Reflexiones sobre el escenario de la Ciberseguridad pos-pandemia
Además de la tragedia a nivel humanidad, la Pandemia fue un gran incidente tecnológico. Hoy hay que convivir con los cambios que requiere este nuevo escenario y generar una nueva cultura de la Ciberseguridad. La incerteza está más presente que nunca, pero los expertos en Ciberseguridad debemos seguir tomando las mejores decisiones posibles. Analicemos juntos algunos aspectos clave.
El pasado 5 de mayo, la Organización Mundial de la Salud (OMS) anunció que la «emergencia sanitaria» por la pandemia de covid-19 se dio por terminada. Pero la OMS señaló que a pesar de que la fase de «emergencia» ha terminado, la pandemia no ha llegado a su fin. El anuncio se produjo de tres años después de que la organización declarara la enfermedad de Coronavirus una «emergencia sanitaria global», el nivel de alerta más alto de la OMS.
Esto nos recuerda que hace tres años tuvimos que, en cuestión de horas, implementar cosas como Teletrabajo Seguro para la mayoría de los Colaboradores de las Organizaciones y comprender que el perímetro de Seguridad de nuestros sistemas se había difuminado más allá de las WiFi hogareñas de las personas.
El problema de las tres curvas
Sabemos que para que una empresa tenga éxito en los negocios digitales debe cumplir con tres preceptos: demostrar que sabe cuidar el dinero de las personas, demostrar que sabe cuidar los datos de las personas y simplificarles al máximo la forma de operar. Para lograr estas condiciones y que no se generen fraudes e incidentes informáticos inmanejables, hace falta un alto grado de Ciberseguridad.
Cuando hablamos de alto grado de Ciberseguridad nos referimos a tres recursos principales: humanos capacitados, tecnológicos y tiempo. Sobre estos puntos debemos ser cuidadosos y comprender que no todo se puede tercerizar y confiar en que, porque se paga una suma de dinero mensual, los problemas los resuelven otros. Tercerizar siempre implica “gerenciar”, con la particularidad que los recursos que se gerencian no son propios y, parte de la calidad de ese servicio, estará dada por qué tan bien haya sido realizado el contrato, previendo las necesidades futuras, que es algo difícil de realizar.
La base de todo esto es poder realizar la inversión necesaria en recursos. En una región como América Latina esto puede ser más factible para organizaciones como Bancos convencionales, ya que estos suelen trasladar los costos directamente a los usuarios. Las denominadas “Fintech” y similares no pueden hacer esto de manera tan directa, por el escenario de competencia en el que deben sobrevivir. Si a alguien no le satisface cómo funciona una Aplicación, puede pasarse a otra en minutos.
Otro tema que se ha descuidado un poco en estos años es “demostrar saber cuidar los datos de las personas”. Si bien este es el segundo parámetro luego de “cuidar el dinero”, está cada vez presente a la hora de elegir una marca. La realidad es que una empresa que ha sufrido un robo de datos, difícilmente se pueda recuperar del impacto reputacional que ese evento le produjo, sobre todo si esto terminó en acciones de robo de identidad y fraudes digitales.
Eso nos lleva a que no sólo es suficiente un buen esquema de Ciberseguridad para la protección de los datos, sino que lo debe evaluar un tercero. En América Latina, casi todos los países tienen una Ley de protección de Datos Personales y cuentan con entes reguladores que verifican su cumplimiento. Yendo a temas más específicos, si se opera con números de Tarjeta de Crédito, se debe contar con una Certificación del PCI Council.
Cuando me refiero al problema de las tres curvas hablo de tres factores: la curva de desarrollo que aspira cumplir la empresa, la curva de tecnología que se emplea y la curva de la Ciberseguridad que se implementa. Si estas tres curvas se desarrollan de manera coincidente (y los objetivos de negocio son realizables) la empresa tendrá futuro.
El problema es que uno de los efectos segundarios de la Pandemia fue una recesión económica a nivel mundial que afectó particularmente a América Latina. Esto generó que muchas empresas comenzaran a experimentar un desfasaje entre las tres curvas, donde la de negocio mantenía una pendiente ascendente, ya que eso es necesario para sobrevivir al contexto económico, la tecnológica se comenzó a resentir por la limitación de las inversiones y la de Ciberseguridad fue la que más sufrió debido múltiples factores, como la visión basada en que si bien es prioritaria, se puede manejar con menos recursos.
Esto fue lo que generó las condiciones para la Tormenta Perfecta que impactó a varias empresas de la región que fueron ciberatacadas con graves consecuencias en cuanto al robo de datos.
El combate desigual
Hay muchos informes de fuentes referenciales que describen claramente que los principales grupos de delincuentes informáticos cuentan y tiene acceso a recursos comparables, o aún mayores, que las empresas que más invierten en Ciberseguridad.
Paradójicamente, los ataques más devastadores de los últimos años no fueron realizados utilizando alta tecnología, sino explotando alguno de los puntos vulnerables que fueron quedando luego del proceso de deterioro de la Ciberseguridad en algunas empresas.
En este contexto, las compañías desarrolladoras de soluciones de Ciberseguridad continuaron evolucionado, sobre todo en lo relacionado con detección temprana, a través de Inteligencia Artificial, de acciones potencialmente relacionables con un ataque.
Este tipo de soluciones tienen dos aspectos que se deben tener en cuenta: sólo funcionarán cuando estén correctamente instaladas y mantenidas y, además, tienen alto costo inicial y de soporte técnico.
Por lo tanto estamos en una situación donde el equilibrio sólo se puede dar si la empresa, no sólo está dispuesta a invertir para revertir la tendencia descendente de la curva de la Ciberseguridad que mencionábamos, sino si sus negocios y sus ingresos pueden soportar la inversión.
