Cuatro cosas que el sector privado debe exigir sobre seguridad cibernética

Espere a que el gobierno resuelva el problema y usted podría ser arrojado debajo del autobús.

El viernes 31 de mayo en el Diálogo sobre seguridad de Shangri-La en Singapur, el Secretario de Defensa estadounidense Chuck Hagel dijo que las amenazas cibernéticas planteaban un peligro «silencioso, sigiloso e insidioso» para los Estados Unidos y otras naciones.

Espera un minuto. ¿Qué es exactamente tranquilo y sigiloso sobre un tema de seguridad que el colega de Hagel General Keith B. Alexander, director de la Agencia de Seguridad Nacional, etiquetó apenas unas semanas antes la fuente de la «mayor transferencia de riqueza en la historia» de compañías estadounidenses a hackers extranjeros?

Para las empresas y organizaciones que destinan grandes sumas de dinero y algunos de sus mejores talentos técnicos al desafío de tratar de proteger sus redes de miles de ciberataques diarios, no hay nada silencioso o simplemente insidioso sobre lo que está pasando. Recuerda el verano de 2001 cuando el director de la CIA, George Tenet, dijo sobre la amenaza de Al-Qaeda «el sistema parpadeaba rojo» pero pocos a su alrededor parecían comprender la urgencia? Creo que la amenaza cibernética ahora tiene el mismo carácter. No es necesario ser un maestro de los detalles extraordinariamente complicados y altamente técnicos del tema para reconocer esta importante señal: casi universalmente, usted encontrará que cuanto más gente técnica de una organización sepa acerca de la naturaleza de la dinámica de respuesta a amenazas, más preocupados están que va a ganar esa carrera.

¿Cómo dejamos que las cosas se pongan tan mal? La primera respuesta a esta pregunta suele ser una ingeniería o una económica. Los ingenieros señalan los problemas inherentes a los protocolos de Internet que fueron diseñados, desde el principio, para tener más en cuenta la interoperabilidad y la conectividad que la seguridad per se. Los economistas señalan problemas de acción colectiva y normas de responsabilidad desalineadas que reducen en realidad los incentivos para que las empresas inviertan de manera suficiente y eficiente en la protección de la red. Y luego está la política: todo político quiere defender los aspectos de «innovación» y crecimiento de Internet, y hay poco que ganar al destacar el lugar peligroso que realmente puede ser.

Lo que parece más difícil de hablar, pero en última instancia más fundamental, es la cultura. Seamos sinceros: como sociedad, la cultura de Internet se refiere mucho más a la apertura y la experimentación que a la seguridad. Esto tiene profundas raíces en las ideologías libertarias del movimiento informático personal (en realidad era un movimiento) y en la mentalidad tecno-utópica y antiautoridad que hizo de Internet lo que es, y en parte es responsable de lo que la hace tan grande como es.

Pero Internet ha crecido ahora. Nuestro sistema financiero, militar, sanitario, servicios públicos, comunicaciones, comercio, cadena de suministro y casi cualquier otro sistema esencial de infraestructura de vida y negocio depende ahora de ello. Sin embargo, la cultura de Internet ha crecido menos. Considera esto: No puedes subir a un avión o entrar en un edificio de oficinas en Nueva York o comprar un coche sin probar que eres quien dices ser; pero cualquiera puede entrar en Internet de forma anónima desde casi cualquier lugar del planeta y caminar a través del equivalente virtual de casi todos los mismos sistemas. A veces se necesitan herramientas de piratería que sean fácilmente accesibles para su compra en la web; a veces se necesita una experiencia técnica significativa. Y la mayor parte del tiempo no necesitas nada que no sea malicioso, o incluso curioso, intención.

El viernes de esta semana, el presidente Obama y el presidente chino Xi Jinping pasarán una buena parte de su tiempo juntos hablando sobre el problema de la ciberseguridad. Tampoco estaba ansioso por hacerlo por razones políticas, pero la gran cantidad de reportes mediáticos recientes y filtraciones públicas han dejado a Obama, al menos, sin ninguna opción real. Es muy posible que estén de acuerdo en principio sobre un interés compartido en lo que más les importa a los gobiernos: la protección crítica de la infraestructura nacional. Con el tiempo, los dos gobiernos (esperamos) aterrizar en reglas compartidas de la carretera que se alejan de la amenaza del juicio final de la ciberguerra masiva, al igual que los rusos y los estadounidenses encontraron maneras durante la Guerra Fría para reducir la probabilidad del escenario termonuclear del juicio final desde el cual ninguna de las partes podría posiblemente beneficiarse.

Pero no estarán de acuerdo sobre qué hacer con los niveles «menores» de amenaza, más de lo que los adversarios de la Guerra Fría pudieron durante su tiempo. Esto se debe a que cuando se trata de cosas como el espionaje comercial y el robo de propiedad intelectual —lo que importa a las empresas individuales— los dos grandes ciberactores estatales están en posiciones muy diferentes y tienen intereses significativamente diferentes. Es un poco simplificado pero básicamente correcto reconocer que Estados Unidos tiene mucho más que proteger y que los chinos tienen mucho más que atacar.

