El Rey Dionisio, “El viejo”, fue un sanguinario tirano que vivió en Siracusa alrededor del siglo IV a.C. En su corte había varios aduladores, como era habitual, pero entre ellos se destacaba uno, Damocles, quien se la pasaba envidiando los lujos y comodidades del tirano. Un día, Damocles, corroído por la envidia, habló con Dionisio y le dijo: “¡Debes estar muy feliz! Tienes todo lo que un hombre puede desear: fama, dinero, admiradores…”. El Rey cansado de las adulaciones envidiosas planeó un escarmiento para Damocles, le propuso un intercambio de roles para que pudiera disfrutar de los placeres de ser Rey por un día, Damocles aceptó inmediatamente sin pensarlo y el Rey encargó un banquete para esa misma noche. Cuando se encontraba sentado en la silla del Rey, disfrutando de los exquisitos beneficios, se percató que sobre su cabeza pendía una espada atada a un fino pelo de crin de caballo. En ese momento olvidó los privilegios y solo le preocupaba morir en cualquier momento. El Rey le preguntó qué sucedía y cuando Damocles le señaló la espada, Dionisio le respondió: “Sé que hay una espada amenazando tu vida, sin embargo ¿por qué debería preocuparte? Yo estoy siempre expuesto a peligros que podrían hacerme perder la vida en cualquier momento.” Inmediatamente Damocles rogó intercambiar el puesto y abandonar todos los privilegios y beneficios que este traía.
No es claro si este hecho sucedió o fue un invento del filósofo Cicerón para mostrar realidades y exponer los fundamentos de la felicidad, pero esta historia es muchas veces utilizada para mostrar lo poco evidente que puede ser la responsabilidad y el peso de una posición o trabajo. También representa una situación que era poco evidente y significativa hace un par de años.
Los aventurados
Previo al inicio de la pandemia, las áreas de seguridad, dirigidas por los más aventurados en la materia, eran equipos de trabajo supeditadas a la gerencia de Tecnología o al área de Gobierno, Riesgo y Cumplimento. Estas áreas estaban conformadas por pocas personas que entre muchas labores debían repartir su tarea en la definición y auditoría de políticas de seguridad para el correcto cumplimiento de alguna norma o regulación a la que la compañía estuviera obligada, y subrayo, obligada estrictamente a cumplir. En general, cuando eran convocados a participar en los proyectos se los incluía en las reuniones sobre el tramo final del proceso, previo a una salida a producción, con el único objetivo de dar el visto bueno a una herramienta que llevaba siendo implementada por un equipo de ingenieros durante los últimos 12 meses o más. Claro que todos en esa mesa esperaban una aprobación rápida al proyecto, y claro que eso no sucedía porque era en ese momento cuando eran advertidos de todos los riesgos, vulnerabilidades y principios de arquitectura de seguridad que habían sido omitidos. Cuando esto pasaba, las reuniones terminaban mal, con la mitad de la mesa señalando al área de seguridad como un contradictor al progreso del proyecto, un stopper que no entendía la urgencia del negocio y la estrategia corporativa, que se había quedado estancado en sus políticas y sus extra controles, en su cueva de ermitaño sin entender la realidad empresaria.
Y llegó la pandemia
En este contexto llegó el 2020 y un virus proveniente de China comenzó a cambiar la realidad del mundo. Como en una ficción se empezó a hablar de cuarentenas y aislamiento de ciudades enteras en ese país. No fue hasta que nos tocó de cerca que nos dimos cuenta de la seriedad del tema. Nos aislamos y seguimos nuestras vidas, pero ahora conectados desde nuestras casas, asistiendo a nuestros hijos para que pudieran iniciar sus clases por videollamada, mezclando la computadora personal con la laboral y las Webex familiares con las laborales. En ese contexto, todos los ojos se volcaron sobre el área de seguridad. De alguna forma era necesario flexibilizar las medidas y controles que durante años se habían establecido para las oficinas y data centers con el fin de permitir que todos pudieran conectarse desde su casa a aplicaciones, servidores y bases de datos que por años estuvieron kilómetros adentro de la zona desmilitarizada, protegidos por 2 o más firewalls y con accesos restringidos; de un momento a otro estos equipos estaban nuevamente en el ojo del huracán, debían actuar rápido y entender la nueva estrategia corporativa y urgencia de negocio. Así lo hicieron… todo se hizo para que el negocio siguiera funcionando.
El peso de la espada
Pero en ese momento la espada que se balanceaba sobre sus cabezas se hizo más pesada y el fino pelo de crin de caballo, más débil. Pocos entendieron la dimensión de los riesgos que se asumían y el nivel de exposición a la que las empresas quedaron expuestas desde el inicio de la pandemia, al punto que recién ahora se están viendo las consecuencias de años de presupuestos recortados y limitación del personal de seguridad.
