"Los malhechores no están limitados por cajitas. ¿Y usted, lo está?"
*Leonardo Carissimi
Noticias de ataques cibernéticos se ven con frecuencia desde hace años. Normalmente, ganan titulares cuando la víctima es una gran empresa financiera, de ventas al por menor, o incluso sitios que fomentan traiciones amorosas (como ya sucedió). Sin embargo, llama la atención el hecho de que últimamente, las noticias han sido no sólo sobre ataques dirigidos a páginas conocidas de la Internet o bancos de datos de tarjetas de crédito. Algunas "cosas" del cotidiano también han sido blancos.
Comprometer redes de sistemas de abastecimiento de energía eléctrica o agua, dañar centrífugas en plantas de enriquecimiento de uranio, desviar el curso de embarcaciones engañando el sistema de GPS, acceder remotamente a los controles de carros y aviones comerciales, vaciar tanques de gasolina en las gasolineras; estos son algunos de los ejemplos de lo que hemos visto cada vez con más frecuencia en los periódicos y que hace poco tiempo eran temas exclusivos de la ficción científica.
Felizmente, no todos los casos relatados son resultado de una acción criminal. Algunos son producidos por estudios realizados por investigadores que pretenden probar la seguridad de nuevas tecnologías y alertar hacia sus vulnerabilidades. Pero sus conclusiones han sido alarmantes: cada vez más el mundo físico o "real" es frágil y vulnerable a causa de su convergencia con el mundo lógico o "virtual".
No se olvide aumentar a esta ecuación al IoT (Internet of Things o Internet de las Cosas), que ya es, de hecho, una realidad. Desde biquinis con sensores que ayudan a prevenir el exceso de exposición al sol hasta control de tránsito, las "cosas" del IoT ya están entre nosotros. Y también tenemos que incluir los VANTs (Vehículos Aéreos No Tripulados o drones), que en medio de discusiones reguladoras en el mundo entero ya son utilizados en distintas aplicaciones.
Como otras varias tecnologías, éstas y la creciente convergencia entre el mundo físico y lógico vienen para mejorar nuestro mundo. Aumentan la automatización, comodidad, productividad, traen nuevas funcionalidades y reducen tiempos y costos. Pero obviamente aumentan la complejidad y nuevos riesgos que no pueden ser descuidados.
Por ello se requiere un ejercicio filosófico donde se discuta si un ataque bomba hecho por un drone pilotado remotamente es una cuestión de seguridad física o lógica, lo mismo para los otros casos descritos anteriormente. La realidad no involucra más cajitas y divisiones que el ser humano crea para facilitar el análisis y la solución de problemas. Más que eso: los malhechores no trabajan con cajitas.
De ese modo, el tema de seguridad debe verse y tratarse cada vez más de forma integrada y convergente, pues estas son las características de los activos a ser protegidos. La convergencia de activos lógicos y físicos es acelerada y así están convergiendo también las amenazas y vulnerabilidades. La Gestión de Riesgos debe ser hecha de forma igualmente convergente. Y rápido. Quien se mantenga preso a cajitas estará perdido.
Su control de acceso, físico o lógico, puede y debe integrar múltiples factores de autentificación - lógicos y físicos-, tales como contraseñas desechables (OTP: One Time Password), tarjetas inteligentes (smartcards), biometría. La protección de sus activos, incluyendo la información, en un mundo con recursos computacionales cada vez más dispersos debido a la movilidad, Computación en Nube, Redes Sociales e Internet de las Cosas, también requiere controles lógicos y físicos. Los Centros de Control deben monitorear amenazas y gestionar incidentes de forma integrada. Políticas, Conformidad, Continuidad de Negocios, etc.; todo necesita converger para acompañar este admirable nuevo mundo.
La buena noticia es que las soluciones están ahí fuera, disponibles. En los últimos años se evolucionó mucho en términos de controles, prácticas, normas y reglamentos. La Gestión de Riesgos maduró, y hoy creemos que está preparada para los desafíos de cualquier tecnología que llega, siempre pautada en la generación de valor al negocio. Necesitamos sólo salir del confort de las cajitas y lidiar con los desafíos de frente. No necesitamos de otro 11 de septiembre para tomar acciones.
* Leonardo Carissimi lidera la Práctica de Seguridad de Unisys en América Latina