La nube no es parte del cielo y puede convertirse en pare de un infierno
Una de las soluciones tecnológicas que más aparece como opción de solución integral es la tecnología Cloud.
La mejor recomendación que puedo dar sobre este punto es: busque una empresa similar a la suya, que haya implementado con éxito un proyecto de nube, y esté dispuesta a compartir las lecciones aprendidas. Seguramente habrá sufrido algunos imprevistos que, por mejor que haya sido el proveedor elegido y por más competentes que fueran los especialistas que trabajaron, la mayoría de las veces generaron un mayor costo en cuanto a lo económico y al tiempo.
La realidad es que la implementación de Cloud no soluciona los problemas de Ciberseguridad. En la mayoría de los casos se observa una combinación de los siguientes 4 componentes:
- Algunos riesgos se minimizan.
- Algunos riesgos persisten.
- Algunos riegos de complejizan.
- Aparecen nuevos riesgos.
Además, es necesario que los Administradores y Arquitectos de Ciberseguridad adquieran nuevas Capacidades.
Un tema importante es el de la locación geográfica. Cloud no es ninguna nube, existe en una locación de algún país y está compuesta por una cantidad de servidores físicos que se configuran de manera lógica para optimizar los distintos tipos de demandas que generan suss clientes.
Esto implica que, en la ecuación económica de todo proyecto Cloud, exista el componente de los costos de bajada y subida de transmisión de datos, que pueden impactar mucho en Cálculo el Costo Total de Propiedad.
Volviendo específicamente al tema de la locación geográfica, es un tema que no se puede descuidar si la empresa que consume el servicio esta radicada en un país donde rige una Ley de Protección de Datos Personales. Tomemos el caso de Argentina, que no sólo tiene una Ley de Protección de Datos Personales, sino que adhirió a la Razón 108 del Reglamento Europeo de Protección de Datos (RGDP) para países que están fuera de la Unión Europea. Los países que está abarcados por RGDP por ser europeos o por adhesión, no pueden almacenar datos personales en sistemas informáticos localizados fura de su órbita. Por ejemplo, una empresa argentina podría almacenar datos en Brasil, pero no en cualquier parte de los Estados Unidos, ya que este país no cuenta con una ley federal de Protección de Datos, pero si con leyes estatales en California y Virginia (donde sí se podrían almacenar datos). Esto que puede parecer un tema del que se deben ocupar los abogados y no los expertos en Ciberseguridad, se vuelve clave cuando hablamos de costos. Algunos proveedores de nube permiten elegir el lugar de almacenamiento primario y segundario (respaldo) de su lista de sitios disponibles sin problemas, otros sostienen que este tema se soluciona con la firma de determinados documentos y algunos cobran más por almacenar en países abarcados por el RGDP. Recomendación: consulte con un Abogado Especialista de Derecho de Alta Tecnología, una mala decisión puede encarecer el proyecto y traer consecuencias legales.
El impacto cultural en las personas
Y el tema más importante lo dejo para el final: las personas. Hay dos aspectos que nos deben preocupar y ocupar en este escenario Pos-Pandemia: la limitación de las acciones de las personas sobre las computadoras que utilizan para trabajar de manera remota y la falta de recurso humano especializado en Ciberseguridad.
Durante la Pandemia y la explosión del Teletrabajo se implementó la mejor Ciberseguridad posible, de acuerdo con las necesidades y recursos disponibles. Ya teníamos experiencia sobre personas que trabajaban un par de días desde sus casas y sobre proveedores que accedían a algunos sistemas de manera remota.
Con el Teletrabajo intentamos replicar las medidas de Ciberseguridad que se utilizaban cuando las personas se conectaban a la red de manera presencial. Pero la evolución al Trabajo Híbrido, sumado a los formatos de ataque del último año, requieren que hoy las personas se conecten vía VPN, con un tercer factor de autenticación dinámico (un código que puede aparecer en una App del teléfono celular como en las aplicaciones de Home Banking) y, si la empresa está dispuesta a invertir, debería proveer un vínculo WiFi seguro para se conecten desde sus casas. Lo concreto es que se ha avanzado mucho en la política de que las personas sólo puedan usar sus computadoras para trabajar y no para otra cosa, lo que genera un impacto cultural importante debido a algunos usos y costumbres que dejaban brechas de seguridad utilizadas por los atacantes. Hay en el mercado cada vez más herramientas por medio de las cuales se pueden realizar estas restricciones, pero aún faltan resolver detalles técnicos para que no perjudiquen la operatividad.
Por último, un problema que existe desde antes de la Pandemia es la falta de recurso humano capacitado en Ciberseguridad. Se hicieron muchos esfuerzos, tanto desde el sector público como privado, pero no se pudo empezar a revertir la situación. Hoy hay mucha demanda laboral en Ciberseguridad y esto genera una competencia de retención de talento. Es muy común que cuando un proveedor detecta un talento en una empresa cliente lo tiente con un mayor sueldo.
Las dos buenas noticias para este último punto es que algunas Universidades de vanguardia ya definieron que los pilares de sus programas de estudios son la Ciberseguridad y la Inteligencia Artificial, y que algunas consultoras innovadoras armaron equipos de profesionales de alto nivel con gran experiencia en Ciberseguridad en altos cargos de empresas de distintos rubros, y ofrecen servicios para proyectos acotados como “CISO as a Service”, una solución concreta para las organizaciones que no pueden incorporar un especialista de alto nivel en su nómina.
Conclusión
Estamos en una época de equilibrios difíciles de lograr para la buena toma de decisiones. Una empresa que no gana dinero no necesita Ciberseguridad, pero a una empresa que no tiene un nivel de Ciberseguridad adecuado, puede resultarle muy difícil recuperarse de un Ciberataque que involucre robo de datos de personas.