Cuando los hackers recurren al chantaje

Hay vidas en juego cuando extorsionadores apagar el sistema de registros médicos electrónicos de un hospital.
Maximizing Your Return on People
Maximizing Your Return on People

Seguridad de la red Ur apesta, el mensaje leyó. Pero podemos ayudar. por 100K efectivo así asegurar que su pequeño hospital no sufra ningún desastre.

«Ridículo», se dijo Paul Layman a sí mismo, borrando el correo electrónico. «¡Las cosas que la gente intenta salir con la suya en Internet!»

Paul, el CEO del Hospital Sunnylake, había estado revisando tranquilamente su bandeja de entrada un viernes por la tarde cuando encontró el correo electrónico analfabeto de un remitente desconocido. Había venido a Sunnylake cinco años antes con la visión de introducir tecnología de vanguardia en el pequeño hospital. Paul estaba convencido de que Sunnylake sólo podría crecer si quitaba hábitos y procedimientos obsoletos, y que el cambio de registros en papel a registros médicos electrónicos (EMR) mejoraría la calidad de la atención a los pacientes del hospital. Después de una cuidadosa búsqueda Paul había contratado a un joven serio llamado Jacob Dale para que fuera el director de IT de Sunnylake, y los dos habían trabajado para ejecutar su visión.

El éxito de la iniciativa EMR había transformado a Sunnylake de un centro de atención comunitaria atrasada en un modelo a seguir para pequeños hospitales de todo el mundo. Todo el personal médico ahora utiliza lectores electrónicos para abrir los archivos de los pacientes. Muchos de los médicos se habían resistido inicialmente al cambio, temiendo que la nueva tecnología desviara la atención de los signos y síntomas de los pacientes. Sin embargo, a medida que pasaba el tiempo, incluso los más devotos de la vieja escuela se habían visto obligados a admitir que los EMR habían aumentado la eficiencia, por ejemplo, comprobando automáticamente los errores de medicación y las interacciones con los medicamentos.

El brillante éxito había convertido al incipiente departamento de IT de Paul en una parte valiosa del hospital. El CEO consideró que los EMR eran su legado, uno que serviría bien a la institución en los próximos años.

La amenaza implícita en el correo electrónico no provocó ansiedad en Pablo. Tenía gran fe en Jacob, cuyas camisas a medida y barba Vandyke desmentieron su energía agresiva. Mientras el sistema estaba en desarrollo, Paul había insistido repetidamente en que la privacidad de los pacientes era crítica. Jacob había explicado con calma y exhaustividad que hacer registros digitales también los haría más seguros. Sin embargo, Pablo estaba nervioso cuando el sistema se puso en marcha, pero los últimos tres años habían calmado sus dudas. A pesar de que sabía que ningún sistema informático era perfecto, se sentía seguro de que la red no estaba en peligro real, especialmente no de un extorsionista que no había dominado las habilidades básicas de mecanografía.

Se olvidó del asunto durante el fin de semana. Pero a las 8:00 de la mañana del lunes recibió otro correo electrónico del mismo remitente, con una línea de asunto leyendo Te advertimos. El campo de mensaje estaba en blanco.

El día más difícil de la carrera de Paul Layman estaba a punto de comenzar.

Acceso denegado

«¡Tenemos un paciente entrando en cirugía!» el doctor ladró. «¡Necesito esos discos ahora!»

La interna a la que gritaba apenas miró hacia arriba desde el dispositivo en sus manos. Ella había estado allí sólo una semana, pensó el doctor, y ya estaba demostrando su incompetencia. Él sacó el lector de EMR lejos de ella e impacientemente ingresó su código de acceso. La pantalla parpadeó Acceso denegado.

«¿Qué es esto?» gruñó. «Acabo de mirar los archivos de este paciente ayer!»

IT había diseñado la red de manera que sólo pudieran acceder a los registros los médicos, las enfermeras y los administradores que los necesitaban. Hoy, aparentemente, algo había salido terriblemente mal. El interno se puso de pie, los brazos akimbo, sacudiendo la cabeza. Resistiendo el impulso de golpear el dispositivo contra una mesa, el médico irrumpió por el pasillo hasta el departamento de IT. Apenas notó el grupo de enfermeras preocupadas en su estación, o los carritos vacíos de medicamentos que deberían haber estado haciendo sus rondas matutinas.

