¿Por qué mala seguridad es un mal negocio?

Los profesionales de seguridad a menudo somos vistos como difíciles de tratar. Podemos ser percibidos como que le tiramos una llave inglesa a más de una buena idea y que con nuestras incesantes demandas y restricciones que tratamos de imponer puede parecer como un cuello de botella artificial en conseguir algo en el mercado o en la producción. A menudo, se nos acusa de no tener “mentalidad empresarial” o algo por el estilo. Tomemos un poco de tiempo para divertirnos y al mismo tiempo, lanzar esa idea mal concebida a la hoguera de los mitos y cuentos de viejas.

Según algunas estimaciones, el costo total por los ataques que recibió Sony ascendía a más de $ 24 mil millones. Más difícil de cuantificar es el daño que acompaño a la marca. Sony anunció una pérdida anual de $ 4 mil millones en 2011, lo que ciertamente no puede ser enteramente atribuido a la catástrofe de seguridad, pero sin duda ha jugado su parte para contribuir a la pérdida total. Esta ruptura se produjo en un momento en que Sony ya estaba luchando para competir contra los nuevos participantes en el mercado de las otras áreas y necesitaba más que nunca de su rama de entretenimiento para compensar esta competencia.

Recientemente, Global Payment, Inc. se retiró de los proveedores de servicios de Visa PCI compatibles y vio una caída del 9% en el precio de sus acciones después de haber sufrido una violación de datos en marzo de 2012. Esto le sucedió a una empresa que gana su pan principalmente con el procesamiento de tarjetas y todavía no hizo lo que era necesario para proteger su negocio principal.

Nortel Networks fue víctima de una década de espionaje industrial realizada contra sus derechos reales de propiedad intelectual y los datos de desarrollo. Nortel ya no existe. En su día, fue uno de los mayores proveedores de equipos de telecomunicaciones y de red en el mundo.

Y como estos, esto seguro que existirán muchos casos más, no documentado.

Yo soy una persona común cuando se trata de negocios, pero a mí me parece que la mala seguridad es muy mal negocios.

Mirando el costo promedio de una violación de datos, ¿qué más mentalidad empresarial? los profesionales de la seguridad pudieron haber impedido estos desastres de alto costo, de la marca y el capital; ¿o los profesionales de negocios que son los que han tomado malas decisiones prepararon el escenario para estas infracciones?

Si eso es ser de mentalidad empresarial, entonces definitivamente, soy yo el que está mal. Puede que sea ingenuo, siendo sólo la persona de seguridad, pero siempre he trabajado bajo la impresión de que la práctica de un buen negocio significa que se crea algo que es escalable, que sea sostenible, que evita hacer innecesarias las enormes pérdidas, y si es posible, trata de no jugar con los datos de buena calidad y por lo tanto con el amor a la marca y la lealtad de sus clientes. ¿Eso suena como un mal negocio?

El problema, como la mayoría de los problemas de esta naturaleza suelen ser que se basan en la historia, la tradición y la ignorancia, por supuesto. El pensamiento de negocios aún no ha evolucionado, para ser consciente, y no se tienen en cuenta los nuevos desafíos y demandas sobre la estrategia y las operaciones donde tenemos cambios de gran alcance como en la forma de comunicarnos y utilizar la tecnología, aun cuando las consecuencias de los fracasos de la no adaptación son obvias a la vista de todos.

Las escuelas de negocios apenas tocan el tema de la seguridad de la información o riesgos de la Información. Eso es un defecto fatal en este nuevo mundo, donde ahora están muchos negocios llevándose a cabo de forma digital y virtual, que la economía se pararía en un punto muerto si la red no estaba disponible, ni siquiera por un corto tiempo. El mundo ha evolucionado y progresado. Los intereses comerciales no han tardado en saltar sobre las posibilidades que se han abierto y se han saturado nuevos mercados enteros de la nada, que una década antes eran sólo los delirios o ideas fantasiosas de algunos friki hardcore. Sin embargo, las empresas todavía están luchando con las otras consecuencias de esta evolución y todavía tienen que reconocer que ya no estamos en la tierra de la fantasía.

Se habla mucho del moderno CISO que debe tener más inteligencia de negocios y cómo su rol debe enfocarse en ser propicio para la empresa. Yo digo que es el pensamiento del siglo 20 en su peor momento, y se deriva de una falta total de comprensión de dónde estamos y sobre todo a donde vamos.

