El factor humano de la ciberseguridad: Lecciones del Pentágono

La gran mayoría de las empresas están más expuestas a los ciberataques de lo que tienen que estar. Para cerrar las brechas en su seguridad, los CEO pueden seguir el ejemplo del ejército estadounidense. Antaño un coloso vulnerable de la IT, se está convirtiendo en un hábil operador de redes bien defendidas. Hoy en día, los militares pueden detectar y remediar intrusiones en cuestión de horas, si no de minutos. Sólo entre septiembre de 2014 y junio de 2015, repelió más de 30 millones de ataques maliciosos conocidos en los límites de sus redes. Del pequeño número que logró pasar, menos del 0,1% comprometió de algún modo los sistemas. Dada la sofisticación de los ciberataques del ejército, ese récord es una hazaña significativa. Una lección clave de la experiencia militar es que, aunque las mejoras técnicas son importantes, minimizar los errores humanos es aún más crucial. Los errores de los administradores y usuarios de la red -no parchear las vulnerabilidades de los sistemas heredados, configuraciones erróneas, violaciones de los procedimientos estándar- abren la puerta a la inmensa mayoría de los ataques con éxito. El enfoque militar para abordar esta dimensión de la seguridad debe mucho al almirante Hyman Rickover, el "Padre de la Marina Nuclear". En sus más de 60 años de existencia, el programa de propulsión nuclear que él ayudó a lanzar no ha sufrido ni un solo accidente. Rickover se centró intensamente en el factor humano, ocupándose de que los operadores de las plantas de propulsión a bordo de los buques de propulsión nuclear recibieran una formación rigurosa para evitar errores y detectar y corregir anomalías antes de que se convirtieran en graves averías. El Departamento de Defensa de Estados Unidos ha ido adoptando protocolos similares a los de Rickover en su lucha por frustrar los ataques a sus sistemas IT. Dos de los autores de este artículo, Sandy Winnefeld y Christopher Kirchhoff, estuvieron muy implicados en esos esfuerzos. El propósito del artículo es compartir el enfoque del departamento para que los líderes empresariales puedan aplicarlo en sus propias organizaciones. Lecturas complementarias El peligro desde dentro Al igual que el Departamento de Defensa, las empresas están sometidas a un bombardeo constante de todo tipo de fuentes: estados-nación, sindicatos criminales, cibervándalos, intrusos contratados por competidores sin escrúpulos, personas internas descontentas. Los ladrones han robado o puesto en peligro la información personal o de tarjetas de crédito de cientos de millones de clientes, incluidos los de Sony, Target, Home Depot, Neiman Marcus, JPMorgan Chase y Anthem. Han conseguido robar información privilegiada sobre yacimientos de petróleo y gas a empresas energéticas en el mismo momento en que se terminaban los estudios geológicos. Han birlado estrategias de negociación de redes corporativas internas en la fase previa a grandes acuerdos, y datos sobre sistemas de armamento de contratistas de defensa. Y en los últimos tres años las intrusiones en infraestructuras críticas de Estados Unidos -sistemas que controlan las operaciones en los sectores químico, eléctrico, del agua y del transporte- se han multiplicado por 17. No es de extrañar, pues, que el gobierno estadounidense haya hecho de la mejora de la ciberseguridad tanto en el sector público como en el privado una prioridad nacional. Pero, como subraya el reciente hackeo de la Oficina de Gestión de Personal del gobierno federal, también es un reto monumental. El viaje cibernético de los militares Allá por 2009, el Departamento de Defensa, al igual que muchas empresas de hoy en día, cargaba con un vasto conjunto de sistemas IT y enfoques de seguridad dispares. Cada una de sus tres ramas militares, cuatro servicios uniformados y nueve comandos combatientes unificados había funcionado durante mucho tiempo como su propio centro de beneficios y pérdidas, con una discreción sustancial sobre sus inversiones en IT. En total, el departamento contaba con 7 millones de dispositivos que operaban a través de 15.000 enclaves de red, todos dirigidos por diferentes administradores de sistemas, que configuraban sus partes de la red según diferentes estándares. No era una receta ni para la seguridad ni para la eficacia. Ese