Estos son solo algunos de los gigantes corporativos que han sufrido brechas de seguridad de datos costosas, masivas, pésimas para la reputación en los últimos meses.
Aunque no está claro exactamente cómo se produjeron tantas violaciones el año pasado –muchos hackeos y fugas de menor escala no se denuncian– el Centro de Recursos de Robo de Identidad identificó 783 violaciones de datos en 2014 sobre la base de informes de los medios y listas de notificación de las agencias del gobierno estatal de Estados Unidos. Eso es un aumento impresionante de 27.5% respecto al mismo periodo del año anterior.
Es un milagro que los CIO puedan dormir por la noche.
"Me voy a la cama cada noche asegurándome de que mi teléfono no está en vibrador. Si me necesitan, estoy listo", dijo Don Baker, CIO de Mediaocean, una compañía de servicios de publicidad de Nueva York. "Cuando se trata de la seguridad y la integridad de los datos, hay un sentido de preocupación mucho más elevado hoy en día, no solo por el número de brechas, sino debido a la sofisticación que estamos viendo con algunos de estos ataques últimamente”.
Con los hackers encontrando nuevas formas de eludir los sistemas de seguridad de red tradicionales, Baker –junto con muchos CIO– dijo que han tenido que volver a evaluar sus estrategias de seguridad en un intento de evolución constante por mantenerse delante de los delincuentes cibernéticos. "Usted no puede asumir que lo que ha estado haciendo año a año por el tiempo que sea es suficiente en el mundo en que vivimos hoy", dijo Baker.
En una reciente encuesta realizada por EIQ Networks, el 90% de los CIO y otros altos profesionales de TI en todas las industrias, dijeron que las brechas de seguridad eran su principal preocupación. Sin embargo, solo el 21% de los 145 tomadores de decisiones de TI encuestados dijeron que confían verdaderamente en la capacidad de su sistema para mitigar el riesgo de incidentes de seguridad; solo 31% tenía un "proceso sólido" instalado para la defensa cibernética, y solo 15% dijo que la compañía estaba "bien preparada" para una brecha.
La falta de confianza no es de extrañar. La seguridad de los datos es una enorme responsabilidad en la actualidad. Por un lado, la gran cantidad de software y dispositivos que necesitan protección se ha multiplicado en los últimos años. Una computadora portátil perdida con mil números de seguro social solían ser motivo de gran preocupación.
"Ahora, por supuesto, tenemos la nube, las redes sociales, los servicios web, la tecnología móvil. Y tenemos exponencialmente más dispositivos", dijo Michael Beckley, CTO de Apia Corp., que hace software de gestión de procesos de negocio. "Cuanto mayor es la superficie de una organización de TI para atacar, más hay que defender”.
La buena noticia es que muchos directores generales y miembros del consejo de administración está dando dinero adicional y recursos humanos a las organizaciones de TI para abordar la cuestión, según el Instituto Ponemon, una firma de investigación de seguridad.
"Target fue la madre de todas las violaciones de datos en su momento, y fue una llamada de atención para muchas organizaciones", dijo Larry Ponemon, presidente y fundador del Instituto Ponemon. “Ellos pudieron ver que tuvo un efecto enorme en la lealtad y la confianza del cliente. Una gran cantidad de empresas se dio cuenta de que no estaban haciendo lo suficiente o invirtiendo lo suficiente, y sabemos por nuestra investigación que los CIO se esfuerzan por hacer más y mejores cosas ahora”.
De hecho, las entrevistas con los líderes de TI mostraron que muchos están tomando medidas para proteger sus datos corporativos con una gama más amplia de herramientas y procesos de seguridad reforzados. Sus estrategias multifacéticasincluyen sistemas de detección de datos de comportamiento, cifrado de dispositivos, monitorización de usuarios, capacitación de empleados e –en un intento de evitar cometer los mismos errores que resultaron tan perjudiciales para otras compañías– investigaciones exhaustivas de brechas publicitadas.
Monitoreando el comportamiento del usuario
El monitoreo es un área donde los CIO necesitan intensificar su juego, dijo Jay Heiser, vicepresidente de investigación de Gartner Inc. Muchas organizaciones han estado poniendo más esfuerzos en "cerrar las puertas", dijo, que en la detección de si esas puertas se han eludido.
"Se siente bien poner más cerraduras en las puertas, pero si alguien entra por las ventanas, ¿cuál es el punto?", preguntó. "Si hay algún cambio sobre la base de los fracasos espectaculares de este año, es un renovado aprecio por las ventajas del monitoreo”.
Algunas organizaciones están tomando ventaja de los programas de detección de intrusiones de comportamiento que buscan anomalías en la forma en que los usuarios trabajan en los sistemas. TI debe tener un buen control sobre lo que se considera un comportamiento normal de base para que pueda buscar un repunte en la actividad que podría ser una señal de que está sucediendo algo malicioso.
"Si normalmente tiene 5,000 inicios de sesión a la semana y de repente ve 15,000, usted tiene que indagar para averiguar qué está pasando", dijo Baker de Mediaocean.
