros, los clientes y ciudadanos, es cada vez más difícil ocultar los ataques (¡las redes sociales también hacen eso!) y las regulaciones requieren cada vez más transparencia sobre incidentes cibernéticos para asegurar que se adopten medidas correctivas. Este es un paso fundamental del proceso. Si un accidente aeronáutico llegara a pasar desapercibido en la prensa y la opinión pública, ¿estaríamos tan avanzados en la seguridad del sector?
De esta forma, con la creciente dependencia tecnológica de los negocios, es necesario cambiar la postura con respecto a la seguridad cibernética, pues cada vez se parece más a la seguridad aeronáutica en las dimensiones analizadas anteriormente.
¿Y en cuáles puntos ésta última nos puede llevar a la reflexión? Definitivamente un tema es la cultura de seguridad, que debe permear las acciones en todos los niveles organizacionales.
Esto se puede ver claramente en cualquier viaje de avión, desde la primera puerta del aeropuerto de origen hasta la salida en el aeropuerto de destino.
En segundo lugar, se debe asegurar que los procesos de investigación y lecciones aprendidas se lleven a cabo de manera consistente y metódica, y que los resultados sean realmente incorporados en las operaciones para evitar nuevos acontecimientos.
En tercer lugar, es importante monitorear las operaciones para asegurar que se comporten de manera esperada, que se identifiquen prontamente las amenazas y los riesgos y que se tomen acciones de respuesta rápidamente.
Cuarto, el tema de cumplimiento de las normas: algunos sectores (por ejemplo, el financiero) ya están maduros en términos de respeto a los estándares de seguridad cibernética, pero muchos otros tendrán que acelerar su madurez en los próximos meses, en particular debido a la LGPD.
Y, por último, creo que es importante considerar que la seguridad no es una barrera para los negocios – en el caso del sector aeronáutico es claramente un facilitador de negocios: las personas viajan en avión, y la industria prospera porque hay seguridad. Y la seguridad trae confianza. Si nadie viaja en un avión, sin tener confianza, ni seguridad, ¿por qué deberían confiar sus vidas y datos a un negocio inseguro? ¿Si el negocio es inseguro – y parece inseguro -va a ‘despegar’? ¿O será un desastre cibernético a punto de acontecer?