El estudioso de la seguridad de datos Eugene Spafford sostiene que el tema debe ser tomado más en serio y a los niveles más altos dentro de las empresas.
Recientemente, las grandes corporaciones han cometido errores graves relacionados con la seguridad de la información, lo que ha dado como resultado fracasos espectaculares a la hora de proteger los registros de los clientes y los de la propia empresa. Después de años de advertencias, ¿por qué todavía muchas empresas siguen sin tratar adecuadamente este problema? Eugene H. Spafford, profesor de ciencias informáticas en la Universidad Purdue, y que con frecuencia asesora al Gobierno, a los órganos de aplicación de la ley, y a grandes empresas, tiene algunas ideas. Sostuvo una charla con el periodista de tecnología Brian Krebs para Technology Review.
TR: Usted recientemente testificó ante el Congreso sobre la filtración de Sony, que tuvo lugar después que la compañía ignorase ominosas señales de advertencia sobre los agujeros en su red de PlayStation. ¿Cómo una organización tan grande y tecnológicamente avanzada como Sony ha podido fallar de forma tan masiva en relación a la seguridad?
Spafford: Algunas organizaciones de gestión de negocios simplemente no poseen una organización de seguridad de TI adecuada, y muchas veces esa función sigue estando sujeta al director de información (CIO, chief information officer) de la compañía. Cuando eso sucede, las personas que se ocupan de la seguridad están muy por debajo de la línea de mando, y no tienen acceso al director general o a la junta de la compañía. Por tanto, la función de seguridad de esa organización no se financia y no tiene autoridad a un nivel lo suficientemente alto como para realmente operar de la forma que debería hacerlo. Muchas organizaciones de TI se han formado a partir del nivel de administradores de sistemas que comenzaron en la parte inferior de la jerarquía de la organización. Estas personas suelen poseer conocimientos técnicos e informáticos, pero no hablan el lenguaje de los negocios. No siempre comprenden el riesgo o el análisis del coste-beneficio. Como resultado, no son capaces de presentar un buen análisis desde el punto de vista de los negocios para las cuestiones de seguridad y privacidad. Nos enteramos hace poco que Sony no tenía un director de seguridad de la información [CISO, chief information security officer] antes de los ataques que expusieron los datos personales y financieros de más de 100 millones de clientes.
Pero, ¿existe alguna evidencia de que la falta de CISO en Sony contribuyese a la filtración? En otras palabras, ¿la respuesta a este tipo de filtraciones consiste realmente en gastar más dinero en seguridad y en agregar capas adicionales de burocracia dentro de la organización?
Bien, los CISO no están ahí exactamente para duplicar el trabajo de otra persona. Por un lado, existe un poco de un conflicto entre la definición del CIO y el CISO de una compañía. El trabajo del CIO consiste en hacer que la información esté disponible, y el trabajo del CISO es asegurarse de que cierta información no esté disponible—limitando los lugares a los que va la información, estableciendo normas sobre quién debe tener acceso a ella, y estableciendo reglas y consecuencias para cuando esas normas hayan sido violadas.
En relación a su segunda pregunta, hay muchas cosas que las empresas necesitan hacer, y recursos en los que deben invertir, que no tienen un retorno evidente a corto plazo, incluyendo el mantenimiento de sus edificios y terrenos, o la formación para la igualdad de oportunidades y contra la discriminación. Ocurre lo mismo con las políticas de seguridad: si no se gasta lo suficiente en ellas y se mantienen, en algún momento sucederá algo malo y se termina pagando muchísimo más de lo que se tendría que pagar si se hubiese adoptado una actitud más proactiva. Es responsabilidad de las partes informadas dentro de una organización entender los riesgos y planificar de forma adecuada la inversión inicial para construir defensas contra los riesgos más caros, y hacer planes sobre cómo hacer frente a lo que ocurre cuando se producen. Eso tiene que ser parte de la planificación general del negocio, pero alguien a un nivel lo suficientemente alto dentro de la organización tiene que entenderlo.
