Malcolm Harkins solo necesitó 20 minutos para darse cuenta de que el dinero invertido en la estrategia de seguridad de TI de Intel Corp. había valido la pena.
Hace unos cinco años, el mayor fabricante de chips del mundo se propuso realizar un sondeo de empleados, tomando como muestra al cinco o seis por ciento de su personal. El departamento de recursos humanos trabajó con un proveedor externo para hacer llegar a los empleados la encuesta-web mediante un e-mail. Y así comienza la historia.
“Minutos después de que los empleados recibieran el mensaje, la gente de administración empezó a llamarnos para advertirnos de que podría tratarse de un ataque, y que por consiguiente era mejor no abrirlo y borrarlo directamente”, recuerda Harkins, gerente de seguridad de la información de Intel (CISO, por sus siglas en inglés). El equipo de soporte técnico estaba inundado de solicitudes de atención, y Harkins recibió una llamada de un indignado ejecutivo de recursos humanos, que no entendía por qué el URL había sido bloqueado en el firewall si la encuesta era totalmente legítima. Harkins y su equipo resolvieron rápidamente la situación, pero el incidente fue muy significativo.
“Por primera vez tenía pruebas estadísticas de que gracias al dinero que habíamos invertido para lograr que la gente tomara conciencia del tema de seguridad, ellos habían actuado como parte de nuestro perímetro técnico”, explica. “Los empleados lo detectaron y procedieron como si se tratara de un anticuerpo. Estaban ante un objeto extraño, y tenían que proteger a la compañía”.
Recientemente, Harkins sostuvo una entrevista telefónica con CIO Canadá sobre la estrategia de Intel y las nuevas tendencias en seguridad para las TI.
¿Qué le quita el sueño?
A diferencia de lo que piensa la mayoría de profesionales de seguridad, nuestra mayor amenaza no es una falla técnica o una botnet, sino una mala interpretación de los riesgos. Esto se debe a diferentes factores. Si bien uno de ellos es el económico, lo cierto es que, considerando los componentes psicológicos de la situación, mientras mayor es el beneficio que una persona espera lograr de algo, mayor es su tolerancia al riesgo.
Una de las consecuencias de la simplificación del uso de ciertos servicios es que el usuario final o el consumidor -o como prefieran llamarle- pierde conciencia de lo que está haciendo. Pueden compartir información y postearla en línea porque no hay ninguna consecuencia, o no se dan cuenta de las que podría haber. O reciben un e-mail que les parece simpático y le dan clic al link. Hace solo algunos años, el usuario hubiera sufrido las repercusiones, su sistema se habría colgado, o la red habría quedado bloqueada. Hoy por hoy, estos vectores de peligro son tan sutiles que ya no nos enteramos de que algo se está instalando en nuestra computadora. Al intruso no le conviene que nos demos cuenta porque solo piensa en el beneficio, no en los estragos.
¿Pero cuál es el grado de responsabilidad? Por lo general, una falla de seguridad no le acarrea consecuencias negativas al empleado sino al departamento de TI
Exacto, y eso nos lleva a los factores económicos. Obviamente está el tema del presupuesto, pero también debemos tomar en cuenta el principio económico de los riesgos morales. Es decir, que un tercero -en este caso, un empleado, un proveedor externo o por el estilo- no es responsable del problema o no tiene que asumir sus consecuencias. Inclusive los objetos que traen código malicioso, que pueden afectar el sistema de una persona y además atacar a otras más, no necesariamente le están robando al host, sino que invaden el host para atacar a alguien más. Entonces ¿qué interés tenemos en proteger al otro?
Pareciera que muchos usuarios perciben el beneficio de la seguridad como una lotería. Por ejemplo, de nada le sirve tener un password seguro si un keylogger (capturador de teclado) se infiltra en su sistema. Y si una PC con Windows que no ha implementado los últimos parches puede ser infectada en 12 minutos, ¿qué sentido tiene invertir en seguridad? ¿Qué respondería usted?
Aunque no me parecen los mejores ejemplos, sí hay situaciones en las que uno se pregunta ¿realmente voy a reducir los riesgos reforzando el control? Justamente ese es, en mi opinión, otro de los desafíos que deben enfrentar los equipos de seguridad, la necesidad de pensar más ampliamente. ¿Cuál es el beneficio del control en términos reales de reducción de riesgo? ¿O cuáles son los controles marco? Desde la perspectiva de la industria, uno debe tener quince de estos controles, tres de los cuáles garantizan una mayor reducción de riesgo, de manera que uno puede abocarse a implementarlos y no solo seguir operando, sino operando eficientemente. Muchas veces se instalan estos controles o políticas o etc. pero nadie verifica que funcionen adecuadamente.
Muchas de las personas que entrevistamos para nuestro estudio anual de seguridad dijeron no saber si habían tenido fallas de seguridad, y si lo sabían no podían explicar las causas. ¿Cómo es eso posible?
En algunas situaciones puede ser que el CIO no esté al corriente, pero no en la mayoría de casos. Conversando con mis colegas, inclusive con los de Intel, he podido ver que la gente de seguridad sabe lo que pasa pero reacciona con paranoia. “No podemos decir que ha ocurrido algo así”. ¿Por qué? A veces, porque se podría pensar que el equipo de seguridad no protegió adecuadamente el sistema. Otras, por relaciones públicas o razones legales en torno a lo que se puede y no se puede compartir. En todo caso, creo que el asunto no es si el departamento de seguridad debe o no informar, sino cuál es la mejor manera de hacerlo. Tienen que superar esa barrera informativa. Y, claro, hay veces en que simplemente uno ni se da cuenta. Como decía anteriormente sobre la sutileza de los ataques, es muy difícil darse cuenta cuándo ocurren. Y si hace falta un buen sistema de reportes, también habrá que contar con una buena política para reportar las pérdidas y robos de laptops o PC. A menos que incluyamos ese control, no estaremos creando una función integral que sea capaz de reconocer todos los equipos perdidos.
