El factor humano de la ciberseguridad: lecciones del Pentágono

La gran mayoría de las empresas están más expuestas a ciberataques de lo que tienen que estar. Para cerrar las brechas en su seguridad, los directores ejecutivos pueden tomar el ejemplo del ejército estadounidense. Una vez un coloso de IT vulnerable, se está convirtiendo en un operador ágil de redes bien defendidas. Hoy en día, los militares pueden detectar y remediar las intrusiones en cuestión de horas, si no minutos. Solo de septiembre de 2014 a junio de 2015, repelió más de 30 millones de ataques maliciosos conocidos en los límites de sus redes. Del pequeño número que sí pasó, menos del 0,1% comprometió los sistemas de alguna manera. Dada la sofisticación de los ciberadversarios del ejército, ese récord es una hazaña significativa.

Una lección clave de la experiencia del ejército es que, si bien las actualizaciones técnicas son importantes, minimizar los errores humanos es aún más crucial. Los errores de los administradores y usuarios de la red (fallos al corregir las vulnerabilidades en sistemas heredados, configuraciones incorrectas, violaciones de los procedimientos estándar) abren la puerta a la abrumadora mayoría de los ataques exitosos.

El enfoque militar para abordar esta dimensión de seguridad le debe mucho al almirante Hyman Rickover, el «Padre de la Armada Nuclear». En sus más de 60 años de existencia, el programa de propulsión nuclear que ayudó a lanzar no ha sufrido ni un solo accidente. Rickover se centró intensamente en el factor humano, velando por que los operadores de plantas de propulsión a bordo de buques de propulsión nuclear recibieran una formación rigurosa para evitar errores y detectar y corregir anomalías antes de que se produjeran en cascada en graves fallos de funcionamiento. El Departamento de Defensa de los Estados Unidos ha estado adoptando constantemente protocolos similares a los de Rickover en su lucha por frustrar los ataques contra sus sistemas informáticos. Dos de los autores de este artículo, Sandy Winnefeld y Christopher Kirchhoff, participaron profundamente en esos esfuerzos. El propósito del artículo es compartir el enfoque del departamento para que los líderes empresariales puedan aplicarlo en sus propias organizaciones.

Al igual que el Departamento de Defensa, las empresas están bajo bombardeos constantes de todo tipo de fuentes: estados-nación, sindicatos criminales, cibervándalos, intrusos contratados por competidores sin escrúpulos, insidentes descontentos. Los ladrones han robado o comprometido la tarjeta de crédito o la información personal de cientos de millones de clientes, incluidos los de Sony, Target, Home Depot, Neiman Marcus, JPMorgan Chase y Anthem. Han conseguido robar información patentada sobre depósitos de petróleo y gas de las compañías energéticas en el momento en que se completaron los estudios geológicos. Han eliminado las estrategias de negociación de las redes corporativas internas en el período previo a los acuerdos importantes y los datos de sistemas de armas de contratistas de defensa. En los últimos tres años, las intrusiones en la infraestructura crítica de EE. UU. (sistemas que controlan las operaciones en los sectores químico, eléctrico, de agua y de transporte) se han multiplicado 17 veces. No es de extrañar, pues, que el gobierno estadounidense haya hecho de mejorar la ciberseguridad en los sectores público y privado una prioridad nacional. Pero, como subraya el reciente hackeo de la Oficina de Gestión de Personal del gobierno federal, también es un desafío monumental.

El ciberviaje de los militares

En 2009, el Departamento de Defensa, al igual que muchas empresas actuales, estaba ensillado con una amplia gama de sistemas de IT y enfoques de seguridad dispares. Cada una de sus tres ramas militares, cuatro servicios uniformados y nueve comandos de combatientes unificados había funcionado durante mucho tiempo como su propio centro de pérdidas y ganancias, con una discreción sustancial sobre sus inversiones en IT. En total, el departamento consta de 7 millones de dispositivos que operaban en 15 000 enclaves de red, todos administrados por diferentes administradores de sistemas, que configuraron sus partes de la red según diferentes estándares. No era una receta para la seguridad o la eficiencia.

