Seamos realistas: nadie lo hace. Solemos pensar que estamos exentos no sólo de ciberataques, sino de manera general de cualquier eventualidad. ¿Quienes tienen automóvil propio también contrataron una póliza de seguro? Según la Asociación Mexicana de Instituciones de Seguros (AMIS), únicamente el 30% de los vehículos en México lo tiene. ¿Cuánta gente cuenta con un seguro de gastos médicos mayores? ¿Cuántos adquieren un inmueble y no lo aseguran? ¿Cuántas personas contratan un seguro de vida al tener hijos? ¿Qué nos hace pensar que somos inmunes de sufrir un accidente? No lo somos y no hay garantías. Basta con consultar cualquier medio de información para constatarlo. ¿Por qué teniendo todos los días evidencia de que los accidentes suceden, seguimos creyendo que nosotros somos ajenos a ello? ¿Por qué no proteger nuestra persona, familia y patrimonio?
En el plano profesional, en nuestras organizaciones, ¿estamos haciendo lo suficiente para proteger la información, la infraestructura y los servicios? ¿Cuántas organizaciones no tienen, por lo menos, un sistema de seguridad perimetral? Parece increíble, pero he visto (y no pocas veces) empresas conectando su red interna directo al dispositivo desde el cual su proveedor de internet les entrega el servicio, sin la más mínima protección. Nada más falso que el siguiente argumento: “No le interesamos a ningún atacante porque somos una empresa pequeña”. Diversos indicadores posicionan a México en los lugares primero y segundo de países con más ataques cibernéticos en América Latina, siendo las pequeñas y medianas empresas las más vulnerables.
El asunto es que asumimos o tenemos la esperanza de que a nosotros “no nos va a tocar”; sin embargo, al mirar las estadísticas del comportamiento de los ataques cibernéticos en los últimos años, podemos percatarnos de que las probabilidades son otras. Por ejemplo, entre 2014 y 2016 se quintuplicaron los ataques de ransomware. En Estados Unidos los ataques de filtración de datos pasaron de 157 millones en 2005 a 1,244 millones en 2018. Entre 2005 y 2017 se robaron 5.3 mil millones de identidades y datos personales. Cuantificando el impacto, los delitos cibernéticos representan el equivalente al 0.5% del PIB mundial. ¿Es lógico seguir pensando que estamos exentos de un ataque?
Aprender de los errores
Afortunadamente, no todo es mala noticia y tenemos procesos muy efectivos de aprendizaje. “La siguiente quincena iba a pagar el seguro del coche, ¿ahora cómo voy a pagar la reparación”, “No quise la póliza de gastos médicos porque me pareció muy cara y ahora no me alcanza para la cirugía”, “Todo nuestro patrimonio era esa casa y hoy son puros escombros”. El caso más doloroso es el seguro de vida que ni siquiera nos permite arrepentirnos por no haberlo contratado.
A medida que los procesos de las organizaciones se van digitalizando y automatizando, el riesgo y el impacto de un incidente se incrementan, lo que debe aumentar en la medida de nuestra cultura de la prevención.
En los esquemas de negocio tradicionales donde la tecnología es una herramienta que soporta algunos procesos de negocio, el impacto de un ataque puede ser el equivalente a chocar nuestro vehículo sin estar asegurado, pues va a implicar un costo imprevisto (seguramente mayor al de la póliza), nos va a dejar sin poder utilizar el automóvil unos días y tardaremos un tiempo en recuperar completamente la confianza al volante. Sin embargo, en esquemas de negocio que están basados en su totalidad en tecnología, no tener las previsiones necesarias y no estar preparados para responder ante un ataque es más parecido a no contar con un seguro de vida: probablemente no habría más que hacer que sepultar el negocio, ya que las pérdidas serían totales y catastróficas.
¿Por qué los ataques masivos se convierten en eso? ¿Por qué siguen siendo efectivos los mismos ataques años después? La respuesta es sencilla: porque lo permitimos. Actualmente, el acceso a la información ya no representa una limitante. Conocemos los tipos de ataques, los que están “de moda” y, en muchos casos, los que representan un riesgo real para nuestro país, sector o negocio.
Todos los responsables de los servicios de Tecnologías de la Información debemos desarrollar un saludable grado de paranoia que nos permita tomar las medidas necesarias para minimizar las posibilidades de un ataque y aquellas que nos tengan preparados para actuar de la mejor manera en el momento que ocurra, a fin de reducir el impacto. Además, debemos tener la capacidad de sensibilizar a toda la organización respecto a que nuestro sistema de seguridad es tan débil como su parte más vulnerable; tendremos que involucrarlos en una cultura de uso responsable de todos los componentes tecnológicos.
Concluyendo, necesariamente hay que estar pendientes de lo que ocurre a nuestro alrededor en materia de ciberseguridad y no escatimar en proteger nuestra información, infraestructura y servicios. Sin duda, es mejor tener nuestra “póliza de seguro” y no utilizarla que necesitarla y no tenerla. No esperemos a que nuestro muy humano proceso de aprendizaje (“no me vuelve a pasar”) nos enseñe la lección y tengamos que aprender de quienes sí lo utilizaron.
Ya lo dice el viejo y conocido refrán: “cuando veas las bases de datos de tu vecino en venta, pon las tuyas a remojar”.