Aquí está la verdadera amenaza insidiosa de la que las empresas deben preocuparse. ¿Qué pasa si Washington y Beijing alcanzan un entendimiento común sobre las cosas realmente importantes —los enormes riesgos de seguridad para los intereses soberanos— y toman medidas para reducir la amenaza de la ciberdestrucción mutuamente asegurada? ¿Qué harán todos los hackers y ciberdelincuentes —patrocinados oficialmente y de otro modo — con su exceso de tiempo y experiencia? Una carrera razonable sería especializarse en ataques de «nivel inferior» como, bueno, espionaje corporativo y robo de propiedad intelectual.

Para los gobiernos, la mayor parte de esto es una molestia, un problema comercial y, a gran escala, potencialmente un problema de competitividad, pero no es lo mismo que un ataque masivo a la red eléctrica nacional y no impulsará el mismo tipo de respuesta gubernamental.

Si esperas a que los gobiernos definan y resuelvan este problema por ti, es posible que te arrojen bajo el autobús.

Aquí hay cuatro cosas que el sector privado —y me refiero a los directores ejecutivos, no a los CTO— debería exigir fuerte y persistentemente a Washington en este momento:

  1. Un gobierno financiado FFRDC-institución de tipo, para pagar la investigación básica y la inversión en fase temprana de riesgo en sistemas de seguridad comercial.
  2. Un sistema de apoyo, financiero y legal, para empresas pequeñas y startups que no pueden permitirse gastar su dinero y tiempo preocupándose por la seguridad de sus redes.
  3. Un ciberguardia nacional o equivalente del Cuerpo de Paz cibernético, que difundiría software y prácticas primero alrededor de Estados Unidos, y luego alrededor de aliados y amigos dispuestos en el extranjero.
  4. Un importante esfuerzo nacional para educar al público y comercializar una nueva «cultura de seguridad» para el comportamiento de Internet. Es el vínculo humano que es y casi seguro siempre será el eslabón más débil de cualquier sistema de seguridad. Por lo tanto, necesitamos mensajes constantes sobre el bloqueo y el abordaje básico del comportamiento en línea para lograr que las personas reconozcan sus propias acciones arriesgadas y su responsabilidad personal por la seguridad. ¿Cómo entró Stuxnet primero en computadoras iraníes? Probablemente a través de una pulsación pulgar que algún ingeniero iraní iraní iraní introdujo en un centro de control de centrifugadoras nucleares. No nos gusta admitirlo, pero el mismo tipo de descuido ocurre todo el tiempo en Estados Unidos. Mientras la cultura de Internet permita o incluso apoye ese tipo de «libertad» (como, por ejemplo, una extensión culturalmente aceptable de las políticas BYOD), las empresas están en peligro real.


Escrito por
Steven Weber



Related Posts
Tomando el pastel

Tomando el pastel

La compañía de cocción de Southland hace mucha masa de masa que está empapada en grasas trans. Ahora los activistas del consumidor y los litigantes hambrientos quieren tomar ambos.
Leer más

Cómo Sam Palmisano de IBM redefinió la Corporación Global

En el siglo 20, un grupo selecto de líderes - General Motor Alfred Sloan, David Packard HP y Bill Hewlett y de GE Jack Welch - establecido el estándar para la forma en que se ejecutan las corporaciones. En el siglo 21 solamente de IBM, Sam Palmisano lo ha hecho. Cuando Palmisano se retiró este mes, los medios de comunicación una crónica de su éxito [...]
Leer más
¿Su PC es «Made in Kazakhstan»?

¿Su PC es «Made in Kazakhstan»?

¿Qué países tienen las economías de fabricación "Techiest"? Podrías adivinar China, pero te equivocarías. Varios países más pequeños con economías menos diversificadas tienen mayores más exportaciones de alta tecnología como una parte de las exportaciones totales de fabricación (tenga cuidado con Kazajstán y Costa Rica). Aún así, el número de China está creciendo, algo que no está sucediendo en muchos lugares, especialmente en el [...]
Leer más
Energizar a los empleados con una estrategia ecológica

Energizar a los empleados con una estrategia ecológica

En tiempos de alta tensión económica y despidos, puede ser difícil mantener la moral de los empleados. Generar su negocio e involucrar a todos en el proceso, puede mantener a las personas motivadas y ayudar a su compañía a salir a salir de la tormenta. Responderán aún más con entusiasmo si la organización se está poniendo más magra y verde para los propósitos duales [...]
Leer más
¿Cuánto debe ganar una corporación?

¿Cuánto debe ganar una corporación?

Este artículo presenta los hallazgos de investigación de una empresa líder de EE. UU., AT & T, en una serie de importantes preguntas económicas y problemas, con una interpretación del material por parte de los mejores ejecutivos de la compañía. El sujeto es patrones de ganancias corporativas en diferentes industrias, tendencias de inversión, la relación de ganancias e inversiones a PNB, y otros [...]
Leer más
Confiar, pero verificar

Confiar, pero verificar

La confianza entre los miembros del equipo es buena, generalmente. Pero con algunos equipos, demasiada confianza en realidad puede deprimir el rendimiento, encuentra a Claus Langfred, un profesor de comportamiento organizativo en la Universidad de Washington en St. Louis. Langfred encuestó a 71 equipos autogestionantes de estudiantes de MBA para medir los niveles de confianza, autocontrol y autonomía dentro de ellos. Los equipos trabajaron durante cuatro meses [...].
Leer más

Newsletter

Avanza tu carrera profesional, con el resumen semanal de las publicaciones, un libro de negocio resumido en 10 minutos y entrevistas con líderes de negocio