No es virtual, es real

"Los emprendedores están tan absortos en su proyecto y cómo van a generar recursos, atraer clientes y mejorar la calidad, que no piensan en la seguridad de sus empresas. Sus estructuras no les permiten tener un director de finanzas o un administrador de riesgos. Tienen sólo unas cuantas personas que son las que lo hacen todo. Muchos piensan que al ser una empresa poco conocida, no llaman la atención, mientras que los hackers sí los conocen y los aprovechan para robar su información". Carlos Fernández

Los ladrones cibernéticos atacan cada vez más a las pequeñas y medianas empresas (pymes), y ¿por qué no? La mayoría de ellas hacen poco para protegerse.

Los hackers del pasado han dado paso a delincuentes cibernéticos mucho más sofisticados en busca de dinero en efectivo. Algunos penetran las bases de datos para robar información personalmente identificable de empleados y clientes. Otros roban propiedad intelectual y datos de negocios. Algunos los usan, y otros los venden a diferentes delincuentes.

¿Qué empresas son blanco de los hackers? "El principal objetivo de los hackers que buscan información personalmente identificable (o PID, por sus siglas en inglés) son las empresas medianas", dice Paul Viollis, CEO de Risk Control Strategies (RCS), una empresa de seguridad e investigación. ¿Por qué? "Son vistas como las líneas de menor resistencia", asegura.

Las organizaciones medianas de hasta 100 empleados y 100 millones de dólares anuales de ingresos "no cuentan con un presupuesto de seguridad como sus pares más grandes", explica Tim Matthews, director de Mercadotecnia de Productos de Symantec, proveedor líder de sistemas de seguridad.

Una encuesta reciente de Symantec a más de 2,000 empresas pequeñas y medianas halló que 73% había sido víctima de ataques cibernéticos. "Siempre existe el riesgo de que los clientes no quieran hacer negocios contigo después de un ataque -dice Matthews-. Una vez que se mancha tu reputación, el cierre de la empresa se vuelve una posibilidad real".

Pymes en riesgo

Las empresas medianas son vulnerables a una serie de proezas, entre ellas, el phishing o pesca informática en la cual los empleados son atraídos, a través de correos electrónicos, hacia sitios web falsos con virus que invaden los sistemas operativos para destruir los contenidos de páginas mal diseñadas, a robots que se apoderan de las máquinas, convirtiéndolas en "zombies" que los delincuentes pueden controlar, y la lista sigue. Los sistemas antiguos que no han sido modernizados correctamente o que no tienen los parches adecuados para protegerse contra nuevas amenazas son especialmente vulnerables.

La ingeniería social, el arte de engañar a las personas, ha causado más violaciones a la seguridad que todos los ataques externos en conjunto, según la empresa de desarrollo de aplicaciones web, 403 Security.

La ingeniería social estuvo tras la violación de datos en la empresa de seguridad rsa en marzo de 2011. Los empleados recibieron un correo y una hoja de cálculo adjunta con el asunto: ‘Plan de reclutamiento 2011'. Una vez que se abría la hoja de cálculo, ésta instalaba una puerta trasera en el sistema de rsa que comprometía el código del token de SecurID de rsa. Los cálculos del dinero que emc, la empresa matriz de rsa, ha gastado en reparar los daños rebasa los 66 millones de dólares.

"Hemos estimado que la violación de datos le cuesta a las empresas un promedio de 214 dólares por archivo comprometido, y esto sin tener en cuenta los temas relacionados con su reputación o los gastos de litigio que son más difíciles de medir", dice Larry Ponemon, fundador del Ponemon Institute, que se enfoca en las prácticas de protección de datos.

Ponemon está de acuerdo en que las compañías medianas están hoy en la mira. "¿Para qué piratear un banco minorista importante que tiene seguridad de primera línea cuando se puede hackear una empresa más pequeña que tiene acceso a los datos del banco?  -pregunta Ponemon-. "Es más fácil violar la puerta lateral que la principal".

Y esas puertas laterales no están cerradas en muchas organizaciones medianas. De las 761 violaciones de datos investigadas en 2010 por el Servicio Secreto de Estados Unidos y por la unidad de análisis forense de Verizon Communications, 63% ocurrió en empresas con 100 empleados o menos.