¿Cómo garantizar la seguridad cuando los propios empleados compran sus equipos básicos de TI, como laptops, smartphones y otros?
Tengo entendido que hay empresas que han tomado medidas muy estrictas al respecto, así que los empleados no tienen que comprar nada, y todo el mundo está más tranquilo. También hay quienes prefieren cerrar los ojos y pensar que nada malo va a pasar. Quizás una actitud semejante puede ser culturalmente aceptable por un tiempo, aunque entre ambos extremos hay un grupo que simplemente no acepta dispositivos personales. Pero les apuesto que la mayoría de sus empleados tiene un equipo personal en el bolsillo, un smartphone por ejemplo, que se puede conectar a la computadora de la empresa, y que lo usan para intercambiar información. El problema es que no se han dado cuenta del grado de masificación de la tecnología. Y hay otros que optan por bloquear buena parte de la aplicación externa.
En Intel, apostamos por un uso razonable de los equipos personales. A menos que se trate de sitios definitivamente peligrosos o de pornografía o algo por el estilo, hay plena liberta para visitar páginas web, descargar aplicaciones y demás. Aunque a veces eso crea problemas de soporte, al mismo tiempo obtenemos beneficios más amplios en innovación y uso de sistemas. Probablemente el tema seguirá polarizando opiniones por un tiempo, pero sin duda cada vez habrá más dispositivos y aplicaciones de consumidor en la empresa.
Ustedes han logrado buenos resultados integrando los medios sociales en su estrategia de seguridad. ¿Puede hablarnos al respecto?
Claro. Todavía hay mucha gente que le tiene miedo a las redes sociales, pero yo pienso que hay ocasiones en las que hace falta correr el riesgo para realmente saber de qué se trata ese riesgo. Hace poco, hablando sobre los medios sociales, escuché decir a un colega: “Confiamos en Dios, y todo lo demás lo bloqueamos”. Literalmente, su propuesta era bloquear esos medios y para siempre. Yo le dije que no podía darle la espalda al hecho de que, pese al bloqueo, el fenómeno no se detiene, puede continuar incluso fuera de la red.
Digamos que en tu empresa ya se trabaja con handhelds; aunque bloquees esos accesos en la red corporativa, los empleados pueden usar esos dispositivos para conectarse a Facebook, Twitter, Yammer, etc. Y si los bloqueas en los handhelds, ingresarán desde la computadora de su casa, y lo harán anónimamente. No hay nada que hacer al respecto, porque esa es la tendencia. Hace muchos años, nos preocupábamos por la transición del correo tradicional a electrónico. Todos los hitos de la comunicación causaron temor. La gente que prefirió taparse los ojos o intentó detener esta evolución se está colocando en serio riesgo, porque no tendrán manera de comprender el fenómeno.
Estas transiciones tienen mucho que ver con la gente y sus conductas. ¿Cómo se puede transformar a las personas y modificar sus conductas sino es a través del entrenamiento, la toma de conciencia y el aprendizaje a través de los errores? Es preferible empezar el proceso en las primeras etapas del fenómeno, en lugar de tener que subirse al barco cuando ya está haciendo agua por todos lados. Nosotros pusimos especial énfasis en la capacitación y en la toma de conciencia, así como en la implementación interna. Tener una plataforma de computación social dentro de la compañía, reduce el riesgo de que un empleado, que sienta la repentina necesidad de desfogarse, divulgue información confidencial o publique comentarios negativos fuera del foro interno. Como la política de la empresa autoriza un uso razonable de ese recurso, habrá ocasiones en que alguien compartirá puntos de vista no necesariamente halagadores; pero es preferible que lo haga internamente, dentro de la familia, a que lo haga afuera, donde puede ser captado por la prensa o reproducido en algún foro generando una innecesaria atención. A nivel interno, podemos incluso plantearnos que esta persona quizá tenga razón, y fomentar un diálogo constructivo, pero privado.
Usted ganó un premio de la RSA por hacer de la seguridad una prioridad interna en Intel. ¿Cómo lo logró?
Creamos una especie de Vanity URL interno sobre el tema de la seguridad. Comenzamos en el 2005, tratando de reconocer el rumbo que tomaba la computación, inclusive con las redes sociales, aunque por entonces todavía no se les llamaba así. Modificamos nuestra estrategia de seguridad con la premisa de que, “las personas son el nuevo perímetro”, y pusimos un verdadero énfasis en la gente y en ciertos aspectos conductuales.
Entonces, tenemos ese portal donde figuran todas las políticas y temas relacionados, trabajamos a fondo para concientizar al usuario final y darle capacitación práctica. Además, nos hemos propuesto que toda la empresa culmine al 100% esa concientización. Tenemos el respaldo del CEO, hemos revisado los cursos de capacitación y cada año hacemos convocatorias específicas. Los contenidos están en línea, también en video, son interactivos. Uno aborda la privacidad y el otro la seguridad. Publicamos artículos de concientización en el portal principal de la compañía. Hemos creado material sobre cómo proteger a los niños en Internet. Quizá parezca extraño que pensemos en eso dentro de la corporación, pero queremos que las conductas se generalicen tanto mientras trabajan, como si están de viaje o en casa. Si en casa tienen buenas prácticas para proteger la información, van a tenerlas también en la oficina.
Además el empleado también se beneficia, porque muchos de ellos tienen hijos, y esperamos que formen una generación más familiarizada con este tema.
Shane Schick, ITWorldCanadá.com