La ciberseguridad en la empresa tras el caso Sony
Hubo un antes y un después en la lucha contra el SIDA a partir del caso de Magic Johnson. La seguridad aérea cambió a raíz de los atentados del 11-S. Así que cabe plantearse si va a ocurrir algo similar con la ciberseguridad en las empresas tras el ataque a Sony, y la respuesta es que probablemente así sea.
La ciberseguridad toma protagonismo, aunque no como a algunos les hubiera gustado
Hasta ahora algunos podrían pensar que este tipo de amenazas eran, bien de bajo nivel, centradas en particulares y empresas pequeñas que no guardasen elementales medidas de seguridad, bien propias de escaramuzas entre Estados que no acaban de trascender, perteneciendo casi al territorio de la leyenda. Pero el caso Sony va a cambiar radicalmente la percepción social del mismo por múltiples motivos.
Sony no es precisamente una empresa pequeña u u obsoleta técnicamente. Estamos hablando de un auténtico gigante que ha sido atacado a pesar de disponer de los presupuestos necesarios para, teóricamente blindar su seguridad, más allá de la duda razonable. Dicho de otro modo, si son capaces de asaltar a Sony, ¿qué harán con una empresa de tamaño medio?, ¿cómo es posible que lo hayan logrado?
Estando todavía el asunto sin esclarecer hay quien apunta la teoría del eslabón débil, que suele ser en estos caso el ser humano. De poco sirven las medidas de seguridad más extremas si se cuenta con la negligencia o colaboración de personas de la organización.
Es necesario el establecimiento y seguimiento de protocolos de seguridad entre todo el personal, pero sobre todo en algo que pocas veces se hace en la práctica, la segmentación adecuada de la información a la que cada persona accede, de tal modo que se limite exclusivamente a la que resulte necesaria para desarrollar su trabajo, así como la gestión de las posibles prácticas de BYOD en las empresas, es decir de que los empleados aporten sus propios dispositivos móviles para acceder a los sistemas corporativos . Parece fácil de decir, pero en la práctica debe estar perfectamente medido de tal modo que no limite la operatividad de estos empleados, lo que ya no resulta tan sencillo.
Otro frente de las empresas frente al hacking es en todo lo relacionado con la migración a la nube, cada vez más intensa, con los proveedores de hosting, servicios web, apps, etc. ¿Hasta qué punto se controla que dichos flanco estén convenientemente asegurados?
El caso de Sony ayuda a reflexionar sobre la importancia de la seguridad
Ahora bien, el caso Sony, más allá del cómo se hizo plantea nuevos terrenos de juego, como es el convertir el ataque a una empresa en una cuestión de Estado, lo que constituye palabras mayores. Hasta el momento , por cuestiones de imagen y también de seguridad, intentaban mantener un bajo o nulo perfil en estos casos, intentando que no trascendieran. El hecho de que se sospeche que detrás del ataque este otro Estado ha posibilitado que se plantee desde la primera potencia del mundo que esto es un asunto de seguridad nacional y que, por tanto, la empresas esten obligadas a comunicar y colaborar con las autoridades en la persecución de estos delitos.
Más allá de la correcta tipificación penal de los delitos informáticos, de establecer esos cauces de comunicación con los cuerpos policiales, y de dotar a estos de los medios humanos y técnicos necesarios, esta asunción por parte de los poderes públicos de la persecución de delitos con independencia de que los afectados deseen hacerlo, choca en ocasiones con otros intereses legalmente protegidos, como es el derecho a la intimidad y al secreto de las comunicaciones de aquellos que se relacionan con las empresas. De hecho, sucesos comos recientemente acontecidos en París han levantado voces como la de Cameron contra el derecho de las personas a cifrar sus comunicaciones, a aplicar la criptografía.