Ese año, reconociendo las oportunidades de mayor coherencia y la necesidad de frenar el aumento de los incidentes perjudiciales, Robert Gates, entonces secretario de defensa, creó el Comando Cibernético de los Estados Unidos. Llevó las operaciones de red en todo el dominio.mil bajo la autoridad de un oficial de cuatro estrellas. El departamento comenzó a consolidar simultáneamente sus redes en expansión, colapsando los 15.000 sistemas en una única arquitectura unificada denominada Entorno de Información Conjunto. El trabajo ha sido laborioso, pero pronto los barcos, submarinos, satélites, naves espaciales, aviones, vehículos, sistemas de armas y cada unidad del ejército se vincularán en una estructura común de mando y control que abarca todos los dispositivos de comunicación. Lo que antes fue una mezcla de más de 100.000 administradores de redes con diferentes cadenas de mando, estándares y protocolos está evolucionando hacia un cuadro de defensores de redes de élite muy ajustados.

Al mismo tiempo, el Comando Cibernético de los Estados Unidos ha estado actualizando la tecnología militar. Los sofisticados sensores, los análisis y las «pilas de seguridad» consolidadas (conjuntos de equipos que realizan diversas funciones, incluida la analítica de big data) proporcionan a los administradores de red una mayor visibilidad que nunca. Ahora pueden detectar rápidamente anomalías, determinar si representan una amenaza y alterar la configuración de la red en respuesta.

Fuente Departamento de Defensa de EE. UU.

La interconexión de redes anteriormente separadas presenta nuevos riesgos (por ejemplo, que el malware podría extenderse por los sistemas o que una vulnerabilidad en un sistema permitiría a alguien robar datos de otro). Sin embargo, estas ventajas se ven superadas en gran medida por las ventajas: monitoreo central, defensas estandarizadas, fácil actualización y reconfiguración instantánea en caso de ataque. (Por supuesto, las redes clasificadas se desconectan de redes no clasificadas).

Sin embargo, la arquitectura unificada y la tecnología de última generación son solo parte de la respuesta. En casi todas las penetraciones en la red.mil, la gente ha sido el eslabón débil. El Estado Islámico tomó brevemente el control del feed de Twitter del Comando Central de los Estados Unidos en 2015 al explotar una cuenta individual que no se había actualizado a la autenticación de doble factor, medida básica que exige a los usuarios verificar su identidad por contraseña más un generador de números de token o chip cifrado. En 2013, una nación extranjera tuvo una racha de cuatro meses dentro de la red no clasificada de la Marina de los Estados Unidos al explotar un defecto de seguridad en un sitio web público que conocían los expertos en IT de la marina, pero no logró arreglar. La infracción más grave de una red clasificada ocurrió en 2008, cuando, en violación del protocolo, un miembro del Comando Central de una base de Oriente Medio insertó una unidad de memoria cargada de malware directamente en un equipo de escritorio seguro.

Si bien las recientes intrusiones muestran que la seguridad actual no es perfecta en absoluto, el desempeño humano y técnico de los administradores y usuarios de la red militar es mucho más fuerte gracias a varias medidas que en 2009. Un punto de referencia son los resultados de las inspecciones de ciberseguridad de los comandos, cuyo número ha aumentado de 91 en 2011 a 285 previsto en 2015. A pesar de que los criterios de calificación se han vuelto más estrictos, el porcentaje de comandos que recibieron una calificación aprobada, que se demuestra que están «preparados para el ciber-», ha aumentado del 79% en 2011 a más del 96% este año.

