Los malhechores no están limitados por cajitas. ¿Y usted, lo está?

*Leonardo Carissimi

Noticias de ataques cibernéticos se ven con frecuencia desde hace años. Normalmente ganan los titulares cuando la víctima es una gran empresa financiera, de ventas al por menor, o incluso sitios que fomentan traiciones amorosas (como ya sucedió). Sin embargo, llama la atención el hecho de que últimamente las noticias han sido no solo sobre ataques dirigidos a páginas conocidas de la Internet o bancos de datos de tarjetas de crédito. Algunas «cosas» de la vida cotidiana también han sido blancos.
Comprometer redes de sistemas de abastecimiento de energía eléctrica o agua; dañar plantas de enriquecimiento de uranio; desviar el curso de embarcaciones engañando el sistema de GPS; acceder remotamente a los controles de carros y aviones comerciales; vaciar tanques de gasolina en las gasolineras; estos son algunos ejemplos de lo que hemos visto cada vez más frecuentemente en los periódicos y que hace poco tiempo atrás eran temas exclusivos de la ficción científica.
Felizmente, no todos los casos relatados son resultado de una acción criminal. Algunos son producidos por estudios realizados por investigadores que pretenden probar la seguridad de nuevas tecnologías y alertar hacia sus vulnerabilidades. Pero sus conclusiones han sido alarmantes: cada vez más el mundo físico o «real» es frágil y vulnerable en consecuencia de su convergencia con el mundo lógico o «virtual».
No se debe olvidar aumentar a esta ecuación al IoT (Internet of Things o Internet de las Cosas) que ya es, de hecho, una realidad. Desde biquinis con sensores que ayudan a prevenir el exceso de exposición al sol, hasta el control del tránsito, las «cosas» del IoT ya están entre nosotros. Y también tenemos que incluir los VANTs (Vehículos Aéreos No Tripulados o drones), que en medio a discusiones reguladoras en el mundo entero ya son utilizados en distintas aplicaciones.
Como diversas otras tecnologías, estas y la creciente convergencia entre el mundo físico y lógico vienen para mejorar nuestro mundo. Aumentan la automatización, comodidad, productividad, traen nuevas funcionalidades y reducen tiempos y costos. Pero obviamente aumentan la complejidad y nuevos riesgos, que no pueden ser descuidados.
Es un ejercicio filosófico y van a discutir si un ataque bomba hecho por un drone pilotado remotamente es una cuestión de seguridad física o lógica. Idéntico para los otros casos descritos anteriormente. La realidad no involucra más cajitas y divisiones que el ser humano crea para facilitar el análisis y la solución de problemas. Más que eso: los malhechores no trabajan con cajitas.
De ese modo, el tema de seguridad debe verse y tratarse cada vez más de forma integrada y convergente, pues estas son las características de los activos a ser protegidos. La convergencia de activos lógicos y físicos es acelerada y así están convergiendo también las amenazas y vulnerabilidades. La Gestión de Riesgos debe ser hecha de forma igualmente convergente. Y rápido. Quien se mantenga preso a cajitas estará perdido.
Su control de acceso, físico o lógico, puede y debe integrar múltiples factores de autentificación – lógicos y físicos, tales como contraseñas desechables (OTP: One Time Password), tarjetas inteligentes (smartcards), biometría. La protección de sus activos, incluyendo la información, en un mundo con recursos computacionales cada vez más dispersos debido a la movilidad, Computación en Nube, Redes Sociales e Internet de las Cosas, también requiere controles lógicos y físicos. Los Centros de Control deben monitorear amenazas y gestionar incidentes de forma integrada. Políticas, Conformidad, Continuidad de Negocios, etc. – todo necesita converger para acompañar este admirable nuevo mundo.
La buena noticia es que las soluciones están ahí fuera, disponibles. En los últimos años se evolucionó mucho en términos de controles, prácticas, normas y reglamentos. La gestión de Riesgos maduró y hoy, creemos que está preparada para los desafíos de cualquier tecnología que llega, siempre pautada en la generación de valor al negocio. Necesitamos solo salir del confort de las cajitas y lidiar con los desafíos de frente. No necesitamos de otro 11 de septiembre para tomar acciones.

* Leonardo Carissimi lidera la Práctica de Seguridad de Unisys en América Latina