En el corazón del departamento pasó en una escena inusual. Un grupo de médicos descontentos se había reunido fuera de una habitación acristalada en la que varios servidores tarareaban en bastidores. Dentro de la habitación unos chicos de IT trabajaron frenéticamente. A medida que el médico se acercaba, pudo ver que cada uno de sus colegas llevaba un dispositivo que parpadeaba el mismo mensaje: Acceso denegado.

Registros de rescate

Minutos después, Jacob estaba en la oficina de Paul cuando llegó el tercer correo electrónico. En silencio, los dos miraron la pantalla del ordenador de Pablo. Apuesto a que quieres tus cosas de vuelta. Probablemente shud lo han protegido mejor. por el pequeño precio de 100K bien hacer que esto desaparezca.

«¿Qué demonios está pasando?» Paul lo exigió. «Tengo a los médicos disturbios en los pasillos.»

«Esto es algún tipo de ransomware para todo el sistema», murmuró Jacob. «En lugar de aguantar a un par de personas por 50 dólares cada uno, estos tipos están retrasando a toda la organización. Quieren 100.000 dólares para la herramienta de descifrado». Todo su equipo estaba trabajando tratando de restaurar el sistema. La programación que normalmente sólo permitía el acceso selectivo a los registros se había modificado para no permitir el acceso en absoluto. Incluso los administradores del sistema fueron excluidos.

«¿Cómo entraron en nuestro sistema?»

«Tal vez a través de la máquina de un usuario individual», respondió Jacob. «Alguien aquí podría haber pensado que estaba descargando software antivirus o actualizando una aplicación existente».

«¿Un idiota de nuestro personal podría haber causado todo este lío?» Paul se dio cuenta en un instante enfermizo de que el departamento de IT de Sunnylake simplemente no era lo suficientemente grande o lo suficientemente sofisticado para manejar un problema tan devastador. En los últimos tres años, la seguridad tecnológica había avanzado significativamente, pero de alguna manera Sunnylake no se había mantenido al día. Sólo días antes Pablo había estado seguro de que el sistema era virtualmente imposible de infiltrar. Ahora tenía que enfrentar la horrible realidad de que había sido demasiado débil todo el tiempo.

Los registros completos fueron respaldados en la red, para que la información del paciente no se perdiera por completo. Pero actualmente Sunnylake no tenía forma de entregar esos registros a los médicos que los necesitaban urgentemente para el cuidado del paciente. El hospital estaba a punto de pararse.

Sunnylake no tenía forma de entregar registros a los médicos. El hospital estaba a punto de pararse.

—Esto es— —se detuvo Paul, sin palabras. «Realmente malo. Realmente, muy mal». Miró a Jacob.

Los ojos del director de IT se habían estrechado, y su expresión era feroz. «¿Qué clase de baba hackea un hospital?» exigió de la pantalla. «¿No les importa lastimar a los enfermos? Crees que has visto lo peor, pero estas personas bajan todo el tiempo».

«Por lo que he oído, los hackers no se suscriben exactamente a un código moral», dijo Paul, suprimiendo una necesidad de gritarle a Jacob. «Deben haberse dado cuenta de que nuestra dependencia de estos registros nos hace particularmente vulnerables. Si derriba un sitio normal durante unas horas, la compañía probablemente pierda dinero. Tal vez incluso un montón de dinero. Pero si sacas los registros de un hospital, el personal podría terminar lastimando a los pacientes que trabaja tan duro para proteger. Esto ya no es sólo una cuestión de dinero. Tenemos vidas humanas en juego».

«Mi pueblo está luchando con todo lo que tenemos», respondió Jacob defensivamente. «Con suficiente tiempo, podemos recuperar el control del sistema. Luego actualizaremos la seguridad para asegurarnos de que nada como esto vuelva a suceder. Instalaremos un sistema de detección de infecciones basado en red. A partir de ahora, solo alejar a los intrusos no es suficiente».