En el pasado, se podía restar importancia a un pequeño pico temporal en la actividad como algo puntual, pero en estos días, los CIO están luchando por investigar cualquier cosa remotamente inusual. En muchos casos, no se trata de prevenir o enfrentar el hackeo obvio, se trata de tratar de olfatear el ataque sutil que pueda pasar desapercibido.
"Es menos probable que veamos un pequeño pico y digamos: 'Vamos a esperar y ver si vuelve a ocurrir'", dijo Baker. "Usted tiene que tomar cualquier repunte en la actividad y pensar: 'Esto podría ser potencialmente algo que está sucediendo’”.
Capacitación de los empleados: Si ve algo, diga algo
Debido a que algunos casos de hackeo, según se informó, han sido rastreados hasta empleados que inadvertidamente invitaron a un ataque de malware, un gran pedazo de la batalla por la seguridad de la empresa proviene de armar a los empleados con un nivel saludable de escepticismo acerca de dónde navegan y hacen clic.
Incluso un correo electrónico de un compañero de trabajo que normalmente no contacta con el destinatario debe hacer sonar las alarmas, dijeron los expertos, especialmente si el compañero de trabajo le pide al empleado abrir un archivo adjunto o suministrar información sensible. En casos como ese y con otros correos electrónicos sospechosos, los empleados deben ser entrenados para ponerse en contacto con TI buscando orientación, aconsejaron los especialistas en seguridad. Pero no espere resultados de un día a otro.
"No se puede enseñar a los empleados en una semana o incluso en un mes. Pero si les enseña un poco cada día, se convertirá en un hábito", dijo un ejecutivo de TI de una empresa de seguridad que proporciona software de entrenamiento para ayudar a las organizaciones a enseñar a sus empleados un comportamiento seguro.
Las medidas adoptadas para mitigar las amenazas internas no deben limitarse a los empleados. Beckley de Apia está entre muchos CIOs hoy que están observando de nuevo la forma en que sus organizaciones manejan a los consultores y contratistas a quienes se les otorga niveles de acceso variables. Es imperativo que se impida a estos trabajadores temporales (y a los empleados que se van) entrar en el sistema después de que se vayan.
"Se trata de utilizar el control de procesos y la automatización para al menos garantizar que las personas estén debidamente acreditadas para acceder al sistema cuando vienen a bordo, y para asegurarse de que las contraseñas sean desactivadas y los controles de acceso se apaguen cuando se vayan”, dijo Beckley.
Una startup de ciberseguridad especializada en herramientas de detección de amenazas de punto final para empresas ha encontrado que la mejor manera de informar a los empleados sobre la seguridad relacionada con el trabajo es educarlos sobre cómo protegerse personalmente, por ejemplo, cuando publican en las redes sociales, compran en línea o abren el correo electrónico.
"En su mayoría se trata de entender lo que hace cuando se está navegando y saber que cuando se recibe un correo electrónico y se hace clic en un enlace, así es como lo pueden hackear", dijo el director técnico de la empresa. "Si toman precauciones en casa para proteger sus propios datos, van a hacer lo mismo en el trabajo para proteger los datos de la empresa”.
Trabajar de forma remota y cifrar los datos
En términos de uso móvil, los líderes de TI dicen que los empleados necesitan hacer las cosas de manera inteligente, cuidando, por ejemplo, de no acceder a internet en una red WiFi pública cuando están tratando con datos corporativos sensibles. Tales precauciones, aunque son obvias para la gente de TI, deben ser reforzadas con los empleados que habitualmente utilizan sus teléfonos inteligentes para transacciones personales.
Baker dijo que a los empleados de su empresa no se les permite extraer datos hacia un dispositivo remoto para trabajar con ellos cuando no están en la oficina.
"La gente no puede utilizar sus dispositivos para meterse directamente en nuestros sistemas", dijo. "Ellos podrían ser capaces de ver visualmente una pantalla, pero es como un terminal ficticio porque no pueden hacer nada con los datos, de ida y vuelta”.
Las empresas que necesitan que los empleados sean capaces de interactuar remotamente con los sistemas internos están cifrando cada vez más los dispositivos de modo que no se puede acceder a los datos –y TI también puede borrar o eliminar de forma remota un dispositivo que se pierde o es robado.
El cifrado ciertamente funciona mejor que las contraseñas, que son fáciles de perder y pueden ser duplicadas, dijo Beckley de Apia. "Las contraseñas son terribles y tienen que morir. Necesitamos la identidad de huellas digitales y el cifrado fuerte en los dispositivos", dijo.
Buscar ayuda exterior
Muchas empresas –en particular las pequeñas y medianas empresas que pueden no tener los recursos para contratar a especialistas en seguridad TI en sitio– están buscando ayuda de contratistas de seguridad externos.
Baker dijo que Mediaocean utiliza una empresa que les ayuda con la detección de intrusos y otras evaluaciones de seguridad, incluyendo los intentos regulares de introducirse en el sistema de una manera controlada.
"Están tratando de encontrar cualquier cosa que se expone públicamente que podría ser una puerta de entrada", dijo. "Yo recomiendo que, aparte de lo que una organización hace por su propia cuenta, usted necesita un tercero para realizar pruebas. Usted vive solo en su mundo, pero ellos viven y respiran seguridad”.