Las empresas también deben abordar el riesgo de error humano. Los piratas informáticos penetraron en JPMorgan Chase explotando un servidor cuya configuración de seguridad no se había actualizado a la autenticación de doble factor. La exfiltración de 80 millones de registros personales de la aseguradora de salud Anthem, en diciembre de 2014, fue casi seguro el resultado de un correo electrónico de «phishing con lanza» que comprometió las credenciales de varios administradores del sistema. Estos incidentes subrayan el hecho de que se producen errores entre ambos Los profesionales de IT y la fuerza laboral en general. Varios estudios muestran que la mayor parte de los ataques se puede prevenir simplemente mediante la aplicación de parches de vulnerabilidades conocidas y asegurando que las configuraciones de seguridad estén correctamente configuradas.

La clara lección aquí es que la gente importa tanto como, si no más, la tecnología. (De hecho, la tecnología puede crear una falsa sensación de seguridad). Los ciberdefensores deben crear «organizaciones de alta confiabilidad», creando una cultura excepcional de alto rendimiento que minimice los riesgos de manera constante. «Tenemos que ir más allá de centrarnos solo en la pieza tecnológica aquí», ha dicho el almirante Mike Rogers, que supervisa el Comando Cibernético de los Estados Unidos. «Se trata de ethos. Se trata de cultura. [Se trata de] cómo se trabaja, capacita y equipa a su organización, cómo la estructura, los conceptos operativos que aplica».

La organización de alta fiabilidad

El concepto de organización de alta fiabilidad, o HRO, surgió por primera vez en empresas donde las consecuencias de un solo error pueden ser catastróficas. Tome las líneas aéreas, el sistema de control del tráfico aéreo, los vuelos espaciales, las centrales nucleares, la lucha contra incendios forestales y el ferrocarril de alta velocidad. Dentro de estas operaciones altamente técnicas, la interacción de los sistemas, los subsistemas, los operadores humanos y el entorno externo suele dar lugar a desviaciones que deben corregirse antes de que se conviertan en problemas desastrosos. Estas organizaciones están muy lejos de mejorar continuamente las fábricas «magras». Sus operadores y usuarios no tienen el lujo de aprender de sus errores.

Fuente Informe Norton 2013, Symantec

Una tecnología de operación segura que es intrínsecamente arriesgada en un entorno peligroso y complejo requiere algo más que invertir en la mejor ingeniería y materiales. Las organizaciones de alta fiabilidad poseen un profundo conocimiento de sus propias vulnerabilidades, están profundamente comprometidas con principios operativos probados y altos estándares, articulan claramente la rendición de cuentas y probarán atentamente las fuentes de fracaso. Michael Byers

El programa de propulsión nuclear de la Marina de los Estados Unidos es, sin duda, la HRO con más larga trayectoria. Manejar un reactor nuclear en un submarino en las profundidades del océano, sin comunicación con cualquier asistencia técnica durante largos períodos de tiempo, no es una hazaña pequeña. El almirante Rickover impulsó una estricta cultura de excelencia en cada nivel de la organización. (Tan dedicado estaba a garantizar que solo las personas que podían manejar tal cultura entraran en el programa que, durante sus 30 años al frente, entrevistó personalmente a todos los oficiales que solicitaban unirse a él, una práctica que cada uno de sus sucesores ha continuado).

En el centro de esa cultura se encuentran seis principios interconectados, que ayudan a la marina a eliminar y contener el impacto del error humano.

1. Integridad.

Con esto nos referimos a un ideal profundamente internalizado que lleva a la gente, sin excepción, a eliminar los «pecados de comisión» (desviaciones deliberadas del protocolo) y a hacerse cargo inmediatamente de los errores. La armada nuclear lo inculca a la gente desde el primer día, dejando claro que no hay segundas oportunidades de fallas. Por lo tanto, no solo es improbable que los trabajadores adopten atajos, sino que también notifiquen a los supervisores de cualquier error de inmediato, por lo que se pueden corregir rápidamente y no necesitar investigaciones prolongadas después, después de que se haya producido un problema. Los operadores de plantas de propulsión informan fielmente de todas las anomalías que se elevan por encima de un bajo umbral de gravedad a la sede técnica central del programa. Los oficiales al mando de los buques son plenamente responsables de la salud de sus programas, incluida la honestidad en la presentación de informes.