«La pregunta es, ¿Cuándo ¿Podemos ganar?» Pablo dijo en voz baja, sosteniendo su frustración. «No podemos ir sin registros mucho más tiempo».

«Este es el equivalente digital del combate cuerpo a cuerpo», respondió Jacob. «Conocemos el sistema mejor que estas personas, pero tienen la ventaja de la sorpresa. No puedo decirte cuándo vamos a ganar. No hay una solución rápida para un problema como este».

Pablo asintió hacia la pantalla. «Nos han ofrecido una solución rápida», dijo.

«No estarás considerando seriamente pagar a estos tipos, ¿verdad?» Jacob preguntó incrédulo. «Si pagamos una vez, seremos un objetivo para siempre. No lo hagas. No está bien. Podemos vencer a estos tipos, Paul. Sólo dame un poco más de tiempo».

Una bomba de tictac

«Paul, tenemos que hacer que esto desaparezca», dijo Lisa Mankins, la consejera legal principal de Sunnylake. Su cabello fue retirado suavemente, y estaba vestida como de costumbre con un traje de pantalón austero, pero Lisa parecía como si hubiera sufrido horas de tortura.

Después del último correo electrónico de los hackers, IT había logrado restaurar el sistema dos veces, solo para que se bloqueara minutos después. A pesar de los mejores esfuerzos del departamento, explicó Jacob, los hackers siguieron recuperando el acceso. La mayor parte del personal estaba empezando a parecer emocionalmente agotado. El hospital había ordenado a todos los médicos que escribieran órdenes de enfermería en papel y recetas por el momento. Los médicos más jóvenes, que siempre habían confiado en los EMR, estaban desconcertados por el concepto. Incluso algunos de los mayores habían olvidado cómo sacar «500 mg de Amoxicilina» legiblemente.

Paul había llamado a Lisa a su oficina para hablar de control de daños.

«Nuestra exposición legal en este tipo de situaciones es alucinante», dijo. «Cuanto más tiempo dure esto, mayor será el riesgo. Literalmente cada segundo es un lastre. Los médicos están recurriendo a registros de papel antiguos para los casos más urgentes, pero esos registros están anticuados. Esta tarde tratamos a un paciente con medicamentos a los que era alérgico. Afortunadamente, su reacción fue suave, pero puede que la próxima vez no tengamos tanta suerte».

«Nuestra exposición legal en este tipo de situaciones es alucinante», dijo. «Literalmente cada segundo es un pasivo.»

Lisa caminaba de ida y vuelta delante del escritorio de Paul. «Tenemos que evaluar nuestras opciones. No me parece que TI pueda solucionar este problema con la suficiente rapidez, en todo caso».

«De la manera en que Jacob me IT explicó, TI necesita una cierta cantidad de tiempo para recuperar el control», dijo Paul. Había tratado toda la mañana de preservar su confianza en la habilidad de Jacob, pero estaba empezando a desvanecerse. Cada vez que el sistema fue restaurado, la esperanza se había disparado en el pecho de Pablo, sólo para estrellarse de nuevo cuando Acceso denegado reapareció en todas las pantallas.

«No tenemos ese tiempo», insistió Lisa. «Lo sabes». Después de un momento de silencio volvió a hablar, con la cara apretada. «Tenemos un presupuesto para este tipo de cosas, sabes. Un presupuesto aceptable para pérdidas. Tenemos un seguro que cubre el riesgo de IT y el dinero para pagar a estos tipos. Las demandas por negligencia podrían costarle a este hospital cientos de miles de dólares solo en honorarios legales y posiblemente millones en daños y perjuicios. Cien mil pavos palidece junto a las pérdidas que podríamos enfrentar si esperamos esto. Creo que es práctico, incluso moral, pagar el rescate. Cuanto más esperemos, más corremos el riesgo de herir seriamente a nuestros pacientes y a nosotros mismos».

«No me gusta la idea», dijo Paul. «Para nada. No tiene principios recompensar la extorsión. Simplemente animaría a estas personas, y tal vez conduciría a otros ataques a otros hospitales». Hizo una pausa. «Pero podría ser todo lo que tenemos».