Beckley dijo que muchos de los clientes de Appian están haciendo una mezcla de proyectos de codificación personalizados,junto con la adopción de más tecnología de la plataforma y de nube como formas de reducir su superficie interna de ataque. También ayuda limitar a los proveedores externos y otros socios comerciales de tener acceso a ciertos sistemas sensibles de back office.
"Cada vez que un programador escribe una línea de código, podría estar escrita para crear una nueva vulnerabilidad", dijo. "Eso no significa que las plataformas son perfectamente seguras, pero es una manera de tratar de simplificar las cosas a un conjunto manejable de desafíos".
Planear para un desastre
Los CIO saben que prevenir totalmente un ataque puede ser casi imposible –que es por lo cual tener un plan concreto implementado en caso de que se produzca un ataque es una necesidad.
“Usted es ingenuo si cree que va a prevenirlo todo. Hay que asumir que esto podría sucederle en algún momento", dijo Baker. "Ahora se trata no solo de prevenir ataques, sino de manejarlos y minimizar el daño después de que ocurre un ataque. Es un importante cambio de mentalidad porque en el pasado, usted lo pudo haber manejado más sobre la marcha. Eso no es suficiente en el mundo actual".
Al planificar cómo manejar un desastre de datos, no debería importar tanto cómo se produjo el problema sino como lidiar con él, dijo Heiser.
"Una de las bellezas de la planificación de contingencia es que no es necesario predecir el tipo de comportamiento. A usted no le importa si el servicio fue bajado por una inundación, por un hacker o por los extraterrestres", dijo Heiser. "El punto es determinar qué pérdida de servicio es aceptable y qué contingencias están establecidas para restaurar el servicio”.
Cuando se produce un asalto cibernético, la propia limpieza es a menudo destructiva para los negocios, sobre todo si la empresa tiene que cerrar todas las operaciones.
De hecho, el costo de una violación de datos aumentó un 23% este año, según el Instituto Ponemon, una organización de investigación que se especializa en la protección de datos, la privacidad y la seguridad cibernética. Le toma a una gran organización un promedio de 31 días, a un costo de 20,000 dólares por día, limpiar y remediar después de un ataque cibernético.
"Es un proceso complejo. A veces las empresas tienen que contratar a expertos forenses", dijo Ponemon.
Algunos de los costos son tangibles, tales como el costo de la investigación de la violación, así como notificar a los clientes, pero las empresas también pueden llegar a perder prestigio y clientes de pago futuros, cuanto más tiempo tome remediar la brecha. Porque el tiempo es dinero, el CTO de la startup especializada en seguridad de punto final, dijo que los planes de contingencia deben incluir decisiones sobre qué aplicaciones se pueden apagar y cuáles deben continuar tarareando mientras un ataque está en curso.
"Si nos fijamos en la forma en que los coches se construyen, si su coche choca contra algo, el guardabarros puede ser destruido, pero salva la vida de todos los ocupantes. Así que hay que estar dispuestos a desechar parte del coche", dijo. Ese es el enfoque que su firma tomó para sus propias operaciones, separando las aplicaciones críticas de negocio de sistemas que, si fuera necesario, la compañía podría "dejar que se aplaste o desechar”.
"¿Podemos apagar parte del sistema y dejar que el atacante tome el control total sobre eso, pero mantenerlos allí para que no puedan venir por el resto de su sistema? Se trata de encontrar la manera de contener el problema, para que tenga un poco más control", dijo.
Miedo a lo desconocido
Lo que hace tan difícil la seguridad de TI –e incluso lo que produce ansiedad en muchos líderes empresariales– es lo desconocido: no saber si una brecha de seguridad ha ocurrido incluso en sus propias narices.
"La seguridad se cae por el borde con una pérdida de datos constante e infinita de menor importancia. La mayoría de las fugas no se detectan", dijo Heiser.
El tiempo promedio que toma detectar una fuga de datos es de 170 días, y si la brecha implica un insider malicioso, el número crece a 260 días, según el Instituto Ponemon.
"Los chicos malos están robando cosas, y usted ni siquiera lo sabe", dijo Ponemon. "Algunas personas nunca se enteran que han sido hackeadas".
Y así, los CIO y sus equipos de TI en estos días gastan una enorme cantidad de recursos –tiempo, energía y dinero– analizando cómo otras empresas fueron hackeadas para poder conectar sus propios agujeros en un intento sin fin de evitar convertirse en la próxima empresa empujada hacia el reflector de las brechas.
Las nuevas tácticas y el refuerzo de los buenos hábitos de seguridad sin duda han ayudado a construir cercas alrededor de los datos, dijeron los CIO, aunque muchos añaden que no tienen la ilusión de que cualquier sistema sea a prueba de tontos. Cuando se trata de seguridad, no hay bala de plata, observó Beckley de Appian.
"No podemos relajarnos. Estas brechas son un recordatorio de la necesidad de la humildad. Se necesita un monitoreo continuo y vigilancia persistente", dijo. "Es una carrera armamentista No hay que ganarla; solo no hay que perderla”.