Una de las principales tareas diarias de los expertos en Ciberseguridad es la de hablar sobre lo que hacemos, y lo que significa para empresas y particulares contar con Estrategias de Seguridad Informática adecuadas, a la hora de ayudarles a simplificar su trabajo, proteger su información, y garantizar la tranquilidad en sus negocios.
Pero quizás la principal tarea pendiente es la de hablar de Ciberseguridad “para humanos”: No me refiero a la necesaria (¡e imprescindible!) formación y consejos tipo “si no estás esperando un correo con un adjunto, lo mejor es que no abras el adjunto”, o “puede que ese USB que has encontrado en la calle con un archivo que pone ‘nóminas de la dirección.exe’ contenga alguna sorpresa desagradable”, sino a algo incluso más evidente: entender que, aunque seamos personas expertas en Ciberseguridad, y formemos expertos, no todo el mundo lo es.
Cuando hablamos de Ciberseguridad, lo tenemos que hacer “para humanos”. Es imprescindible que una empresa sepa que sus datos, y los de sus sistemas y páginas web están seguras contra la intrusión de ciberdelincuentes, y para eso estamos. Pero desde mi punto de vista, no es tan imprescindible que quien nos pide que les ayudemos a asegurar sus datos y sistemas sean expertos en Phising, XSS, SQL Injection, ataques “Man in the Middle” y otras sopas de letras del estilo… ¡porque precisamente para eso estamos!.
Cuando desde The Security Sentinel apoyamos a nuestros clientes en implantar su Ciberseguridad, nos ocupamos también del factor humano. Porque se trata de facilitar las cosas: de hacer que la labor del Departamento de Sistemas sea un poco menos complicada de lo que ya es, que el Director de Operaciones no tenga que estar pendiente de si les han atacado su base de datos, o su cadena de producción. Que la Dirección de Comunicación, o de marketing, no tenga que hacer declaraciones sobre cómo van a arreglar el robo de datos de sus clientes, y que el Responsable de LOPD o de Compliance no tengan que sumergirse entre escritos para salvaguardar la responsabilidad penal de la empresa, por no haber puesto las medidas oportunas para evitar un ciberataque.
Hablando de Ciberseguridad, sabemos que muchas de las personas de nuestro entorno no prestan atención, por ejemplo, a los permisos de las aplicaciones que instalan en su móvil. Es decir, que o bien no se molestan en saber que esa aplicación divertidísima para editar fotos les pide acceso a los mensajes enviados y recibidos, y hasta permiso para publicar en su nombre en redes sociales, o bien les parece algo prescindible, lo cual es mucho más grave.
La percepción de que los datos, nuestros datos, son “gratis”, está desgraciadamente muy extendida en la sociedad. Aunque depende del entorno: Si en la parada del autobús, o en el ascensor, alguien nos pregunta nuestro nombre, o el número de DNI, o el teléfono, nos parecería al menos sospechoso (salvo que pensemos que quien nos lo pide se ha fascinado con nuestra atractiva personalidad).
Sin embargo, no parece preocuparnos tanto cuando navegamos por internet, y nos piden nuestro nombre de usuario, el correo electrónico, o el teléfono. Total, es para un concurso o para poder ver una información que tiene un titular que nos interesa. Por desgracia, no es así. Los datos valen dinero, como podemos ver por las operaciones de grandes empresas, como la compra de Whatsapp por Facebook, (más de 17.000 millones de €) o la más reciente de Linkedin por Microsoft, (más de 23.000 millones de €), y sabemos que el interés detrás de estas compras es el de poder acceder a más datos: a nuestros datos.
Un ejemplo “para humanos”: En el año 2012, una cadena de Supermercados americana (Target), mediante la combinación y explotación de datos de sus clientes, (el llamado Big Data) supo, antes que sus padres, que una menor de 16 años estaba embarazada, simplemente procesando los datos de sus hábitos de compra, los productos que compraba, y las horas a las que lo hacía. Datos “gratuitos” que suponen una vía de negocio, Inteligencia de Negocio. Incluso, a veces, algo que vemos como una mejora en el servicio, porque nos proporciona una oferta más personalizada.
Sin embargo, en 2013, la misma cadena recibe un ciberataque por el que les roban más de 40millones de registros de sus clientes, entre ellos datos bancarios, provocando unas pérdidas de más de 61 millones de €, y la dimisión de su CEO.
Como vemos, por no proteger bien sus sistemas, todos esos datos “gratis”, con un solo ciberataque, pasan de unas manos “bienintencionadas”, al poder de unos ciberdelincuentes. Y por lo tanto, pueden costar muy caros.
Es más, sin las medidas de Ciberseguridad adecuadas, nuestros datos como ciudadanía, como clientes, o como personas, están en peligro. Por eso, es necesario que tomemos consciencia de la importancia de tomar las medidas de Ciberseguridad adecuadas. Por eso, es necesario que pidamos a las empresas de las que somos clientes que tomen las medidas adecuadas de Ciberseguridad. Por eso, es imprescindible que hablemos de Ciberseguridad. Y que lo hagamos “para humanos”.