año, reconociendo tanto las oportunidades de una mayor coherencia como la necesidad de frenar el aumento de incidentes dañinos, Robert Gates, entonces secretario de Defensa, creó el Mando Cibernético de Estados Unidos. Con él, las operaciones de red de todo el dominio .mil quedaron bajo la autoridad de un oficial de cuatro estrellas. Simultáneamente, el departamento comenzó a consolidar sus desparramadas redes, colapsando los 15.000 sistemas en una única arquitectura unificada denominada Entorno de Información Conjunta. El trabajo ha sido minucioso, pero pronto los barcos, submarinos, satélites, naves espaciales, aviones, vehículos, sistemas de armas y todas las unidades del ejército estarán conectados en una estructura común de mando y control que abarcará todos los dispositivos de comunicación. Lo que antes era un amasijo de más de 100.000 administradores de red con diferentes cadenas de mando, normas y protocolos está evolucionando hacia un cuadro de élite de defensores de la red estrechamente dirigido. Al mismo tiempo, el Mando Cibernético de Estados Unidos ha estado actualizando la tecnología militar. Sensores sofisticados, análisis y "pilas de seguridad" consolidadas -suites de equipos que realizan diversas funciones, entre ellas el análisis de big data- están dando a los administradores de red una visibilidad mayor que nunca. Ahora pueden detectar rápidamente las anomalías, determinar si suponen una amenaza y alterar la configuración de la red en respuesta. La interconexión de redes antes separadas sí introduce nuevos riesgos (por ejemplo, que el malware se propague por los sistemas o que una vulnerabilidad en un sistema permita a alguien robar datos de otro). Pero éstos se ven ampliamente superados por las ventajas: supervisión centralizada, defensas estandarizadas, fácil actualización y reconfiguración instantánea en caso de ataque. (Las redes clasificadas están desconectadas de las no clasificadas, por supuesto). El Departamento de Defensa de EE.UU. experimenta 41M de escaneos, sondeos y ataques al mes. Fuente Informe Norton 2013, Symantec Sin embargo, la arquitectura unificada y la tecnología punta son sólo una parte de la respuesta. En casi todas las penetraciones en la red .mil, las personas han sido el eslabón débil. El Estado Islámico se hizo brevemente con el control del Twitter del Mando Central de Estados Unidos en 2015 aprovechando una cuenta individual que no había sido actualizada a la autenticación de doble factor, una medida básica que exige a los usuarios verificar su identidad mediante una contraseña más un generador de números de token o un chip cifrado. En 2013, un país extranjero se adentró durante cuatro meses en la red no clasificada de la Marina estadounidense aprovechando un fallo de seguridad en un sitio web de acceso público que los expertos en IT de la Marina conocían, pero no corrigieron. La brecha más grave en una red clasificada se produjo en 2008, cuando, violando el protocolo, un miembro del Mando Central en una base de Oriente Próximo introdujo una unidad de memoria USB cargada con malware directamente en una máquina de escritorio segura. Aunque las recientes intrusiones demuestran que la seguridad hoy en día no es perfecta ni mucho menos, el rendimiento humano y técnico de los administradores y usuarios de las redes militares es mucho más sólido según una serie de medidas de lo que era en 2009. Un punto de referencia son los resultados de las inspecciones de ciberseguridad de los mandos, cuyo número ha aumentado de 91 en 2011 a las 285 previstas para 2015. A pesar de que los criterios de calificación se han vuelto más estrictos, el porcentaje de comandos que recibieron una calificación de aprobado -lo que demuestra que están "ciberpreparados"- ha aumentado del 79% en 2011 a más del 96% este año. Las empresas también tienen que abordar el riesgo de error humano. Los hackers penetraron en JPMorgan Chase aprovechando un servidor cuya configuración de seguridad no se había actualizado a la autenticación de doble factor. La exfiltración de 80 millones de registros personales de la aseguradora sanitaria Anthem, en diciembre de 2014, fue casi con toda seguridad el resultado de un correo electrónico de "spear phishing" que comprometió las credenciales de varios administradores de sistemas. Estos incidentes