2. Profundidad del conocimiento.

Si las personas comprenden a fondo todos los aspectos de un sistema, incluida la forma en que se diseña, sus vulnerabilidades y los procedimientos necesarios para operarlo, reconocerán con mayor facilidad cuando algo anda mal y manejarán cualquier anomalía de forma más eficaz. En la armada nuclear, los operadores están rigurosamente entrenados antes de poner sus manos en una verdadera planta de propulsión y son supervisados de cerca hasta que sean competentes. A partir de entonces, se someten a monitorización periódica, cientos de horas de entrenamiento adicional y simulacros y pruebas. Se espera que los capitanes de buques supervisen periódicamente el entrenamiento e informen trimestralmente sobre el dominio de la tripulación.

3. Cumplimiento de procedimientos.

En los buques nucleares, los trabajadores deben saber, o saber dónde encontrar, los procedimientos operativos adecuados y seguirlos al pie de la letra. También se espera que reconozcan cuándo una situación ha eclipsado los procedimientos escritos existentes y se requiere otros nuevos.

Una de las formas en que la armada nuclear maximiza el cumplimiento es a través de su amplio sistema de inspecciones. Por ejemplo, cada buque de guerra se somete periódicamente a exámenes de salvaguardia de reactores operativos difíciles, que implican pruebas escritas, entrevistas y observaciones de las operaciones cotidianas y de respuestas a emergencias simuladas. Además, un inspector de la oficina regional de Reactores Navales puede subir a bordo cada vez que un barco se encuentra en puerto, sin previo aviso, para observar las operaciones y el mantenimiento de las centrales eléctricas en curso. El comandante del barco es responsable de cualquier discrepancia que pueda encontrar el inspector.

4. Respaldo contundente.

Cuando está funcionando una planta de propulsión nuclear, los marineros que realmente la controlan, incluso aquellos que tienen mucha experiencia, siempre son monitoreados de cerca por personal superior. Cualquier acción que presente un alto riesgo para el sistema debe ser llevada a cabo por dos personas, no solo una. Y cada miembro de la tripulación, incluso la persona más joven, está facultado para detener un proceso cuando surge un problema.

5. Una actitud de interrogatorio.

Esto no es fácil de cultivar en ninguna organización, especialmente una con una estructura formal de rango en la que la norma es el cumplimiento inmediato de los pedidos. Sin embargo, esa mentalidad es inestimable: si la gente está entrenada para escuchar sus alarmas internas, buscar las causas y luego tomar medidas correctivas, las posibilidades de que eviten los problemas aumentan drásticamente. Los operadores con actitudes de cuestionamiento funcionan con doble y triple verificación, permanecen alerta ante anomalías y nunca están satisfechos con una respuesta no exhaustiva. Simplemente preguntando por qué las lecturas por hora de un instrumento oscuro de cada cien están cambiando de forma anormal o por qué una red exhibe cierto comportamiento puede evitar daños costosos a todo el sistema.

6. Formalidad en la comunicación.

Para minimizar la posibilidad de que las instrucciones se den o reciban incorrectamente en momentos críticos, los operadores de buques nucleares se comunican de forma prescrita. Quienes dan órdenes o instrucciones deben expresarlas claramente y los destinatarios deben repetirlas literalmente. La formalidad también significa establecer una atmósfera de gravedad adecuada eliminando la pequeña charla y la familiaridad personal que pueden provocar falta de atención, suposiciones defectuosas, pasos omitidos u otros errores.

