Este post es una reproducción fiel del artículo publicado en Information Week México el 23 de Julio del 2015, Escrito por
Foto: Archivo ShutterStock
Usted tenía un trabajo: proteger los datos. ¿Qué sucedió? La vida como CEO, CIO o CTO es un poco más compleja que eso. No todos los ejecutivos son directamente responsables por la seguridad de IT. Unos cuantos tienen un entendimiento a fondo de ella.
Pero en nuestro mundo enlazado en red, la seguridad IT es la base de una empresa exitosa, y la culpa se comparte cuando el piso colapsa. Es posible que los líderes organizacionales prefieran enfocarse en la imagen completa, pero la falta de atención a la seguridad ha demostrado ser una mala decisión para la carrera de muchas personas.
Katherine Archuleta, otrora directora de la Oficina de Manejo de Personal de los Estados Unidos, es la más reciente víctima de una violación a datos. Ella renunció tras revelarse que los hackers se habían apoderado de los datos de 21.5 millones de personas que solicitaron verificaciones de antecedentes del gobierno. Previamente su dependencia había divulgado que había quedado comprometida la información personal de más de 4.2 millones de empleados federales.
En un estudio realizado en mayo de 2015, basado en la información de 350 compañías, IBM y Ponemon Institute descubrieron que el costo total promedio de una violación de datos aumentó a $3.79 millones de dólares, de los $3.52 millones del año pasado. También aumentó el costo promedio pagado por cada registro perdido o sustraído con datos confidenciales a $154 de los $145 dólares de 2014. Ése es un promedio global. En Estados Unidos, el costo per cápita alcanzó los $217 dólares.
Tomando en cuenta esos cálculos el robo de 25.7 millones de registros de la OMP podría costar casi $5,600 millones de dólares. Si sólo esos fondos se pudieran sumar a los $14,000 millones propuestos para ciberseguridad en el año fiscal 2016. Después de todo, la violación a la OMP podría tener graves implicacionesa largo plazo para la seguridad nacional.
Los costos monetarios no nos dicen nada acerca de la angustia y molestias que sufren las víctimas de una infracción, o del costo personal y profesional que paga quien quiera que acepte la responsabilidad.
Es exasperante para las víctimas del robo de datos ser obligadas a preocuparse por el fraude y el robo de identidad debidos a los errores, ignorancia o incompetencia de alguien más.
Al mismo tiempo, es difícil no ser un poco comprensivos con aquellas personas asignadas a preservar la seguridad utilizando sistemas y personas que fracasan inevitablemente. Quienes hacen el trabajo bien tienen éxito, en parte, porque hay alguien más por ahí que hace el trabajo menos bien, alguien que encabeza una organización que es un blanco más fácil.
Cuando se observa la lista de compañías que han sido hackeadas de alguna manera, se vuelve evidente que incluso las organizaciones técnicamente más avanzadas pueden ser atacadas si se presenta el hacker indicado con los suficientes fondos. En 2014 el director del FBI, James Comey, fue entrevistado en 60 Minutos y analizó la situación: “Existen dos tipos de compañías grandes en los Estados Unidos. Están las que han sido hackeadas por los chinos y las que no saben que han sido hackeadas por los chinos”.
Y los hackers chinos no son los únicos del mundo. Dada la vulnerabilidad de los sistemas IT, el primer acto de un nuevo CEO, CIO o CTO debería ser redactar una carta de renuncia, disculpándose por la violación de datos “imprevista” que todos temían. En teoría, la presencia del documento servirá como recordatorio para priorizar las inquietudes sobre seguridad.
Con suerte y dedicación, la carta nunca se tendrá que usar. Pero muchos ejecutivos no han sido tan afortunados o atentos. A continuación mencionamos algunos que se han hecho a un lado o han sido obligados a renunciar tras una violación.
1.-Lejos del blanco en Target
En mayo de 2014, el CEO de Target, Gregg Steinhafel, renunció a su cargo después de una violación masiva de datos en 2013 que afectó a un estimado de 110 millones de clientes. Su carta al consejo de administración hace mención del compromiso de la compañía por mejorar la seguridad de los datos. Dos meses antes la CIO de Target, Beth Jacob, había renunciado también, víctima de la misma infracción.
2.-La Entrevista (de salida)
En febrero, Amy Pascal renunció a su cargo como directora de Sony Pictures tras un ciberataque perpetrado por un grupo que se hace llamar los Guardianes de la Paz (Guardians of Peace). El grupo dio a conocer correspondencia de correo electrónico confidencial y muy embarazosa entre Pascal y otros ejecutivos de la industria del cine. Según se ha informado, el objetivo del grupo era hacer fracasar la presentación de The Interview (La Entrevista), comedia que se burlaba del líder norcoreano Kim Jong-un.
3.-Gangnam Style
En enero de 2014, 27 ejecutivos renunciaron a sus cargos en la firma financiera surcoreana KB Financial. Según The Wall Street Journal, los fiscales asignados al caso dijeron que fueron robadas 104 millones de tarjetas de crédito, emitidas por KB Financial y sus subsidiarias, por un ingeniero de Korea Credit Bureau, compañía que trabaja con las firmas.