subrayan el hecho de que los errores se producen tanto entre los profesionales de IT como entre el personal en general. Múltiples estudios demuestran que la mayor parte de los ataques pueden evitarse simplemente parcheando las vulnerabilidades conocidas y asegurándose de que las configuraciones de seguridad están correctamente establecidas. Lecturas complementarias Vea su empresa a través de los ojos de un hacker La lección clara aquí es que las personas importan tanto o más que la tecnología. (La tecnología, de hecho, puede crear una falsa sensación de seguridad.) Los ciberdefensores necesitan crear "organizaciones de alta fiabilidad", construyendo una cultura excepcional de alto rendimiento que minimice los riesgos de forma sistemática. "Tenemos que ir más allá de centrarnos sólo en la parte tecnológica", ha dicho el almirante Mike Rogers, que supervisa el Mando Cibernético de Estados Unidos. "Se trata de ética. Se trata de cultura. [Se trata de] cómo tripulas, entrenas y equipas a tu organización, cómo la estructuras, los conceptos operativos que aplicas." La organización de alta fiabilidad El concepto de organización de alta fiabilidad, u HRO, surgió por primera vez en empresas en las que las consecuencias de un solo error pueden ser catastróficas. Tomemos como ejemplo las líneas aéreas, el sistema de control del tráfico aéreo, los vuelos espaciales, las centrales nucleares, la lucha contra los incendios forestales y los trenes de alta velocidad. En estas operaciones altamente técnicas, la interacción de sistemas, subsistemas, operadores humanos y el entorno externo da lugar con frecuencia a desviaciones que deben corregirse antes de que se conviertan en problemas desastrosos. Estas organizaciones están muy lejos de las fábricas "ajustadas" de mejora continua. Sus operarios y usuarios no pueden permitirse el lujo de aprender de sus errores. Operar con seguridad una tecnología que es intrínsecamente arriesgada en un entorno peligroso y complejo requiere algo más que invertir en la mejor ingeniería y los mejores materiales. Las organizaciones de alta fiabilidad poseen una profunda conciencia de sus propias vulnerabilidades, están profundamente comprometidas con principios operativos probados y altos estándares, articulan claramente la rendición de cuentas e indagan vigilantemente las fuentes de fallos. Michael Byers El programa de propulsión nuclear de la Marina estadounidense es posiblemente la HRO con el historial más largo. Hacer funcionar un reactor nuclear en un submarino en las profundidades del océano, sin comunicación con ninguna asistencia técnica durante largos periodos de tiempo, no es una hazaña pequeña. El almirante Rickover impulsó una estricta cultura de excelencia en cada nivel de la organización. (Tan dedicado estaba a garantizar que sólo entraran en el programa personas que pudieran manejar esa cultura que, durante sus 30 años al timón, entrevistó personalmente a todos los oficiales que solicitaban entrar en él, una práctica que han continuado todos sus sucesores). En el corazón de esa cultura hay seis principios interconectados, que ayudan a la marina a eliminar y contener el impacto del error humano. 1. Integridad. Con esto nos referimos a un ideal profundamente interiorizado que lleva a la gente, sin excepción, a eliminar los "pecados de comisión" (desviaciones deliberadas del protocolo) y a reconocer inmediatamente los errores. La marina nuclear lo inculca a la gente desde el primer día, dejando claro que no hay segundas oportunidades para los lapsus. De este modo, no sólo es poco probable que los trabajadores tomen atajos, sino también muy probable que notifiquen a los supervisores cualquier error de inmediato, para que puedan corregirse rápidamente y no requieran largas investigaciones posteriores, después de que se haya producido un problema. Los operadores de las plantas de propulsión informan fielmente de cualquier anomalía que supere un umbral bajo de gravedad a la sede técnica central del programa. Los oficiales al mando de los buques son plenamente responsables de la salud de sus programas, incluida la honestidad en la presentación de informes. 