Las violaciones de la ciberseguridad causadas por errores humanos casi siempre implican la violación de uno o más de estos seis principios. He aquí una muestra de algunos del Departamento de Defensa descubierto durante los ejercicios de prueba rutinarios:

• Un educado oficial del cuartel general sujetó la puerta a otro oficial, que en realidad era un intruso que llevaba una tarjeta de identificación falsa. Una vez dentro, el intruso podría haber instalado malware en la red de la organización. Principios violados: cumplimiento del procedimiento y actitud de cuestionamiento.
• Un administrador del sistema, navegando por la web desde su cuenta elevada, que tenía menos restricciones automáticas, descargó un popular videoclip que era «viral» en más de una forma. Principios violados: integridad y cumplimiento de procedimientos.
• Un oficial de personal hizo clic en un enlace en un correo electrónico prometiendo descuentos para compras en línea, lo que en realidad fue un intento de los probadores de plantar una puerta trasera de phishing en su estación de trabajo. Principios violados: actitud de cuestionamiento, profundidad de conocimientos y cumplimiento de procedimientos.
• Un nuevo administrador de red instaló una actualización sin leer la guía de implementación y sin supervisión. Como resultado, las actualizaciones de seguridad anteriores estaban «sin parches». Principios violados: profundidad de conocimientos, cumplimiento de procedimientos y respaldo contundente.
• Un servicio de ayuda de red restablece una conexión en una oficina sin investigar por qué se había desactivado la conexión en primer lugar, aunque el motivo podría haber sido un apagado automático para evitar la conexión de un equipo o usuario no autorizado. Principios violados: cumplimiento del procedimiento y actitud de cuestionamiento.

Creación de una organización de IT de alta fiabilidad

Sin duda, cada organización es diferente. Por lo tanto, los líderes deben tener en cuenta dos factores al diseñar el enfoque y el calendario para convertir a sus empresas en HRO de seguridad cibernética. Uno es el tipo de negocio y su grado de vulnerabilidad a los ataques. (Los servicios financieros, la fabricación, los servicios públicos y las grandes empresas minoristas están especialmente en riesgo). Otra es la naturaleza de la fuerza de trabajo. Un personal creativo formado principalmente por millennials acostumbrados a trabajar desde casa con herramientas de colaboración en línea presenta un desafío diferente al de los empleados de ventas o de fabricación acostumbrados a entornos estructurados con muchas reglas.

Es más fácil crear una cultura de reglas para los administradores de redes y el personal de ciberseguridad que para toda la plantilla. Sin embargo, esto último es sin duda posible, incluso si una empresa tiene un gran número de empleados y una cultura establecida. Sea testigo de las muchas empresas que han cambiado con éxito sus culturas y enfoques operativos para aumentar la calidad, la seguridad y la igualdad de oportunidades.

Sea cual sea la dinámica de sus organizaciones, los líderes pueden implementar una serie de medidas para incorporar los seis principios en las rutinas cotidianas de los empleados.

Toma el control.

Una encuesta reciente realizada por la Universidad de Oxford y el Centro para la Protección de la Infraestructura Nacional del Reino Unido reveló que la preocupación por la ciberseguridad era significativamente menor entre los gerentes dentro de la suite principal que entre los gerentes ajenos a ella. Tal miopía en la cima es un problema grave, dadas las consecuencias financieras de los ciberataques. En un estudio de 2014 realizado por el Ponemon Institute, el coste medio anualizado de la ciberdelincuencia incurrida por una muestra de referencia de empresas estadounidenses fue de 12,7 millones de dólares, lo que supone un aumento del 96% en cinco años. Mientras tanto, el tiempo que llevó resolver un ciberataque había aumentado un 33%, en promedio, y el coste medio en que se incurrió para resolver un solo ataque ascendió a más de 1,6 millones de dólares.

La realidad es que si los directores ejecutivos no se toman en serio las amenazas de ciberseguridad, sus organizaciones tampoco lo harán. Puedes apostar a que Gregg Steinhafel, que fue expulsado de Target en 2014 después de que los ciberdelincuentes robaran la información de sus clientes, desearía haberlo hecho.

Fuente Departamento de Defensa de EE. UU.