Lisa apenas había salido de su oficina antes de que George Knudsen, el jefe de gabinete, irrumpiera.

«¿Cuándo vas a arreglar esto?» lo exigió. «¿Tienes idea de lo que esto le hará a nuestra reputación si algún novato se entera de ello?» George era un accesorio pardo e intimidante en Sunnylake. Había estado allí durante años cuando Paul llegó, y podría durar más que él. Ambos se han mostrado locos por la introducción de los REM, pero han sido cordiales desde el éxito de la iniciativa. George parecía cualquier cosa menos cordial ahora.

«Todo el mundo está trabajando lo más duro posible», respondió Pablo. «Ha sido duro para todos nosotros».

«No creo que sepas lo difícil que ha sido», dijo George airadamente. «Usted no sabría eso a menos que tenga que tratar a los pacientes mientras se pregunta si realmente les está haciendo daño. No lo sabrías a menos que tuvieras miedo de romper tu juramento solo porque algún joven geek informático pensara que su sistema era mucho más fuerte de lo que realmente es».

«George, sabes lo bueno que ha sido el sistema electrónico para este hospital», replicó Paul, alarmado por la furia del hombre mayor. «Lo admitiste tú mismo».

«¡No sabía qué tipo de costo íbamos a pagar!» George rugió. «¡Estás haciendo que todo tu personal parezca incompetente, o peor! El papel podría haber sido lento, pero era confiable. Si no arreglas esto pronto, Paul, nunca volveré a tocar uno de esos malditos dispositivos. Y conozco a muchos otros aquí que sentirán lo mismo». Lo acosó. • • •

Paul se acostó sobre su espalda en el sofá del salón del personal, mirando hacia arriba el techo medio iluminado. Era la una de la mañana. El equipo de IT todavía estaba en el hospital, librando ciberguerra con el adversario invisible. El patrón de victoria breve seguida de la derrota había continuado hasta la noche. Jacob había probado todos los descifradores en línea que podía encontrar; su equipo estaba avivado a través del hospital, escaneando computadoras en busca de pistas.

Paul cerró los ojos. Siguió viendo imágenes cinematográficas de rompecódigos aliados luchando contra la máquina Enigma de los alemanes. La situación de Sunnylake se sentía tan urgente. Por lo que pudo, no pudo despejar su mente y se dejó dormir. Culpa aplastante, un sentido de responsabilidad por todo lo que había pasado ese día, presionado sobre su pecho.

Incluso después de tres años de éxito, durante los cuales el personal había casi sin excepción llegado a apreciar la eficiencia de los EMR, Paul podía recordar claramente lo duro que había tenido que luchar para conseguir el sistema instalado y aceptado. A menos que pudiera resolver esta crisis rápidamente, perdería todo el terreno que había ganado. Los médicos del hospital habían sido un grupo terco y resistente al principio, y George Knudsen no era el único que entraría en el modo «Yo te lo dije». Podría ser casi imposible conseguir que confiaran en el sistema, o en él, de nuevo.

Si pagara a los hackers, sólo esta vez, Sunnylake podría hacer de la seguridad la prioridad número uno y asegurarse de que nada como esto vuelva a suceder. Paul se dio la vuelta, suspirando. ¿Estaba pensando en pagar dinero de extorsión a estos criminales?

¿Cómo debería Sunnylake lidiar con el ataque?

Por Gullestrup([email protected]) es el presidente y CEO de Clipper Projects en Copenhague.

Por desagradable que parezca, sugeriría que el Hospital Sunnylake siga adelante y pague el rescate exigido por los extorsionistas. (Esto supone, por supuesto, que la amenaza es real y que existe un riesgo verificable para la salud del paciente). Esa puede ser la única manera en que Paul Layman puede evitar que los pacientes de Sunnylake dañen y evitar el riesgo masivo de responsabilidad que Lisa Mankins, la consejera principal, teme.