Yo no creo en el argumento de que el objetivo o tarea prevista para seguridad es permitir los negocios. Creo que tiene el propósito de asegurar que sus datos, su propiedad intelectual, sus comunicaciones, sus activos, estén adecuadamente protegidos; que el valor de las acciones están suficientemente controladas y que el negocio puede prosperar durante muchos años más.

La seguridad tiene que estar en la medula de una organización o nunca será integral y por lo tanto eficaz. Cualquier otro enfoque dará lugar a una negociación con seguridad, pero no a un negocio seguro. El líder de negocios en el futuro tendrá que ser más conscientes de la seguridad y tendrá que ser más conscientes, considerado y respetuoso de la seguridad de la información y sus implicaciones, hoy más que nunca.

Esto no es una cuestión de una falta de formación o tiempo insuficiente. La concienciación sobre la seguridad no es una habilidad es una forma de pensar. Una mentalidad que nace de una comprensión de los riesgos y problemas involucrados y la consecuente “paranoia de estar informado” que se desarrolla cuando suceden. Y esa mentalidad es ahora un requisito de negocio en sí mismo, si quieres tener un negocio hoy en día y más aún en el futuro.

Estamos en el precipicio de una nueva era que cambiará fundamentalmente la forma en que funciona el mundo, se comunica y se organiza. En estos momentos estamos viendo sólo la sombra de ella, pero ya da una idea del esbozo de lo que está por venir, y el niño, es un gran cataclismo de paradigma sin precedentes cambiando la forma de juego. Las empresas tendrán que evolucionar rápidamente para adaptarse a esta nueva era, porque de no hacerlo, significará el fin para estas, esto será como el big bang.

En este sentido, las perspectivas para muchas empresas sobre la base de los últimos acontecimientos y las cualidades actuales no son particularmente buenas. La seguridad se considera un costo adicional, sin beneficio mensurable, una idea de último momento o algo para poner en práctica para cumplir la normativa.

Una buena analogía es el Dodo. El Dodo esta extinto como es bien conocido, pero menos discutido es cómo llegó a ser de esa manera. Su hábitat era la isla de Mauricio, donde durante muchos milenios vivió una vida sin preocupaciones, sin miedo a los depredadores o la competencia, aparte de otros Dodos. La vida era simple, la vida era buena, el Dodo vivía sin preocupaciones y solos concentrándose en la búsqueda de alimentos. Entonces, los tiempos cambian drásticamente y es un desastre para los pobres pájaro libre de preocupaciones. El hombre encuentra Mauricio y con el hombre vinieron perros, cerdos, ratas y una variedad de otras amenazas y competencia, el Dodo no pudo adaptarse a los nuevos términos.

Hay historias que cuentan que podías caminar hasta el Dodo atraparlos y golpearlo hasta la muerte, sin el ave saber el peligro o la sensación de riesgo, al igual que la mayoría de las víctimas de un ataque de inyección SQL, en realidad. Aproximadamente, un siglo después de los primeros registros del Dodo, este dejó de existir, la extinción dejó sólo algunos huesos y algunos moldes de yeso, esto nos debe ponen a pensar. Y que a pesar del hecho de que su carne fue descrita como de bastante mal sabor.

Estamos en una situación similar. Apenas 20 años atrás, no había teléfonos móviles en el uso del día a día, en las oficinas aún casi todo se hacía en papel y las redes fueron pensadas, generalmente, para realizar trabajos de impresión y faxes. Ahora no estamos aislados y dejamos de vivir en paz nuestras vidas sin pequeñas preocupaciones y sin presiones externas.

Ningún accionista, cliente o votante quiere que alguien a cargo no sea capaz de comprender y evaluar el riesgo y la seguridad. Ciberdelincuencia, el ciberterrorismo, espionaje cibernético y la guerra cibernética. Estos son ahora una característica permanente en el panorama de las amenazas y los problemas de negocios reales, con todo lo que ello implica.

Con los depredadores del ecosistema de seguridad como los Anonymous, hackers chinos, Cyberejercito iraníes, agencias extranjeras de inteligencia, espías corporativos y otros cazadores menos obvios, como los medios de comunicación, que giran alrededor del viejo, débil y cojo del ganado, la selección natural se iniciará con una venganza. Al igual que en la naturaleza, cuando un nicho ecológico se introduce una nueva especie, la cadena alimentaria pronto comienza a consolidarse y encuentra el equilibrio, con aquellos jugadores que no tengan capacidad de adaptarse lo suficientemente rápido, proporcionando una presa fácil para los demás.

Los líderes de gestión y de negocios tendrán que tomar nota rápidamente y aprender a reconocer los riesgos de seguridad de la información como los riesgos reales para su éxito, o se irán a la manera del Dodo.