Los jefes ejecutivos saben que la consolidación de sus sistemas de red, como lo ha hecho el Departamento de Defensa, es importante. Pero muchos no se están moviendo lo suficientemente rápido, sin duda porque esta tarea puede ser enorme y costosa. Además de acelerar ese esfuerzo, deben reunir a todo su equipo de liderazgo (gestión técnica y de línea y recursos humanos) para que las personas, los principios y los sistemas de IT trabajen juntos. Enfatizar repetidamente la importancia de los problemas de seguridad es clave. Además, los directores ejecutivos deben resistir las garantías generales de los directores de TI que afirman que ya están adoptando prácticas de alta fiabilidad y dicen que todo lo que se necesita es aumentar el presupuesto de seguridad o las herramientas de seguridad más recientes.

Los directores ejecutivos deben plantearse a sí mismos y a sus equipos de liderazgo preguntas difíciles sobre si están haciendo todo lo posible para construir y mantener una cultura de HRO. ¿Los administradores de red se aseguran de que las funciones de seguridad de los sistemas estén activadas y actualizadas? ¿Cómo se llevan a cabo las auditorías puntuales sobre el comportamiento y qué ocurre si se detecta un lapso significativo? ¿Qué programas de formación estandarizados para los aspectos conductuales y técnicos de la ciberseguridad existen y con qué frecuencia se actualizan esos programas? ¿Son las tareas de ciberseguridad más importantes, incluida la manipulación de configuraciones que podrían exponer el sistema, llevadas a cabo formalmente, con el tipo de respaldo adecuado? En esencia, los directores ejecutivos deben preguntar constantemente qué significan en sus organizaciones la integridad, la profundidad del conocimiento, el cumplimiento de los procedimientos, el respaldo contundente, una actitud de cuestionamiento y formalidad. Mientras tanto, los consejos de administración, en su función de supervisión, deberían preguntar si la administración está teniendo debidamente en cuenta la dimensión humana de la ciberdefensa. (Y, de hecho, muchos están empezando a hacerlo).

Haz que todos rindan cuentas.

Los comandantes militares son ahora responsables de la buena administración de la tecnología de la información, al igual que todos los demás en las filas. El Departamento de Defensa y el Comando Cibernético de los Estados Unidos están estableciendo un sistema de informes que permite a las unidades rastrear sus violaciones de seguridad y anomalías en un simple cuadro de mandos. Antes, la información sobre quién cometió un error y su gravedad solo la conocían los administradores del sistema, si se rastreaba en absoluto. Pronto, los comandantes superiores podrán supervisar el rendimiento de las unidades casi en tiempo real, y ese rendimiento será visible para las personas en niveles mucho más altos.

El objetivo es hacer de la seguridad de la red una prioridad cotidiana tanto para las tropas como mantener sus rifles limpios y operativos. Cada miembro de un servicio armado debe conocer y cumplir con las normas básicas de higiene de la red, incluidas las destinadas a impedir que los usuarios introduzcan hardware potencialmente contaminado, descarguen software no autorizado, accedan a un sitio web que podría comprometer las redes o caer presa de correos electrónicos de phishing. Cuando se rompe una regla, y especialmente si se trata de una cuestión de integridad, se espera que los comandantes disciplinen al delincuente. Y si se encuentra un clima de complacencia en una unidad, el comandante será juzgado en consecuencia.

Las empresas deberían hacer lo mismo. Si bien las mismas medidas no siempre están disponibles para ellos, todos los gerentes, desde el CEO en adelante, deben ser responsables de garantizar que sus informes sigan las prácticas de ciberseguridad. Los gerentes deben entender que ellos, junto con los empleados en cuestión, serán considerados responsables. Todos los miembros de la organización deben reconocer que son responsables de las cosas que pueden controlar. Esta no es la norma en muchas empresas.

Instituir normas uniformes y formación y certificación gestionadas centralmente.

