Hoy voy a hablar de lo mío. Quien me conoce sabe que soy una persona bastante positiva y optimista, pienso que todo siempre va a salir bien, por eso me meto en aventuras descabelladas y con muy pocas probabilidades de éxito cómo montar empresas.
Pero paradójicamente, mi trabajo consiste en pensar que algo puede salir mal y qué voy a hacer entonces. Me dedico a la ciberseguridad y dada la pandemia de incidentes y ataques exitosos que estamos viviendo últimamente, creo que este artículo viene a cuento.
Por no irnos muy atrás, esta semana ha sido a Mercedes Benz y a la mismísima OTAN, la semana pasada a EA Sports le robaron código fuente por valor de millones y a Volkswagen le robaron información de unos 3 millones de clientes.
Para saber de la dimensión de lo que estamos hablando, el ciber crimen ya es la actividad delictiva que más dinero mueve del mundo, por delante de las drogas, la prostitución o la venta ilegal de armas que eran las clásicas, y para ejercerla no hay ni siquiera que salir de casa ni matar o secuestrar gente.
La gasolina del negocio es la información, hay un mercado negro de información donde la pieza más barata suele ser una dirección de email que cuesta alrededor de 1€ y lo más caro un historial médico que cuesta alrededor de 1.000€. La propiedad intelectual de las empresas ya es una subasta y hay algunas que se venden por ( muchos ) millones. Esto es lo que cuesta el insumo de producción de la industria del ciber crimen, lo que logran con ello es muy superior.
Cuando roban información de 3M de clientes a alguien en realidad es como cuando roban armas de un silo militar, el robo de las armas en sí no es tanto el problema como lo que van a hacer con ellas. Hemos visto cómo empresas como Cambridge Analítica, sólo con información “pública” que compraba a Facebook probablemente ha influido lo suficiente como para llevar a Donald Trump a La Casa Blanca o a los Ingleses fuera de la Unión Europea. Y estamos hablando de empresas que supuestamente o casi, actuaban dentro de la ley.
Cuando hablamos de seguridad de la información básicamente hablamos de proteger y mantener tres cosas:
La primera es la Confidencialidad que indica que esta debe ser accesible sólo por la gente que está autorizada a ello. Cuando los malos acceden a esta información suelen hacer cosas malas como venderla a nuestra competencia, mandarnos publicidad, virus para secuestrar nuestro ordenador o intentar timarnos.
Después está la integridad; la información debe ser veraz y mantenerse así en el tiempo. Si esto no pasa puede que la cuenta bancaria de la factura de un proveedor no sea la suya sino la de un ruso o también puede ser que tu grupo sanguíneo que consta en los registros de un hospital no sea realmente el tuyo y no sobrevivas a tu próxima transfusión.
Por último está la disponibilidad; esto va de que siempre tengas acceso a tu información. Si en una empresa se pierde temporalmente el acceso a su información, la empresa se para. Si se pierde el acceso para siempre, la empresa muy probablemente desaparezca para siempre.
La situación ahora mismo es que la industria de la ciber delincuencia lo está petando, muy probablemente beneficiada por las decisiones imperiosamente “rápidas” que tuvieron que tomar muchas empresas para mandar a su gente a trabajar desde casa. La cosa se está poniendo tan fea que en la última cumbre del G7 en Londres se anunció que un ataque informático podría ser visto como un acto de guerra y tener respuesta militar. Pocos días después atacaron a la OTAN.. Sí, la cosa se está poniendo calentita.
Pero basta ya de hablar del problema y vayamos a la solución. Si yo tuviera que dar un consejo de oro de qué hacer para protegerse, sería que se entendiera lo que se conoce como el trilema de la seguridad.
Un trilema es un problema que tiene 3 variables contrapuestas de forma que sí favoreces una perjudicas a las otras. El trilema se resuelve cuando de alguna forma encuentras el equilibrio entre las 3 variables. En nuestro caso se enuncia de la forma siguiente: Imagina un triángulo equilátero que representa un sistema con 3 características (variables) cada una en un vértice. Estas son 1) funcionalidad, que el sistema haga muchas cosas, 2) usabilidad, que el sistema sea fácil y cómodo de usar, 3) seguridad, que el sistema tenga la capacidad de permanecer seguro en el tiempo. Las tres son características deseables de un sistema pero están contrapuestas, cuanta más funcionalidad tiene un sistema más difícil es aprender a usarlo y más difícil de securizar, cuanto más seguro menos funcionalidad tiene y más difícil de usar ( o suena el coñazo de las contraseñas con números símbolos..? ) y así con las tres.
En las empresas normalmente existe la figura del gerente de la empresa y del “informático” o departamento IT, normalmente este tándem sólo se encarga de que el sistema tenga muchas funcionalidades. En algunos casos muy contados los informáticos se apiadan de los usuarios y se esmeran para que el sistema, además de funcional, sea fácil de usar. Y las dos primeras se consiguen, como dicta el trilema, a costa de sacrificar la seguridad del sistema.
Por este motivo en la mayoría de marcos de seguridad como la ISO 27001 o el Esquema Nacional de Seguridad ya imponen la figura del encargado o responsable de seguridad, para hacer de contrapeso en el trilema al tándem anteriormente mencionado y para que alguien piense que algo de lo que hace el departamento de sistemas podría salir mal, cómo solucionarlo antes de que pase, y qué hacer si esto pasa.
Actualmente, y para hacernos la vida más fácil y funcional, hemos confiado nuestras empresas, relaciones personales, salud, coches, aviones, marcapasos, infraestructuras críticas, y un largo etcétera a las máquinas. Y no está mal, siempre que en la balanza haya alguien que piense que algo puede salir mal.
0