Una noticia de un ciberataque, una divulgación de una vulneración se ve más como un tema de morbo que una excelente herramienta para medir cómo estamos preparados dentro de la organización.
Hace un año, tuve la oportunidad de dar una clase a periodistas de tecnología de toda América Latina por medio de una fundación. El objetivo: lograr el diálogo y la reflexión sobre el papel de la tecnología en la sociedad contemporánea. Mi participación sería alrededor de concientizar sobre el papel de la ciberseguridad como un elemento muy importante desde una perspectiva de tecnología, pero aplicable desde una persona, una familia, una empresa pequeña, una empresa grande, el estado y la mezcla de todos ellos.
Al término de la presentación e inicio de las preguntas, el moderador, un gran amigo y científico me cuestionó directamente: ¿Qué estamos haciendo mal los periodistas cuando cubrimos temas de ciberseguridad?
Después de una breve pausa, respondí: el miedo vende.
En ese momento conocíamos una noticia que cimbró al medio de ciberseguridad, fue un ataque orquestado para poder vulnerar un proveedor de tecnología el cual tiene un software de monitoreo de redes. Un software usado por todas las fuerzas armadas norteamericanas y un cuarto de las empresas pertenecientes al Fortune 500 en los Estados Unidos.
Los atacantes lograron modificar el software para que cuando se actualizara, se incluyera una vulnerabilidad que era explotada por este mismo grupo, teniendo acceso a los clientes de este proveedor. Inmediatamente se le atribuyó el ataque a un grupo patrocinado por el gobierno ruso. Es un ataque que se le conoce como a la cadena de suministro.
Diferentes especialistas, incluyéndome, opinamos sobre el caso: ya se sabía que esto podría pasar, pero no hicimos nada; la afectación fue impresionante, muy bien calculada; los que pudieron identificar este tipo de ciberataque tienen muchas capacidades, el proveedor ya sacó una actualización confirmada de que no tiene el código malicioso, etc.
¿Ya nos tienes en Facebook? Danos like y recibe la mejor información
Fueron las noticias las que en algunos casos llamaron la atención de los directivos de las organizaciones para preguntarle a sus responsables de ciberseguridad de lo que se trataba, pero eran los menos.
Muchos de los tomadores de decisiones de las empresas dejaron pasar el incidente y lo tomaron como una simple lectura sobre otro – sí, otro – ciberataque “internacional” que no les afectó.
Entonces, ¿de qué sirvió cubrir la noticia? ¿Morbo? Por otro lado, ¿de qué sirvió la noticia para la misma organización?
En México hubo varias empresas que contaban con dicho software, principalmente empresas grandes, que se centraron en bajar la última versión para eliminar la vulnerabilidad.
Creo que para poder hacer que la alta administración pueda tomar en consideración estas noticias, es necesario no solo quedarnos con los hechos, sino incluir las repercusiones para los diferentes sectores directamente relacionados con el caso, pero también qué pasaría con otros proveedores que a lo mejor sí podría pasar en la escala de una PYME.
El caso mencionado es el caso de SolarWinds, que podrá usted encontrar mucha información en línea.
¿Y si le pasa eso mismo al software que tenemos de CRM, ERP, Facturación o Pagos?
Si yo soy proveedor, ¿qué tengo que hacer para proteger a mis clientes?
Si soy cliente, ¿cómo me protejo o minimizo que esto pueda afectarme dentro de mi organización?
Es un riesgo que existe para cualquier persona y empresa, no importando el tamaño. ¿Por qué no usar las noticias para poder hacer las preguntas correctas dentro de la organización?
¿Y si eso nos pasara a nosotros? ¿qué haríamos? ¿cómo nos recuperamos? ¿Qué implicación legal o de reputación podría haber?
En uno de los comités de ciberseguridad donde participo, un día cuestioné lo que se encontró de una noticia de una vulneración a un sitio que permite hacer campañas de correo electrónico. Resultó que la empresa usaba ese sistema y sirvió para poder hacer una revisión de todos los sistemas que se usan con ese fin para identificar el nivel de riesgo. Incluso el área legal identificó que se tenían datos personales en ese sistema que no se encontraban documentados.
Ver lo que pasa al vecino, permite también tomar cartas en el asunto.
Este texto busca que los medios reflexionen en cómo comunican las noticias, brindando información que aporte a evitar los ciberataques y conocer sus repercusiones más de exponer únicamente. Es verdad que en algunos casos la información que dice ser vulnerada es falsa, aunque en otros casos no.
Como sociedad, más allá de crucificar a quien le pasó, debemos entender que todos estamos expuestos a vulneraciones y que una empresa debe prevenir y reaccionar de una forma que proteja a todos.
Y lo más importante, para los tomadores de decisiones: que esta información sirva para realizar las preguntas correctas para identificar cómo se encuentra nuestra organización.
Contacto:
Correo: [email protected]
Twitter: @cibercrimen
Faceboook: https://www.facebook.com/avelazquez.csi
Linkedin: https://www.linkedin.com/in/andresvelazquez/
Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.