De acuerdo al reporte sobre Cibercrimen de Interpol [1] las principales amenazas por la pandemia de COVID-19 en 2020 fueron Phishing/Scam con 59% y Malware y Ransomware con un 36%. Esto obedece a que la superficie de ataque aumentó como fruto del cambio hacia el teletrabajo, estilo al que las organizaciones tuvieron que rápidamente adaptar sistemas para acceso remoto, infraestructura y aplicaciones que antes eran solo accedidas desde las oficinas centrales y sucursales. El mismo informe menciona que en abril de 2020 se dio un pico de ataques de ransomware por múltiples grupos ciberdelincuentes que meses atrás se encontraban inactivos, acción que implícitamente podría indicar que existe ramsomware desplegado pero aún no activo esperando ser utilizado en momentos específicos para maximizar su impacto y precio por el rescate.
Después de dos años el panorama en las compañías sigue muy similar, muchas compañías no cambiaron y volvieron a la realidad de la prepandemia, incluso algunas todavía afirman que el trabajo de las áreas de ciberseguridad no es tan complejo y no requiere mayor inversión de personal y recursos tecnológicos, que solo deberían ceñirse a definir políticas y auditar controles que manualmente sean viables sin entorpecer los procesos de negocio. Nada está más alejado de la realidad y cada día el riesgo aumenta.
Hacia un nuevo paradigma
Urge entonces un cambio de paradigma. Un estudio realizado por Gartner pronostica que para el 2023 el 30% de los CISOs (Chief Information Security Officer) no solo deberán cumplir y ser responsables de la ciberseguridad de la compañía sino que además serán medidos directamente por su habilidad de aportar valor al negocio [2]. A primera vista esto parece contradictorio y muestra un futuro aún más incierto para las áreas de seguridad:¿cómo se puede ser más activo y seguir la velocidad que los negocios requieren y al mismo tiempo aportarle valor?
Para generar valor al negocio, la teoría general menciona que existen 3 factores a considerar: la imagen pública de la empresa, la percepción que los consumidores tienen de la misma y la efectividad de sus productos y servicios. Desde las áreas de ciberseguridad existen muchas formas en las que debemos generar valor y desde la mano de los ingenieros expertos de OCP TECH hemos desarrollado proyectos que garanticen y aporten valor a las compañías.
Cuando una brecha de seguridad es expuesta por atacantes filtrando datos privados de clientes, no hay nada que se afecte más que la imagen de la empresa, que tendrá que responder directamente ante autoridades judiciales y clientes por la información robada.
Todas las medidas que se tomen para la prevención de estos hechos ya sea mitigando riesgos conocidos como concientizando a los empleados de las organizaciones sobre los ataques a los que están expuestos, genera y preserva el valor de las compañías a largo plazo. Debemos entonces ser más asertivos en la forma de presentar los proyectos, justificar los casos de negocio y el costo total de propiedad de soluciones y proyectos de seguridad, pues ya no nos podemos limitar a mostrar el ahorro de costos que una herramienta puede brindar o regulación y norma que la justifica, debemos ir más lejos y facilitar la alineación a mediano y largo plazo con la estrategia de la compañía.
La mirada del consumidor
Por muchos años el consumidor se limitaba a ver los beneficios que le daba el producto y/o servicio y su costo comparado con productos similares o sustitutos, siempre guiado por su intuición. Esto ha evolucionado y es cada vez más complejo entender la mente de los usuarios. Hoy en día seleccionan un producto influenciados por una celebridad o por un video que vieron millones de personas en internet, pero si algo puede realmente influenciar en la compra de un producto o servicio es la percepción de confianza que este representa. Cuando estamos adquiriendo un servicio esa percepción puede verse afectada si una empresa no se toma en serio los riesgos de seguridad a los que están expuestos los clientes.
Métodos de autenticación, esquemas de prevención de fraude y factores de autenticación biométricos ya no son vistos por los usuarios como un dolor de cabeza y un impedimento en el uso de los servicios, sino que se perciben como elementos que los aseguran a ellos y a sus compras. En OCP TECH tenemos soluciones enfocadas en gestión de accesos de clientes, con métodos de autenticación fuertes y autenticación biométrica que se adaptan a las herramientas y soluciones digitales que las empresas ya posean sin deteriorar la experiencia de cliente en los diferentes canales digitales.
[1] COVID-19 Cybercrime Analysis Report- August 2020 - INTERPOL General Secretariat 200, quai Charles de Gaulle, 69006 Lyon, France.
[2] Rethink the Security & Risk Strategy - Embrace modern cybersecurity practices while enabling digital business. EDITED BY Tom Scholtz Distinguished VP Analyst, Gartner © 2021 Gartner, Inc. and/or its affiliates. All rights reserved.