La noticia reciente de Uber sobre el ocultamiento de la brecha de seguridad donde se expusieron más de 57 millones de datos de conductores, es un hecho que no solamente revela nuevamente el tema de las prácticas de seguridad de la información en las organizaciones, sino la actitud del director, gerente o ejecutivo de seguridad de la información.
(Lea: Unión Europea da revés jurídico a Uber al declararlo como un servicio de transporte)
En este sentido, el ejecutivo de seguridad de la información tiene que asumir una postura que corresponda con el reto que ha aceptado como “responsable” del programa de protección de la información, más allá de los reveses e implicaciones que pueda tener una brecha de seguridad. Lo que está en juego cuando el incidente pasa no es sólo los impactos mediáticos que se puedan generar, sino la información de los diferentes grupos de interés que se puedan ver afectados.
(Lea: Uber pagó 100.000 dólares a hackers para que no revelaran robo de datos)
Si la seguridad de la información está fundada sobre el imaginario de la “invulnerabilidad”, esto es, “tenemos todos los elementos para estar blindados”, los ejecutivos de primer nivel, sólo estarán atentos al hecho que ha ocurrido, sin reparar en las posibles acciones de contención y aseguramiento de la situación que se puedan ejecutar. De otra parte, si el imaginario está basado en la “vulnerabilidad”, es decir, “vamos tener incidentes, de los cuales podemos aprender”, la práctica de atención de los mismos será el referente de las reflexiones de estos directivos de primera línea, sin perjuicio de la evaluación de impactos que necesariamente debe desarrollarse.
(Lea: Uber compró 24.000 vehículos autónomos de Volvo)
En el caso de Uber, el ejecutivo de seguridad de la información tomó varias decisiones para asegurar el menor impacto en la organización: en su imagen, en su reputación y frente a los medios, sin embargo, la forma de hacerlo y los límites de la ética que cruzó fueron los que comprometieron aún más, el resultado de sus acciones.
Sobre este particular, detallamos a continuación cinco lecciones aprendidas que los CISO (Chief Information Security Officer) o ejecutivos de seguridad de la información deben tener en cuenta, con el fin de ser fieles al mandato de protección y gobierno de la seguridad de la información, así como a la necesidad de transparencia y responsabilidad de la empresa con sus grupos de interés.
1
Nadie puede mentir sistemáticamente todo el tiempo, sin que la verdad lo asalte.
Esta primera lección más allá del tema de seguridad de la información, es una lección de vida para los ejecutivos y todos los profesionales, que nos interroga sobre la necesidad de ser coherentes, honestos y transparentes en todas nuestras acciones. Es un llamado de atención para cuidar la credibilidad de la práctica de los ejecutivos de seguridad, sabiendo que, desde la inevitabilidad de la falla, no sólo habrá que comprender y reparar lo que ocurrió, sino crear entornos y cuentas de aprendizaje que siempre tendrán insumos para volver a crecer y creer.
2
La gestión de incidentes de seguridad de la información no es opcional.
La inevitabilidad de la falla es la única constante que tenemos en un mundo digitalmente modificado. En consecuencia, si bien no sabemos cuándo, ni cómo, se va a materializar un incidente de seguridad de la información, si debemos tener prácticas aseguradas que nos permitan dar cuenta del riesgo inherente que la falla supone.
Por tanto, la verificación periódica de controles, los análisis de vulnerabilidades, las evaluaciones de terceros y sobremanera, la atención de incidentes, son medidas que no pueden faltar en el “dossier” de los directores de seguridad de la información. Nunca es suficiente la preparación y las simulaciones cuando de un incidente de seguridad se trata.
3
La ética en seguridad de la información no es negociable.
El ejecutivo de seguridad de la información siempre estará sometido a tensiones propias de su cargo: fallas en controles, reportes a entes de control, reconocimiento de brechas de seguridad, vulnerabilidades en sistemas de información, entre otras, donde se pondrá a prueba su idoneidad y transparencia de su gestión. Un buen ejecutivo en seguridad de la información no es aquel que nunca ha tenido un incidente que enfrentar, sino el que sabe cómo asegurar un gobierno y gestión de la protección del valor de la compañía, desde la inevitabilidad de la falla.
4
Nunca negocie con los delincuentes.
Los “atacantes” tienen objetivos y retos distintos a las necesidades y desafíos que un CISO puede tener. Este abierto encuentro entre dos posiciones, debe motivar una postura que privilegie la comprensión de las “acciones oscuras o indebidas” de la contraparte, para fortalecer los vínculos con los entes de policía judicial. Esto es, aumentar la colaboración con estas instancias, para motivar canales abiertos de comunicación, protocolos de intervención, así como el desarrollo de simulacros de incidentes que aumenten la capacidad de atención y la protección del valor de la empresa en su entorno de negocio.
5
Sea digitalmente responsable con sus grupos de interés.
Todas las organizaciones a la fecha hacen tratamiento de información de sus diferentes grupos de interés. Algunas con más énfasis en sus datos personales, otras en estrategia de acción para sus negocios con terceros y otra quizá con documentos que resultan valiosos respecto de la propiedad intelectual. El hecho es que, la organización liderada por el CISO, debe tener el inventario de esta información clave, identificando las fuentes potenciales de responsabilidad, así como las obligaciones legales y normativas que son requeridas. En esta medida, ante un evento contrario que se presente sobre estos activos, poder decirle claramente a los implicados cómo la empresa va a responder, qué acciones se tienen previstas y qué deben hacer frente a lo ocurrido.
Estas cinco lecciones aprendidas fortalecen el carácter del ejecutivo de seguridad de la información en medio de la tormenta que supone un incidente, sin perjuicio del impacto natural que tendrá en el capital político que haya podido construir en la junta directiva de la organización. En este sentido, un directivo de seguridad sabrá que todo el tiempo su gestión, para construir confianza imperfecta, estará bajo el escrutinio de la cotidianidad del ejercicio de protección de la información, habida cuenta que tanto la dinámica de la organización como la de su entorno, lo estará llevando todo el tiempo a sorprenderse y recibir lecciones de una maestra que es siempre nueva y siempre antigua: la inseguridad de la información.
Jeimy J. Cano M.
Profesor Asociado de la Escuela de Administración de la Universidad del Rosario.