¿Por qué recomendaría esto? Como CEO, tuve que lidiar con una situación análoga en noviembre de 2008, cuando piratas somalíes en el Golfo de Adén atacaron un buque de 15 millones de dólares perteneciente al Grupo Clipper. Los piratas retuvieron a sus 13 tripulantes como rehenes durante 71 días. Dirigía el equipo de respuesta de emergencia encargado de garantizar la seguridad de la nave y la tripulación.

Tratar con extorsión no es parte de la descripción del trabajo de un CEO. En nuestro caso, los criminales tenían todas las cartas. Durante el enfrentamiento me enteré de que la piratería somalí es un negocio bien dirigido que incluye a varios actores e inversores. Aunque los piratas pueden hacer la vida desagradable para los rehenes, dañarlos está fuera de discusión, eso sería la muerte para el modelo de negocio de los piratas.

Los piratas sabían que el tiempo estaba de su lado. Si optamos por no pagar, simplemente se aferrarían al barco y a la tripulación; su sistema bien perfeccionado hace que sea fácil reabastecer continuamente el barco. (Aunque la legislación danesa prohíbe pagar rescates a terroristas, nada impide que un armador pague piratas.)

Ningún CEO puede resistirse indefinidamente contra el constante martilleo de familiares desesperados, una prensa ansiosa y políticos exigentes, simplemente no es sostenible. Al final, no tuvimos más remedio que pagar los millones de dólares que exigían los piratas. (El seguro cubrió el costo.)

En el caso de Paul, el primer y más importante paso debería ser contratar a un negociador bueno y emocionalmente neutral que pueda abrir un diálogo con los hackers y mantenerlos involucrados en la conversación, para que sea poco probable que hagan aún más travesuras.

El primer paso debe ser contratar a un negociador emocionalmente neutral que pueda abrir un diálogo con los hackers.

A medida que avanza el proceso, el negociador puede transmitir información entre las dos partes, mientras que el equipo de IT de Jacob Dale trabaja para poner en marcha el sistema y luego refuerza los planes de seguridad y emergencia que debería haber tenido en primer lugar. Mientras tanto, la policía y los especialistas forenses pueden tratar de localizar a los criminales y poner fin a su empresa.

Una vez que las negociaciones están en juego, todo se convierte en un juego de ajedrez. El negociador y el equipo de emergencia pueden elaborar términos y logística. Cuando se ha llegado a un acuerdo, el dinero se baja y todo el episodio ha terminado.

Otra pregunta es, ¿Qué hay de los medios? Las posibilidades son buenas de que los periodistas se enteren de lo que ha sucedido en Sunnylake. En nuestro caso, decidimos tratar con los medios de comunicación muy directamente para ayudar a crear conciencia sobre la amenaza que representan los piratas somalíes.

Si los armadores llegan a comprender la propuesta comercial de los piratas y están dispuestos a hacer la dura negociación necesaria, estarán mucho mejor equipados para hacer frente a la amenaza. Durante el proceso de negociación, aprendimos mucho acerca de dónde va el dinero del rescate y cómo se usa, y las autoridades ahora están haciendo un buen uso de esa información.

Richard L. Nolan( [email protected]) es titular de la cátedra Philip M. Condit en la Foster School of Business de la Universidad de Washington. Es coautor, junto a Robert D. Austin y Shannon O’Donnell, de Aventuras de un líder de IT(Harvard Business Press, 2009).

Este caso es un ejemplo del tipo de ataque al que cada organización, pequeña o grande, es ahora vulnerable. Todas las organizaciones dependen de la tecnología; ninguna es inmune a las hordas de personas de todo el mundo que buscan generar disrupción sus operaciones, a veces sólo por diversión y con frecuencia por razones maliciosas o ganancias personales.

Esto significa que el CEO y la junta son responsables de «buen juicio empresarial» al protegerse contra la amenaza. El primer error de Paul fue descartar el mensaje de correo electrónico original. Todas las amenazas de IT deben tomarse en serio; si hubiera tenido su ingenio sobre él, le habría dicho a Jacob Dale de inmediato. Ningún sistema de IT es «a prueba de balas».