El Cyber Command de los Estados Unidos ha desarrollado estándares para garantizar que cualquier persona que opere o utilice una red militar esté certificada para hacerlo, cumpla con criterios específicos y reciba una nueva formación a intervalos apropiados. El personal de los equipos dedicados a las redes de defensa se somete a una amplia formación formal. Para estos ciberprofesionales, el Departamento de Defensa está avanzando hacia el modelo establecido por la marina nuclear: instrucción en el aula, autoestudio y, al final del proceso, un examen formal graduado. Para construir un amplio y profundo oleoducto de defensores, las academias militares exigen que todos los asistentes tomen cursos de ciberseguridad. Dos academias ofrecen un título principal en ciberoperaciones y dos ofrecen títulos secundarios. Todos los servicios cuentan ahora con escuelas para formación avanzada y trayectorias profesionales específicas para especialistas en ciberseguridad. El ejército también está incorporando la ciberseguridad en los programas de educación continua para todo el personal.

En cambio, relativamente pocas empresas tienen ciberformación rigurosa para el rango y el archivo, y aquellas que rara vez la aumentan con cursos de actualización o sesiones de información a medida que surgen nuevas amenazas. No basta con enviar correos electrónicos a los empleados sobre nuevos riesgos. Tampoco la práctica común de exigir a todos los empleados que tomen un curso anual que implica pasar una o dos horas revisando las políticas digitales, con un breve cuestionario después de cada módulo.

Es cierto que las medidas más intensivas requieren mucho tiempo y una distracción de los negocios cotidianos, pero son imperativas para empresas de todos los tamaños. Deben ser tan sólidos como los programas para hacer cumplir las prácticas éticas y de seguridad, y las empresas deben hacer un seguimiento de la asistencia. Después de todo, solo se necesita una persona no entrenada para causar una violación.

Formalidad de pareja con refuerzos contundentes.

En 2014, el ejército estadounidense creó un constructo que detallaba con gran detalle su estructura de cibermando y control, especificando quién está a cargo de qué y a qué niveles se administran y cambian las configuraciones de seguridad en respuesta a eventos de seguridad. Ese marco claro de presentación de informes y responsabilidades se respalda con una salvaguardia adicional: cuando se realizan actualizaciones de seguridad en las partes principales de la red del Departamento de Defensa o los administradores del sistema acceden a áreas donde se almacena información confidencial, se aplica una regla de dos personas. Ambas personas deben tener la vista puesta en la tarea y estar de acuerdo en que se realizó correctamente. Esto añade un grado adicional de fiabilidad y reduce drásticamente el riesgo de ataques internos de lobo solitario.

Fuente Departamento de Defensa de EE. UU.

No hay razón por la que las empresas no puedan hacer estas cosas también. La mayoría de las grandes empresas ya han podado agresivamente su lista de usuarios del sistema «privilegiados» y han creado procesos para retractar los derechos de acceso de los contratistas que abandonan un proyecto y los empleados abandonan la empresa. Las medianas y pequeñas empresas deberían hacer lo mismo.

Un software económico y fácil de instalar puede proporcionar una forma de copia de seguridad que avisa a los empleados cuando transfieren o descargan información confidencial o les impide hacerlo y luego monitorea sus acciones. Recordar regularmente a los empleados que se supervisa su cumplimiento de las normas de seguridad reforzará una cultura de alta fiabilidad.

Comprueba tus defensas.

En junio de 2015, el Comando Cibernético de los Estados Unidos y el Departamento de Defensa anunciaron pruebas operativas amplias tanto para administradores de redes como para usuarios. El ejército también está estableciendo normas rigurosas para las inspecciones de ciberseguridad y coordinando estrechamente los equipos que las llevan a cabo.

Las empresas también deberían seguir el ejemplo aquí. Aunque muchas grandes empresas realizan auditorías de seguridad, a menudo se centran en la vulnerabilidad de las redes a los ataques externos y prestan muy poca atención a los comportamientos de los empleados. Los directores ejecutivos deberían considerar invertir más en capacidades para probar las prácticas de IT operativas y ampliar el papel de la función de auditoría interna para incluir tecnología, prácticas y cultura de ciberseguridad. (Los consultores externos también pueden proporcionar este servicio).