2. Profundidad de conocimientos. Si las personas comprenden a fondo todos los aspectos de un sistema -incluida la forma en que está diseñado, sus vulnerabilidades y los procedimientos necesarios para hacerlo funcionar- reconocerán más fácilmente cuándo algo va mal y gestionarán cualquier anomalía con mayor eficacia. En la marina nuclear, los operadores reciben una formación rigurosa antes de poner las manos en una planta propulsora real y son supervisados de cerca hasta que adquieren la destreza necesaria. A partir de entonces, se someten a controles periódicos, a cientos de horas de formación adicional y a simulacros y pruebas. Los capitanes de los barcos deben supervisar regularmente la formación e informar trimestralmente sobre la competencia de la tripulación. 3. Cumplimiento de los procedimientos. En los buques nucleares, los trabajadores deben conocer -o saber dónde encontrar- los procedimientos operativos adecuados y seguirlos al pie de la letra. También se espera de ellos que reconozcan cuándo una situación ha eclipsado los procedimientos escritos existentes y se requieren otros nuevos. Una de las formas que tiene la marina nuclear de maximizar el cumplimiento es a través de su amplio sistema de inspecciones. Por ejemplo, cada buque de guerra se somete periódicamente a duros Exámenes de Salvaguardia del Reactor Operacional, que implican pruebas escritas, entrevistas y observaciones de las operaciones diarias y de las respuestas a emergencias simuladas. Además, un inspector de la oficina regional de Reactores Navales puede subir a bordo en cualquier momento en que un buque se encuentre en puerto, sin previo aviso, para observar las operaciones y el mantenimiento en curso de la central. El oficial al mando del buque es responsable de cualquier discrepancia que pueda encontrar el inspector. 4. Respaldo forzoso. Cuando una central de propulsión nuclear está en funcionamiento, los marineros que la controlan realmente -incluso los que tienen mucha experiencia- son siempre vigilados de cerca por el personal superior. Cualquier acción que suponga un alto riesgo para el sistema tiene que ser realizada por dos personas, no sólo por una. Y cada miembro de la tripulación -incluso la persona más junior- está facultada para detener un proceso cuando surja un problema. 5. Una actitud inquisitiva. Esto no es fácil de cultivar en ninguna organización, especialmente en una con una estructura de rangos formal en la que el cumplimiento inmediato de las órdenes es la norma. Sin embargo, esta mentalidad tiene un valor incalculable: Si se entrena a las personas para que escuchen sus campanas de alarma internas, busquen las causas y luego tomen medidas correctivas, las posibilidades de que se adelanten a los problemas aumentan drásticamente. Los operarios con actitudes inquisitivas comprueban dos y tres veces el trabajo, permanecen alerta ante las anomalías y nunca se dan por satisfechos con una respuesta poco rigurosa. Preguntar simplemente por qué las lecturas horarias de un oscuro instrumento entre cien están cambiando de forma anormal o por qué una red está mostrando un comportamiento determinado puede evitar daños costosos en todo el sistema. 6. Formalidad en la comunicación. Para minimizar la posibilidad de que se den o reciban instrucciones incorrectas en momentos críticos, los operadores de las naves nucleares se comunican de una manera prescrita. Quienes dan las órdenes o instrucciones deben exponerlas con claridad y los receptores deben repetirlas textualmente. La formalidad también significa establecer una atmósfera de gravedad apropiada eliminando la charla trivial y la familiaridad personal que pueden conducir a la falta de atención, suposiciones erróneas, pasos omitidos u otros errores. Las violaciones de la ciberseguridad causadas por errores humanos casi siempre implican la violación de uno o más de estos seis principios. He aquí una muestra de algunos que el Departamento de Defensa descubrió durante ejercicios de prueba rutinarios: Un educado oficial del cuartel general sostuvo la puerta a otro oficial, que en realidad era un intruso que llevaba una tarjeta de identificación falsa. Una vez dentro, el intruso podría haber instalado malware en la red de la organización. Principios violados: cumplimiento de los procedimientos y actitud inquisitiva. Un administrador de sistemas, navegando por la red desde su cuenta elevada, que tenía menos restricciones automáticas, descargó un popular videoclip que era "viral" en más de