lunes, 16 de octubre de 2017

Como agua para las flores

Cuenta la leyenda que había un hombre que siempre había querido vivir en una casa llena de plantas y flores. Compró y compró hasta tener la casa llena de macetas. Estaba preciosa, parecía un jardín tropical. Pero a los pocos días las hojas se volvían amarillentas y mustias y a la semana todas las plantas morían. Preocupado, bajó a la floristería y se lo comentó a la dependienta, la cual le preguntó: “¿Cuántas veces las riegas? Y él respondió: “¿Regar? Nadie me había dicho que tuviera que regarlas”

En el mundo de la ciberseguridad, todas las empresas quieren un exuberante jardín con fértiles árboles y abundantes flores. Pero muchas olvidan que hay unas necesidades básicas que requieren unas estrategias más amplias de las que se tenían hasta el momento. En la entrevista de la semana David Mahon habla sobre ello , Director Ejecutivo de Estrategia en CenturyLink. 

Su vida profesional es un claro ejemplo de cómo la ciberseguridad se está incorporando como  un pilar básico a las empresas y sus estrategias. Hace unos años trabajó en aplicación de leyes en el FBI, liderando programas de cybercrimen, crimen "white-collar" y crimen organizado. Tras ese puesto vinieron otros más, pero destaca cómo en el sector de la ciberseguridad en el mismísimo FBI, ha llegado a desarrollar la estrategia completa para una empresa de telecomunicaciones como CenturyLink. 

En su puesto actual forma parte de una empresa con más de 40.000 empleados y más de 20.000 proveedores que opera en 35 países. La escala es brutal y por lo tanto, debido a su dimensión y profundidad, su “superficie” de ataque es mayor. En sus propias palabras: “Vemos las cosas de manera distinta a como las ven otras empresas. Somos grandes y recibimos ataques diariamente”.

Cuando se le pregunta acerca del temor de la imparable llegada de la Inteligencia Artificial a las empresas y de cómo esta nueva tecnología puede afectar a los tipos de ataques, Mahon lo tiene claro: “Mucha gente me pregunta exactamente lo mismo y yo les contesto que los ataques serán exactamente iguales que los que hemos recibido este año. La razón es que las empresas no están resolviendo el problema actual.” Según él, las empresas se dividen en tres categorías: reactivas, proactivas y predictivas. Mahon dice: “La gran mayoría de las empresas son reactivas. Deberían comenzar a ser más proactivas“. Según su categorización las empresas que dan el paso de proactivas a predictivas suelen ser organizaciones del sector de la seguridad, servicios financieros, de seguridad o incluso del gobierno. 

Sobre el ataque del ransomware WannaCry, Mahon dice: “Wannacry no fue algo que le pudiera pasar a una empresa con un programa de administración de revisiones maduro. Si tienes un equipo de administración de revisiones el cual está haciendo su trabajo correctamente, debería haber reparado todo cuando empezó. La vulnerabilidad empezó en Marzo, el parche para solventar el problema fue lanzado a principios de Mayo y el ataque ocurrió a mitad de ese mes.”

A medida que las empresas avanzan hacia un mayor nivel de digitalización, la ciberseguridad aumenta su importancia. Las empresas tienen núcleos de datos de los clientes que han sido recogidos durante años. El riesgo, según Mahon, viene cuando alguien del equipo de estrategia de negocio quiere reunir todos estos datos en un “data lake”  como parte de algún tipo de iniciativa de transformación digital. Un “data lake” hace posible vincular información anónima con información personal. “¿Esto significa que todo el “data lake” necesita cumplir las normas de PCI (industria de tarjeta de crédito) o la legislatura del GDPR? ¿Y de dónde vamos a sacar al personal necesario para hacerlo?” Desde su punto de vista la evolución de las empresas hacia un mundo más digitalizado les hace darse de bruces contra una realidad: la necesidad de una estrategia de ciberseguridad con una plantilla cualificada para poder implantarla. Esto se consigue alineando la estrategia de ciberseguridad con la estrategia general de negocio y dejándolo de tratar mediante un departamento anexo que realice tareas puntuales. 

Para Mahon, la juntas directivas están comenzando a ser conscientes de la necesidad de la ciberseguridad. Y lo refleja con una experiencia personal: “En los primeros días de la ciberseguridad, cuando el equipo de seguros iba a presentar un informe a los brokers y aseguradores me pedían que les hiciera una diapositiva. Ahora me quieren en las reuniones explicando durante dos horas como funciona nuestra seguridad.”

Cuando se habla de grandes empresas lo primero que viene a la mente son grandes beneficios económicos, pero a día de hoy, en la era de la información, muchas veces los datos son más valiosos que los bienes financieros. Todo esto es algo que los cibercriminales tienen muy en cuenta, y es por eso, que como empresa, la protección de la información no debe quedar en segundo lugar. David Mahon hace ver que este cambio se está produciendo y que las empresas ya no solo plantan, sino que además se están dando cuenta de la importancia del riego constante en términos de ciberseguridad. 

0 comentarios:

Publicar un comentario