4.-Error de contraseña
Stephen Fletcher, director ejecutivo del Departamento de Servicios de Tecnología de Utah, renunció en mayo de 2012 después de la violación de un servidor UDOTS que afectó a personas del sistema de salud del estado. La infracción expuso los números de seguridad social de unas 280,000 personas e información personal menos confidencial de otras 500,000. “Un error en el servidor al nivel de autenticación de la contraseña” fue el culpable.
5.-Demasiado abierto para negocios
Jim Etter, director del Departamento de Ingresos de Carolina del Sur, renunció a fines de 2012 tras una violación que dejó expuestos 3.6 millones de números de la seguridad social. Una auditoría realizada por la firma Mandiant encontró protocolos de seguridad insuficientes y una falla en el cifrado de datos de la seguridad social.
6.-¿Infracción? ¿Cuál infracción?
La CIO de la Universidad Estatal de Ohio, Kathy Starkoff, renunció en 2013 tras una infracción de 2010, que se dio a conocer a fines de 2012, que dejó expuesta la información personal de unas 760,000 personas. Una solicitud de registros abiertos por el sitio Web de noticias de OSU The Lantern descubrió que la infracción fue detectada el 22 de octubre de 2010, pero que ningún correo electrónico con el término “violación de datos” apareció en el correo de Starkoff sino hasta el 5 de diciembre de 2010.
7.-AOL In
En 2006, antes de que las infracciones a datos se volvieran tóxicas, AOL reveló de forma intencional 20 millones de términos de búsqueda utilizados por 650,000 suscriptores para fines de investigación. La descarga de datos se convirtió en un fiasco de privacidad después de que The New York Times demostró que podía identificar a los buscadores a partir de los datos ostensiblemente anonimizados. Se inició un juicio, la CTO de AOL, Maureen Govern, renunció a su cargo y el investigador responsable y su supervisor fueron despedidos.
8.-Discos y datos
En 2007 Paul Gray, presidente de la autoridad de Rentas y Aduanas de impuestos (HMRC, por sus siglas en inglés) del Reino Unido, dimitió tras la pérdida de un CD que contiene los detalles de beneficios infantiles no cifrados para 25 millones de personas y siete millones de familias.
9.-No provoque a los hackers
Aaron Barr, CEO de la firma de seguridad tecnológica, HBGary Federal renunció en 2011 tras el hackeo del sitio Web de la compañía y la exposición de unos 71,000 correos electrónicos internos. Él podría haber evitado todo eso no diciendo que planeaba revelar los nombres de los líderes del grupo de hackers Anonymous.
10.-Octopus’s Garden
Prudence Chan, CEO de la compañía de pagos con tarjetas inteligentes de Hong Kong Octopus Holdings, renunció en 2010 después de que se reveló que la firma vendió los datos privados de clientes a socios de negocios. Tener una política de privacidad significa tomarla con seriedad.
11.-Casa gratis
A pesar de una infracción masiva en 2014 que dio como resultado la exposición de unos 56 millones de tarjetas de crédito, nadie del equipo ejecutivo de Home Depot parece haber asumido la culpa. La compañía no respondió de inmediato a la petición de identificar si algún ejecutivo había sido culpable del suceso. Pero algunos miembros del equipo de seguridad de la compañía abandonaron la empresa cuando los gerentes pasaron por alto las advertencias.
12.-El insulto al hogar
El robo de una laptop en mayo de 2006 que contenía la información personal de 26.5 millones de veteranos de los Estados Unidos desencadenó la renuncia de Michael H. McLendon, secretario asistente del Departamento de Asuntos de Veteranos (VA) en ese entonces. Antes del robo, el CIO Robert McFarland había renunciado en frustración por el lento ritmo de cambio en la dependencia.
Después del robo, Pedro Cadenas, Jr., CISO de VA y CIO asistente en función después de la salida de McFarland, renunció al cargo. El analista que se llevó la laptop a su casa, permitiendo con ello que fuera robada, fue despedido por infringir el procedimiento de la dependencia.
13.-Incierto
En 2011, Randy Vickers, director del equipo de respuesta a emergencias con computadoras de los Estados Unidos (US-CERT), grupo que tiene a su cargo la protección de las redes del gobierno de los Estados Unidos,renunció a su cargo. No se dieron a conocer los motivos, pero la salida de Vicker siguió a una serie de ataques a sitios Web del gobierno de los Estados Unidos.
14.-Rodarán cabezas
Más allá de las infracciones a datos, los lapsos en la seguridad física también pueden originar renuncias. La directora del Servicio Secreto, Julia Pierson, salió del organismo después de una falla de seguridad en la Casa Blanca. Y en 2007, fallas de seguridad en Los Alamos National Laboratory ocasionaron la salida de Linton Brooks, titular de la Administración Nacional de Seguridad Nuclear.