un sentido. Principios violados: integridad y cumplimiento de los procedimientos. Una funcionaria hizo clic en un enlace de un correo electrónico que prometía descuentos para compras en línea, lo que en realidad era un intento de los examinadores de colocar una puerta trasera de phishing en su puesto de trabajo. Principios violados: actitud inquisitiva, profundidad de conocimientos y cumplimiento de los procedimientos. Un nuevo administrador de red instaló una actualización sin leer la guía de implementación y sin supervisión. Como resultado, las actualizaciones de seguridad anteriores quedaron "sin parche". Principios violados: profundidad de conocimientos, cumplimiento de los procedimientos y respaldo contundente. Un servicio de asistencia de red restableció una conexión en una oficina sin investigar por qué se había desactivado la conexión en primer lugar, a pesar de que el motivo podría haber sido un apagado automático para evitar la conexión de un ordenador o usuario no autorizado. Principios violados: cumplimiento de los procedimientos y actitud inquisitiva. Creación de una organización IT de alta fiabilidad Sin duda, cada organización es diferente. Así que los líderes deben tener en cuenta dos factores a la hora de diseñar el enfoque y el calendario para convertir sus empresas en HRO ciberseguras. Uno es el tipo de empresa y su grado de vulnerabilidad a los ataques. (Los servicios financieros, la fabricación, las empresas de servicios públicos y las grandes empresas minoristas están especialmente en riesgo). Otra es la naturaleza de la mano de obra. Una mano de obra creativa formada predominantemente por Millennials acostumbrados a trabajar desde casa con herramientas de colaboración en línea presenta un reto diferente al de los empleados de ventas o fabricación acostumbrados a entornos estructurados con muchas reglas. Es más fácil crear una cultura de reglas para los administradores de red y el personal de ciberseguridad que para toda una plantilla. Sin embargo, esto último es ciertamente posible, incluso si una empresa tiene un gran número de empleados y una cultura establecida. Sea testigo de las muchas empresas que han cambiado con éxito sus culturas y enfoques operativos para aumentar la calidad, la seguridad y la igualdad de oportunidades. Sea cual sea la dinámica de sus organizaciones, los líderes pueden aplicar una serie de medidas para integrar los seis principios en las rutinas diarias de los empleados. Tome las riendas. Una encuesta reciente realizada por la Universidad de Oxford y el Centro para la Protección de la Infraestructura Nacional del Reino Unido reveló que la preocupación por la ciberseguridad era significativamente menor entre los directivos dentro de la C-suite que entre los directivos fuera de ella. Esta miopía en la cúpula es un problema grave, dadas las consecuencias financieras de los ciberataques. En un estudio realizado en 2014 por el Instituto Ponemon, el coste medio anualizado de los ciberdelitos sufridos por una muestra de referencia de empresas estadounidenses fue de 12,7 millones de dólares, lo que supone un aumento del 96% en cinco años. Mientras tanto, el tiempo necesario para resolver un ciberataque había aumentado un 33%, por término medio, y el coste medio incurrido para resolver un solo ataque ascendía a más de 1,6 millones de dólares. El coste global anual de la ciberdelincuencia contra los consumidores asciende a 113.000 millones de dólares. Fuente Informe Norton 2013, Symantec La realidad es que si los CEO no se toman en serio las amenazas a la ciberseguridad, sus organizaciones tampoco lo harán. Puede apostar a que Gregg Steinhafel, que fue destituido de Target en 2014 después de que los ciberdelincuentes robaran la información de sus clientes, desearía haberlo hecho. Los jefes ejecutivos saben que consolidar su batiburrillo de sistemas de red, como ha hecho el Departamento de Defensa, es importante. Pero muchos no se mueven con la suficiente rapidez, sin duda porque esta tarea puede ser ingente y costosa. Además de acelerar ese esfuerzo, deben reunir a todo su equipo directivo -directivos técnicos y de línea, y recursos humanos- para hacer que las personas, los principios y los sistemas de IT trabajen juntos. Es fundamental insistir repetidamente en la importancia de las cuestiones de seguridad. Y