Además de las auditorías programadas, las empresas deben realizar comprobaciones puntuales aleatorias. Son muy eficaces para contrarrestar los accesos directos y los compromisos que se introducen en el lugar de trabajo, como transferir material confidencial a un portátil no seguro para trabajar en él en casa, utilizar servicios de nube pública para intercambiar información confidencial y compartir contraseñas con otros empleados. Es importante descubrir y corregir este comportamiento antes de que se produzca un problema grave.

Elimina el miedo a la honestidad y aumenta las consecuencias de la deshonestidad.

Los líderes deben tratar los errores no intencionales y ocasionales como oportunidades para corregir los procesos que les permitieron ocurrir. Sin embargo, no deberían dar segunda oportunidad a las personas que violan intencionalmente las normas y los procedimientos. Edward Snowden pudo acceder a información clasificada convenciendo a otro empleado civil de que introdujera su contraseña en la estación de trabajo de Snowden. Fue un incumplimiento importante del protocolo por el que el empleado fue despedido legítimamente. Esto hizo que muchos líderes militares se dieran cuenta de que una cultura operativa que hacía hincapié en la integridad, la actitud de cuestionamiento, el respaldo contundente y el cumplimiento de los procedimientos podrían haber creado un entorno en el que Snowden se habría detenido al frío. Tal incumplimiento de las normas habría sido impensable en el departamento de reactores de un buque de la marina. Michael Byers

Al mismo tiempo, debe alentarse a los empleados a reconocer sus errores inocentes. Cuando los operadores de plantas de propulsión nuclear descubren un error, están condicionados a revelarlo rápidamente a sus supervisores. Del mismo modo, un usuario de red que hace clic inadvertidamente en un correo electrónico o sitio web sospechoso debe estar condicionado a denunciarlo sin temor a censura.

Por último, debería ser fácil para todos en toda la organización hacer preguntas. Los operadores de la planta de propulsión están capacitados para consultar inmediatamente a un supervisor cuando se encuentran con una situación desconocida que no están seguros de cómo manejar. Del mismo modo, al garantizar que todos los empleados puedan obtener ayuda de una línea directa o de sus directivos, las empresas pueden reducir la tentación de adivinar o esperar que una acción en particular sea segura.

Sí, pedimos un enfoque mucho más formal y regimentado que el que emplean muchas empresas en la actualidad. Con las ciberamenazas que representan un peligro claro y presente para las empresas individuales y, por extensión, para la nación, no hay alternativa. Se necesitan reglas y principios para tapar los numerosos huecos de las ciberdefensas estadounidenses.

¿No podrían las empresas centrarse en proteger sus joyas de corona? No. En primer lugar, eso significaría varios estándares para la ciberseguridad, lo que sería difícil de gestionar y, por lo tanto, peligroso. En segundo lugar, las joyas de la corona a menudo no son lo que crees que son. (Se podría argumentar que la filtración de correos electrónicos embarazosos fue el aspecto más perjudicial de Corea del Norte) ataque de hackers en Sony Pictures Entertainment.) Por último, los hackers a menudo pueden obtener acceso a datos o sistemas altamente sensibles a través de un sistema aparentemente de bajo nivel, como el correo electrónico. Una empresa necesita un enfoque común para proteger todos sus datos.

Capacidad técnica, excelencia humana

Durante la última década, la tecnología de red ha evolucionado desde una sencilla utilidad que podría darse por sentado a un motor de operaciones importante pero vulnerable, cuya seguridad es una prioridad corporativa máxima. El elevado número de ciberataques lo ha dejado claro en abundancia. La tecnología por sí sola no puede defender una red. Reducir los errores humanos es al menos igual de importante, si no más. Adoptar los principios que un almirante irascible implantó en la marina nuclear hace más de 60 años es la forma de hacerlo.

Crear y fomentar una cultura de alta fiabilidad requerirá la atención personal de los directores ejecutivos y sus consejos, así como inversiones sustanciales en formación y supervisión. La ciberseguridad no va a ser barata. Sin embargo, estas inversiones deben realizarse. La seguridad y la viabilidad de las empresas, así como de las economías de las naciones en las que hacen negocios, dependen de ello.