Ciberextorsiones de alto perfil como el hackeo de Sony Pictures Entertainment en 2014, el del año pasado en el sitio de citas por infidelidad Ashley Madison e incluso un hack menos conocido en InvestBank en los Emiratos Árabes Unidos deben haber asustado a mucha gente.
Según un estudio publicado en enero por Cloud Security Alliance y el proveedor de software de seguridad Skyhigh Networks, el 25% de las organizaciones dijeron que estarían dispuestas a pagar un rescate a los piratas informáticos para detener la divulgación de información confidencial, y el 14% pagaría más de $ 1 millón.
«Para mí, eso es desalentador y nos dice que ambos no estamos haciendo un trabajo suficientemente bueno en la industria protegiendo la información», dijo Jim Reavis, cofundador y director ejecutivo de Cloud Security Alliance, «y también que nuestro uso de la tecnología es tan vasta que existen tantas amenazas «.
Y siguen sucediendo. El Boston Globe informó esta semana que la ciudad de Medfield, Massachusetts, pagó un rescate después de que el «ransomware», un virus que bloquea una computadora o dispositivo y exige que el usuario pague una suma en efectivo, apagó su red informática durante aproximadamente una semana.
Escribí la semana pasada sobre la “cultura de la seguridad” en Equinix, un proveedor de espacio para centros de datos de Silicon Valley. El CIO Brian Lillie lo describió como una conciencia de toda la empresa sobre las amenazas a la seguridad de la información, lograda a través de la construcción de relaciones y el apoyo de altos ejecutivos hacia abajo, combinada con una variedad de herramientas tecnológicas y un CISO para asegurarse de que todos los departamentos estén atentos.
Ahora es el momento de que más empresas tomen el liderazgo de Equinix. Las prácticas de seguridad tradicionales como hacer copias de seguridad y herramientas como el software de detección de intrusos y el antimalware son obligatorias para mantener una postura de seguridad sólida, pero el hecho de que las organizaciones estén dispuestas a ceder a las demandas de efectivo de los piratas informáticos, y en la práctica lo hacen, es un testimonio de que más es necesario.
El elemento humano en la seguridad de la información a menudo pasa desapercibido. Por ejemplo, muchos todavía creen que los programas de capacitación no funcionan y no vale la pena gastar tiempo y dinero en ellos. Pero las mejores defensas de seguridad del mundo no tendrán éxito si incluso un empleado no reconoce un correo electrónico de phishing cuando lo ve. Y hoy, es fácil para los departamentos comerciales solicitar un servicio en la nube o descargar una aplicación a un teléfono inteligente corporativo. Las personas que no saben qué es kosher y qué no lo son, prácticamente buscan el desastre.
Todos, desde los directores ejecutivos hasta los departamentos comerciales y los empleados más nuevos, deben ser muy conscientes de las amenazas que existen, cómo prevenirlas y cómo contrarrestarlas si ocurren. Cuanto más una organización pueda inculcar a su gente una mentalidad de seguridad, más podrá reforzar sus defensas contra una clandestinidad cada vez más audaz e innovadora.