Además, las organizaciones necesitan un plan para cuando no estén seguras de la medida en que sus sistemas se han visto comprometidos. Sunnylake debería haber tenido un sistema de respaldo viable y totalmente probado para garantizar un servicio ininterrumpido al paciente y proteger a todos los afectados. Los médicos y enfermeras están capacitados para diagnosticar, resolver problemas y tratar dinámicamente a sus pacientes. Los sistemas IT facilitan, pero no sustituyen, el tratamiento del paciente. El hecho de que el hospital no tuviera instalado un software de seguridad actualizado, o un proveedor de seguridad confiable y un plan de emergencia en marcha, es inexcusable.

Por muy mala que parezca, esta crisis es más fácil de manejar que otras amenazas más vagas (como programas de software tipo robot que alternan aleatoriamente entre la latencia y el sabotaje o el robo de datos de clientes), porque Sunnylake sabe que ha habido una intrusión: Alguien parece haber cambiado la seguridad de acceso.

Entonces, ¿qué debería hacer Paul, el CEO? Primero, será mejor que se baje de ese sofá y renuncie a la vana esperanza de que IT pueda restaurar el sistema y hacer que el hospital vuelva a funcionar. Cuando los hospitales de CareGroup, un equipo de profesionales de la salud en el este de Massachusetts, experimentaron una situación similar en 2002, el CEO, el CIO, médicos, enfermeras y el personal de apoyo comenzaron a operar tal como lo habían hecho en la década de 1970, antes de que se instalara su sistema EMR integrado. Los profesionales que recordaban cómo era eso entrenaban a los que siempre habían dependido de las computadoras. Como John Halamka, el CIO, dijo a su junta directiva: «La buena noticia es que la atención médica no sufrió».

Pablo también debería estar en modo de alta comunicación con todos sus electores. Él debe entender que en el entorno de red de hoy en día no hay absolutamente ningún secreto. Cualquier violación de IT obliga a una organización a preguntar: ¿Cuánto debemos revelar sobre esta amenaza? En esta situación, Pablo necesita proporcionar una revelación completa a sus diversos componentes: empleados, junta, pacientes y el público.

Paul necesita proporcionar una divulgación completa a sus diversos electores: empleados, junta, pacientes y el público.

De ninguna manera debe aceptar las demandas de los extorsionistas. No hay garantía de que no hayan incrustado más corrupción en el sistema. El código debe examinarse línea por línea y limpiarse a fondo. La infraestructura de red del hospital y otros sistemas de IT deben analizarse para detectar posibles daños y protegerse con software de seguridad actualizado.

Finalmente, Pablo necesita enfrentar el hecho de que puede perder su trabajo. Después de todo, él es responsable de todos los recursos estratégicos del hospital, incluyendo IT. La junta también debe rendir cuentas por la falta de supervisión estratégica.

El caso del Hospital Sunnylake ofrece una advertencia anticipada sobre un problema emergente muy grave para todos los jefes ejecutivos y sus juntas directivas.

Peter R. Stephenson es el presidente del departamento de informática y el director de seguridad de la información de la Universidad de Norwich en Northfield, Vermont.

Si has adornado las ventanas y puertas de tu red con ajo, colgado espejos y crucifijos, y salpicado todo con agua bendita en forma de cortafuegos, software antivirus, etc., probablemente estarás a salvo de vampiros: hackers o malware. Pero en este caso, faltaban preparativos para una brecha de seguridad, y algún chicle —posiblemente alguien que compra en línea desde una computadora conectada a la red— pudo haber dejado entrar al vampiro.

Desafortunadamente, la seguridad de los datos es una idea tardía en muchos hospitales. Recientemente pasé por el quiosco de información de un hospital, que se suponía debía estar atendido por un voluntario. La computadora estaba encendida, la pantalla estaba encendida, pero no había nadie alrededor, una grave violación de la ley estadounidense que protege la privacidad de los pacientes.

En Sunnylake el sistema sigue fallando porque los atacantes encuentran una nueva forma de hacerlo cada vez que ocurre una solución. Esto puede deberse a que el malware, el malvado programa que facilitó la brecha en primer lugar, ha transmitido un mensaje a los hackers, haciéndoles saber lo que Jacob y su equipo están haciendo.