los CEO deben resistirse a las garantías generales de los CIO que afirman que ya están adoptando prácticas de alta fiabilidad y dicen que todo lo que se necesita es un aumento del presupuesto de seguridad o las herramientas de seguridad más novedosas. Los CEO deben plantearse a sí mismos y a sus equipos directivos preguntas difíciles sobre si están haciendo todo lo posible para crear y mantener una cultura de alta fiabilidad. ¿Se aseguran los administradores de red de que las funciones de seguridad de los sistemas están activadas y actualizadas? ¿Cómo se realizan las auditorías puntuales sobre el comportamiento y qué ocurre si se detecta un fallo significativo? ¿Qué programas de formación estandarizados para los aspectos técnicos y de comportamiento de la ciberseguridad existen y con qué frecuencia se actualizan? ¿Las tareas de ciberseguridad más importantes, incluida la manipulación de ajustes que podrían exponer el sistema, se llevan a cabo formalmente, con el tipo de respaldo adecuado? En esencia, los CEO deben preguntarse constantemente qué significan en sus organizaciones la integridad, la profundidad de los conocimientos, el cumplimiento de los procedimientos, una copia de seguridad contundente, una actitud cuestionadora y la formalidad. Mientras tanto, los consejos de administración, en su papel de supervisión, deben preguntarse si la dirección está teniendo en cuenta adecuadamente la dimensión humana de la ciberdefensa. (Y, de hecho, muchos están empezando a hacerlo). Haga que todos rindan cuentas. Los mandos militares son ahora responsables de la buena gestión de la tecnología de la información, y también lo son todos los escalafones inferiores. El Departamento de Defensa y el Mando Cibernético de EE.UU. están estableciendo un sistema de informes que permite a las unidades hacer un seguimiento de sus infracciones y anomalías de seguridad en un sencillo cuadro de mando. Antes, la información sobre quién cometía un error y su gravedad sólo la conocían los administradores de sistemas, si es que se hacía algún seguimiento. Pronto, los altos mandos podrán supervisar el rendimiento de las unidades casi en tiempo real, y ese rendimiento será visible para personas de niveles mucho más altos. Póngase a prueba ¿Es usted una amenaza cibernética para su organización? El objetivo es que la seguridad de la red sea una prioridad cotidiana para las tropas, tanto como mantener sus fusiles limpios y operativos. Todos los miembros de un servicio armado deben conocer y cumplir las normas básicas de higiene de la red, incluidas las destinadas a evitar que los usuarios introduzcan hardware potencialmente contaminado, descarguen software no autorizado, accedan a un sitio web que pueda comprometer las redes o sean presa de correos electrónicos de phishing. Cuando se incumple una norma, y especialmente si se trata de una cuestión de integridad, se espera que los mandos disciplinen al infractor. Y si se detecta un clima de complacencia en una unidad, el comandante será juzgado en consecuencia. Las empresas deberían hacer lo mismo. Aunque no siempre disponen de las mismas medidas, todos los directivos -desde el CEO hacia abajo- deberían ser responsables de garantizar que sus subordinados siguen las prácticas de ciberseguridad. Los directivos deben entender que ellos, junto con los empleados en cuestión, tendrán que rendir cuentas. Todos los miembros de la organización deberían reconocer que son responsables de las cosas que pueden controlar. Esta no es la norma en muchas empresas. Instituya normas uniformes y una formación y certificación gestionadas de forma centralizada. El Mando Cibernético de EE.UU. ha desarrollado normas para garantizar que cualquier persona que opere o utilice una red militar esté certificada para hacerlo, cumpla unos criterios específicos y reciba una nueva formación a intervalos adecuados. El personal de los equipos dedicados a la defensa de las redes recibe una amplia formación formal. Para estos ciberprofesionales, el Departamento de Defensa se está orientando hacia el modelo establecido por la marina nuclear: instrucción en el aula, autoestudio y, al final del proceso, un examen formal calificado. Para crear una cantera amplia y profunda de defensores, las academias militares exigen a todos los asistentes que tomen cursos de