El caso de Sony no parece ser una anomalía. Parece que, en la actualidad, escuchamos casos casi a diario sobre filtraciones que exponen grandes cantidades de información de consumidores. ¿A qué cree que se debe esto?
Se trata de todo un conjunto de cosas, y no de un único factor. Tenemos más sistemas y datos disponibles en la red que nunca. Existen más personas que están en Internet y que son conocedoras de Internet, por lo que hay un conjunto mayor de objetivos y un mayor conjunto de personas que quieren explotar esos objetivos. Y estos crímenes están ocurriendo más rápido que el aumento de los recursos policiales y nuestra capacidad para tratar con ellos. Los crímenes también se están enmascarando mejor, y como resultado los criminales son capaces de ser más audaces y existe un menor valor disuasivo. Muchos de ellos van tras objetivos mucho más grandes.
En todo caso, ¿Sony no es precisamente un objetivo tradicional, verdad? ¿Por qué estamos viendo ataques contra tantas organizaciones no financieras?
Observe dónde se encuentra el valor real en la actualidad. La reciente salida a bolsa de LinkedIn es un buen ejemplo. ¿Por qué el precio de sus acciones se duplicó en cuestión de horas tras su salida a bolsa? Porque tienen una enorme cantidad de información sobre los usuarios y sus hábitos que las personas, ya sea directa o indirectamente, proporcionan sobre sí mismas, y es la misma razón por la que Facebook está valorada en decenas de miles de millones de dólares: la información puede ser extraída, agregada, y utilizada para propósitos de marketing. Esta es una información muy valiosa.
¿Eso significa que los consumidores corren el riesgo de ver su información filtrada o robada sin importar los servicios que utilicen?
Muchos de nosotros aceptamos la idea de que la información acerca de nosotros mismos no es algo sobre lo que tengamos control, y en la mayoría de los casos no tenemos idea de a dónde va cuando está fuera de nuestras manos. Tome como ejemplo la reciente filtración en [la firma de marketing por correo electrónico] Epsilon: ¿cuántos de los consumidores afectados por este caso habían oído hablar de Epsilon antes de que empezaran a difundirse los datos de la filtración? Mientras tanto, las organizaciones que recopilan esta información a menudo no tienen un sentido tan fuerte como deberían sobre la administración de dicha información. Además, las filtraciones pueden ser mucho más graves cuando se producen en empresas que ofrecen software como servicio. Y estamos empezando a ver más casos como éstos: cuando se expone una vulnerabilidad o debilidad en una plataforma o infraestructura de tipo común, a continuación es posible observar una gran cantidad de este tipo de incidentes en cascada. Así que lo que podría haber sido una filtración en una empresa relativamente pequeña se convierte en una filtración que afecta a decenas de otras, porque las empresas dependen de ella para sus servicios de datos externos. Y creo que en el futuro observaremos más casos de este tipo.
Ha tocado una herida dolorosa—el término ampliamente utilizado y a menudo difuso de "computación en la nube". ¿Cree usted que el apetito empresarial por la externalización de datos a terceros se debilitará a corto plazo debido a las preocupaciones de seguridad?
Creo que en los próximos tres a cinco años—si el desarrollo tecnológico sigue adelante de la forma en que lo está haciendo, por diversos motivos de costes y política una gran cantidad de empresas se darán cuenta de que la computación en la nube no les da las ventajas que esperaban y volverán a mudar sus cosas a un centro de datos o nube privada.
Hace treinta o 40 años, cuando teníamos centros de datos masivos bajo el control de una gestión centralizada, ya que suponían una gran inversión en infraestructura, en general, los datos se encontraban bajo [un estricto control de las empresas]. Después comenzamos a usar medios de comunicación distribuidos y PCs de escritorio en la mayoría de las organizaciones, y creo que los 90 supusieron el punto más bajo en términos del control centralizado del negocio sobre los sistemas informáticos. Ahora estamos volviendo al punto en que las empresas se están dando cuenta—sobre todo con grandes bases de datos compartidas—de la importancia de tener más control sobre sus datos.