Si Paul hubiera hecho saber a la gente de IT en el momento en que llegó el primer mensaje desagradable, podrían haber sacado el sistema de Internet inmediatamente, asegurando que un programa corrupto relacionado con el ataque no pudiera entrar desde afuera. Esto también habría bloqueado cualquier puerta trasera que los hackers hubieran creado.

A continuación, deberían haber verificado que los chicos malos realmente habían obtenido acceso a la red. No es inusual que un extorsionista envíe un mensaje amenazante con la esperanza de asustar al receptor para que le dé una payoff. Jacob y su equipo deberían haber revisado los registros del sistema para ver si se habían producido cambios. Si hubieran reaccionado inmediatamente, podrían haber evitado el segundo correo electrónico o penetraciones adicionales.

¿Cómo puede la IT reparar la red? Primero, los administradores del sistema necesitan recuperar sus contraseñas y recuperar el control. Con el riesgo de ser técnico, esto significa apagar los servidores, realizar una eliminación segura en todos los discos del servidor eliminando y sobrescribiendo datos aleatorios, restaurando los servidores y los datos, y asegurándose de que los programas de seguridad estén completamente actualizados y operativos. El departamento de IT necesita ejecutar un análisis de malware en cada estación de trabajo del hospital, en caso de que el ataque se produzera a través de una computadora de empleado. Aunque requiere mucha mano de obra, esta exploración es de vital importancia.

IT necesita ejecutar un análisis de malware en todas las estaciones de trabajo del hospital.

¿Qué hay de los extorsionistas? Los mensajes de correo electrónico ofrecen algunas sugerencias tentadoras en cuanto a su identidad. El uso de la abreviatura «u» para «usted» sugiere a una persona joven o un nacional extranjero con malas habilidades de inglés o un aficionado que descargó el programa de ataque de Internet. También es posible que los malos sean bastante inteligentes, y siempre es más seguro sobreestimar las habilidades de los hackers. Puede que ni siquiera sean «forasteros». Un empleado o paciente vengativo que pasa por una estación de trabajo desatendida puede causar muchos daños. Antes de volver a conectarse a Internet, Sunnylake debería ver lo que sucede durante 24 horas. Si los atacantes son iniciados que conservaron el acceso al sistema, es posible que intenten entrar de nuevo.

Incluso si Paul contrata a un consultor de seguridad, que es un paso que recomendaría, es poco probable que el hospital encuentre a los atacantes. Sin embargo, el consultor puede ayudar a crear un perfil de los atacantes, mejorar la seguridad y capacitar al personal clave, para que Sunnylake pueda protegerse en el futuro.

A version of this article appeared in the
October 2009 issue of
Harvard Business Review.


Caroline Eisenmann
Via HBR.org

Related Posts
Maximizing Your Return on People

E Pluribus Computum

Aunque los ordenadores se han extendido a todos los rincones de la organización, aunque las personas se han vuelto más conocedor y entusiasta acerca de ellos, muchas de sus promesas no se han cumplido. la computación del usuario final, lo que permite a los usuarios desarrollar sus propias aplicaciones, potencialmente tiene el mayor impacto de cualquier desarrollo en el campo de la informática. Sin embargo, para muchas organizaciones que [...]
Leer más
Maximizing Your Return on People

Derrotar a Microsoft en su propio juego

FrontPage de Vermeer ganó la primera etapa de la carrera para establecer un estándar de software de Internet de propiedad. Sin embargo, después de haber vendido a Microsoft, su fundador ahora dice que la acción antimonopolio es la única manera de mantener el gigante honesto. ¿Qué pasa con el software de código abierto?
Leer más
Maximizing Your Return on People

Competir por el crecimiento

¿Cómo convertir un contratista del gobierno lenta en un negocio de alto crecimiento en un tiempo récord? PerkinElmer, una empresa que tiene su inicio la construcción de detonadores nucleares para el Proyecto Manhattan, debería saber: las decisiones sobre la atención implacables estrategia y meticulosa a la gente.
Leer más