ciberseguridad. Dos academias ofrecen una licenciatura en ciberoperaciones y otras dos ofrecen licenciaturas menores. Todos los servicios cuentan ahora con escuelas de formación avanzada y trayectorias profesionales específicas para especialistas en ciberseguridad. El ejército también está incorporando la ciberseguridad a los programas de formación continua para todo el personal. En cambio, son relativamente pocas las empresas que cuentan con una formación cibernética rigurosa para las bases, y las que la tienen rara vez la aumentan con cursos de actualización o sesiones informativas a medida que surgen nuevas amenazas. No basta con informar a los empleados por correo electrónico sobre los nuevos riesgos. Tampoco lo hace la práctica común de exigir a todos los empleados que sigan un curso anual que consiste en pasar una o dos horas repasando las políticas digitales, con un breve cuestionario después de cada módulo. Hay que admitir que las medidas más intensivas consumen mucho tiempo y son una distracción del día a día, pero son imprescindibles para las empresas de todos los tamaños. Deben ser tan sólidas como los programas para hacer cumplir las prácticas éticas y de seguridad, y las empresas deben hacer un seguimiento de la asistencia. Después de todo, sólo hace falta una persona sin formación para provocar una brecha. Acoplar la formalidad con un respaldo contundente. En 2014, el ejército de EE.UU. creó un constructo que explicaba con gran detalle su estructura de mando y control cibernético, especificando quién está a cargo de qué y a qué niveles se gestionan y cambian las configuraciones de seguridad en respuesta a los eventos de seguridad. Ese marco claro de información y responsabilidades está respaldado por una salvaguarda adicional: Cuando se realizan actualizaciones de seguridad en partes fundamentales de la red del Departamento de Defensa o los administradores de sistemas acceden a áreas donde se almacena información sensible, entra en vigor una regla de dos personas. Ambas personas deben estar pendientes de la tarea y estar de acuerdo en que se ha realizado correctamente. Esto añade un grado extra de fiabilidad y reduce drásticamente el riesgo de ataques de lobos solitarios con información privilegiada. Michael Byers No hay ninguna razón por la que las empresas no puedan hacer también estas cosas. La mayoría de las grandes empresas ya han podado agresivamente su lista de usuarios "privilegiados" del sistema y han creado procesos para retirar los derechos de acceso a los contratistas que abandonan un proyecto y a los empleados que dejan la empresa. Las empresas medianas y pequeñas deberían hacer lo mismo. Una forma de respaldo puede ser un software barato y fácil de instalar que avise a los empleados cuando transfieran o descarguen información confidencial o que les impida hacerlo y luego supervise sus acciones. Recordar regularmente a los empleados que se supervisa su cumplimiento de las normas de seguridad reforzará una cultura de alta fiabilidad. Compruebe sus defensas. En junio de 2015, el Mando Cibernético de EE.UU. y el Departamento de Defensa anunciaron la realización de pruebas operativas exhaustivas tanto para los administradores de red como para los usuarios. El ejército también está estableciendo normas rigurosas para las inspecciones de ciberseguridad y coordinando estrechamente los equipos que las realizan. Las empresas también deberían seguir su ejemplo en este sentido. Aunque muchas grandes empresas realizan auditorías de seguridad, a menudo se centran en la vulnerabilidad de las redes a los ataques externos y prestan muy poca atención a los comportamientos de los empleados. Los CEO deberían plantearse invertir más en capacidades para probar las prácticas operativas de IT y ampliar el papel de la función de auditoría interna para incluir la tecnología, las prácticas y la cultura de la ciberseguridad. (Los consultores externos también pueden prestar este servicio). Además de las auditorías programadas, las empresas deberían realizar controles aleatorios al azar. Éstos son muy eficaces para contrarrestar los atajos y compromisos que se cuelan en el lugar de trabajo, como transferir material confidencial a un portátil no seguro para trabajar en él en casa, utilizar servicios públicos en la nube para intercambiar información sensible