La mayoría de estas violaciones no fueron tan sofisticadas como el hackeo a rsa. Una encuesta reciente de Ponemon se refiere a los dispositivos móviles  perdidos o robados como el mayor riesgo de seguridad. El riesgo no disminuye necesariamente cuando se cambia el enfoque. "Las empresas piensan que como subcontratan servicios o seguridad también subcontratan su responsabilidad -dice Toby Merrill, vicepresidente de la aseguradora ace Professional Risk-. Pero se equivocan".

Avance legislativo

Cuarenta y cinco estados tienen leyes relacionadas con la violación de datos que requieren que una organización notifique sobre cualquiera cuyos datos personales se han visto comprometidos. El estado de Massachusetts, Estados Unidos, es el más riguroso. Estipula sanciones de hasta 5,000 dólares por cada violación. Si se multiplica esto por miles de clientes afectados, el costo potencial para las empresas es sorprendente. Estas leyes dejan en claro que la responsabilidad recae en la compañía que reunió los datos y los almacenó. "Es sobre esta empresa que recae la demanda", dice Merrill.

Pero las empresas medianas creen que la nube ofrece mayor seguridad. Boloco, una cadena de 18 restaurantes de burritos de 20 millones de dólares, almacena información sobre sus clientes en la nube a través de NetPOS, un proveedor de servicios de punto de venta.

"No hay robo de tarjeta de crédito que no sea detectado por nuestro sistema -dice el director financiero de Boloco, Patrick Renna-. Nuestra filosofía es aprovechar  la experiencia y la excelencia en seguridad de empresas mucho más grandes que cuentan con recursos que nosotros no tenemos".

Boloco requiere que sus proveedores de software como servicio cumplan con los estándares de seguridad de datos de la industria de pago con tarjetas y con el estándar de auditoría sas 70 (en Estados Unidos), el cual permite a un auditor independiente evaluar y emitir su opinión sobre los controles de seguridad de un proveedor. Boloco también evalúa las finanzas de sus proveedores. "Eso es inteligente -dice Tracey Vispoli, gerente global de Soluciones Cibernéticas del Chubb Group of Insurance Cos-. Si demandas a alguien, quieres que tu proveedor sea solvente".

¿Qué más pueden hacer las empresas medianas? Si tuvieran el dinero suficiente, podría contratar a los gurús de la seguridad, implementar encriptaciones, firewalls, detección de intrusión y otras medidas de seguridad. Pero, en la actualidad, como señala Viollis de RCS, "¿cuántas empresas medianas tienen dinero para destinar a estas cosas?"

El contraataque del hackeo

Hay medidas que no te dejarán en la ruina, señala Alan Wlasuk, CEO de 403 Web Security. Sugiere empezar con un escaneo de tu sistema de tecnologías de la información (TI), que es relativamente económico, para determinar tus vulnerabilidades, educar a tu personal con respecto a la amenaza de ingeniería social y mantener las soluciones de seguridad.

Y como los hackers no son los únicos que violan las bases de datos, los empleados resentidos y aquéllos en dificultades financieras son también una amenaza, es inteligente que el director financiero insista en controlar la información de antecedentes de los nuevos empleados y en la implementación de estructuras legales de acceso a los datos, como garantizar que el área de recursos humanos no pueda tener acceso a los datos de los clientes y que el área de venta no pueda acceder a información sobre los empleados.

Otras medidas relativamente económicas incluyen la exigencia de contraseñas con alto nivel de seguridad (que incluyan al menos ocho caracteres, una mezcla de numerales y letras mayúsculas y minúsculas). Los datos de los clientes deberían mantenerse alejados de las laptops, teléfonos inteligentes y memorias USB a menos que estén encriptados, o protegidos por contraseñas.

Finalmente, considera la posibilidad de adquirir un seguro cibernético. Los costos de los mismos se han reducido más de 20% en los últimos cinco años, según Robert Parisi, vicepresidente senior del operador de seguros Marsh. Además, dice, las aseguradores ofrecen evaluaciones de seguridad, notificaciones de violación de información a la víctima y monitoreo del crédito de manera gratuita.

"En una era en la cual muchas empresas han reducido sus recursos de TI, el seguro puede ser tan importante como un firewall", dice Ponemon. "Con seguro cibernético", agrega Merrill, de ACE, en un tono de vendedor, "estás comprando más que cobertura, compras tu tranquilidad".