y compartir contraseñas con otros empleados. Es importante descubrir -y corregir- estos comportamientos antes de que deriven en un problema grave. Elimine el miedo a la honestidad y aumente las consecuencias de la deshonestidad. Los líderes deben tratar los errores involuntarios y ocasionales como oportunidades para corregir los procesos que permitieron que se produjeran. Sin embargo, no deben dar segundas oportunidades a las personas que violan intencionadamente las normas y los procedimientos. Edward Snowden pudo acceder a información clasificada convenciendo a otro empleado civil para que introdujera su contraseña en la estación de trabajo de Snowden. Fue una gran violación del protocolo por la que el empleado fue despedido con toda justicia. Hizo que muchos líderes militares se dieran cuenta de que una cultura operativa que hiciera hincapié en la integridad, la actitud inquisitiva, el respaldo contundente y el cumplimiento de los procedimientos podría haber creado un entorno en el que Snowden habría sido detenido en seco. Semejante infracción de las normas habría sido impensable en el departamento de reactores de un buque de la Armada. El Departamento de Defensa está consolidando 15.000 redes en una única arquitectura unificada. Fuente Departamento de Defensa de EE.UU. Al mismo tiempo, hay que animar a los empleados a que reconozcan sus errores inocentes. Cuando los operadores de una planta de propulsión nuclear descubren un error, están condicionados a revelarlo rápidamente a sus supervisores. Del mismo modo, un usuario de la red que haga clic inadvertidamente en un correo electrónico o una página web sospechosos debería estar condicionado a informar de ello sin miedo a la censura. Por último, debe ser fácil para todos en la organización hacer preguntas. Los operarios de las plantas de propulsión están entrenados para consultar inmediatamente a un supervisor cuando se encuentran con una situación desconocida que no están seguros de cómo manejar. Del mismo modo, al garantizar que todos los empleados puedan obtener ayuda fácilmente de una línea directa o de sus jefes, las empresas pueden reducir la tentación de adivinar o esperar que una acción concreta sea segura. Sí, estamos pidiendo un enfoque mucho más formal y regimentado que el que muchas empresas emplean ahora. Con las ciberamenazas planteando un peligro claro y presente para las empresas individuales y, por extensión, para la nación, no hay alternativa. Se necesitan normas y principios para tapar los numerosos agujeros de las ciberdefensas estadounidenses. ¿No podrían las empresas centrarse simplemente en proteger sus joyas de la corona? No. En primer lugar, eso significaría múltiples normas de ciberseguridad, que serían difíciles de gestionar y, por tanto, peligrosas. En segundo lugar, las joyas de la corona a menudo no son lo que uno cree que son. (Se podría argumentar que la filtración de correos electrónicos embarazosos fue el aspecto más perjudicial del ataque de los hackers norcoreanos a Sony Pictures Entertainment). Por último, los hackers a menudo pueden acceder a datos o sistemas muy sensibles a través de un sistema aparentemente de bajo nivel, como el correo electrónico. Una empresa necesita un enfoque común para proteger todos sus datos. Capacidad técnica, excelencia humana En la última década, la tecnología de red ha pasado de ser una simple utilidad que podía darse por sentada a un motor de operaciones importante pero vulnerable, cuya seguridad es una prioridad corporativa de primer orden. El creciente número de ciberataques lo ha dejado meridianamente claro. La tecnología por sí sola no puede defender una red. Reducir los errores humanos es al menos tan importante, si no más. Adoptar los principios que un almirante irascible implantó en la marina nuclear hace más de 60 años es la forma de hacerlo. Construir y alimentar una cultura de alta fiabilidad requerirá la atención personal de los CEO y sus consejos de administración, así como inversiones sustanciales en formación y supervisión. La ciberseguridad no será barata. Pero estas inversiones deben hacerse. La seguridad y la viabilidad de las empresas -así como las economías de las naciones en las que hacen negocios- dependen de ello.

El factor humano de la ciberseguridad: Lecciones del Pentágono

Resumen.

Partner Center