Versión para Imprimir

Citigroup, con más de 112 billones de dólares de ingresos anuales este año, es un mastodonte global. En un día cualquiera el gigante de servicios financieros mayor del mundo mueve un trillón o más de dólares alrededor de todo el mundo. Así, no es de extrañar que los ejecutivos de seguridad de tecnologías de la información de Citigroup se quedasen atónitos un día de 1994 cuando se dieron cuenta que un hacker se había introducido en las entrañas del sistema y estaba desviando millones de dólares. Tal y como Colin Crook, antiguo director de tecnología de Citigroup recuerda, “fue una experiencia profundamente traumática”.

Crook, ahora miembro del SEI Center for Advanced Studies in Management de Wharton, afirma que por fortuna para Citigroup, el culpable –Vladimir Levin de San Petersburgo-, fue atrapado pronto. Había robado las contraseñas de los clientes para transferir 10 millones de dólares a su cuenta, hasta que Scotland Yard y el FBI le siguieron la pista y le arrestaron. Cuando en 1998 un juez de EE.UU. sentenció a Levin, Citibank había recuperado más de nueve millones y medio de dólares del dinero desaparecido. Tras esta experiencia, el gigante de servicios financieros instaló medidas encaminados no sólo a remendar las brechas de seguridad abiertas, sino también a la identificación de señales de que alguien pueda estar intentando entrar en su sistema informático. La entrada en los sistemas no es un acontecimiento aislado; existen indicios previos. “Entre tanta información hay que saber reconocer las huellas” dice Crook.

Crook expuso sus opiniones en una sesión sobre ciber-terrorismo que formaba parte de la conferencia Systems Approach to Terrorism (Un enfoque de sistemas para el terrorismo) celebrada el pasado mes. La conferencia estaba patrocinada por la Association for Enterprise Integration, diversos centros de investigación de Wharton, la University of Pennsylvania y George Washington University. Entre los patrocinadores de Wharton se encontraban Risk Management and Decision Processes Center (Centro de gestión de riesgos y procesos de decisión) dirigido por Paul Kleindorfer y Howard Kunreuther, y el SEI Center for Advanced Studies in Management dirigido por Jerry Wind.

Previamente, y como introducción a la presentación de Crook, Wind explicó como el ciber-terrorismo representa sólo una de las formas de vulnerabilidad contra la cual las organizaciones deben plantearse la protección. Además, las empresas deben evaluar cuales son sus puntos débiles ante el bio-terrorismo u otro tipo de amenazas. “La vulnerabilidad depende de quien seas”, señaló Wind. “Las empresas necesitan planes estratégicos que les puedan ayudar a detectar e impedir el terrorismo y desarrollar acciones preventivas contra las potenciales amenazas”.

Wind explicó que cuando las empresas intentan valorar su grado de vulnerabilidad ante las amenazas terroristas, deben tener en cuenta diferentes aspectos. “La vulnerabilidad es un fenómeno local, y se puede manifestar de una manera diferente en Nueva York que en Filadelfia o en Washington DC”, señaló. Para Wind, las empresas también se enfrentan al desafío de compartimentar la información o de construir montañas de información inmanejables. Cada una de las divisiones de una organización puede que tenga algo de información, pero a menudo les resulta imposible hacerse una idea de conjunto.

Este problema se agravaría aún más cuando varias organizaciones, como por ejemplo las agencias gubernamentales, disponen de información parcial que no se desvela a no ser que se intercambie con otras organizaciones. Cuando las organizaciones que deben compartir sus conocimientos están dispersas alrededor del mundo, el desafío se vuelve aún mayor, ya que el terrorismo posee en la actualidad una dimensión internacional. “Las dependencias de empresas como Coca-Cola o McDonald´s (que claramente se identifican con Estados Unidos) son atacadas por todo el mundo” afirma Wind. En estas circunstancias, para contrarrestar amenazas globales es esencial contar con una estrategia global. “El pellejo de todos nosotros está en juego” añade.

Ciber-terrorismo y el sector financiero

Según Crook, aunque la amenaza de ciber-terrorismo contra las instituciones financieras como Citigroup está presente en todo momento, las empresas deben seguir adelante con sus vidas. “Tendremos que vivir con éste fenómeno durante varias generaciones” señaló, y añadió cómo siempre ha existido una dicotomía entre la confidencialidad y la apertura. “Últimamente hay muy pocas cosas que en los negocios se puedan mantener en secreto. Es necesario  asumir que en cualquier momento futuro casi todo la información se desvelará”. Además Crook añadió que la confidencialidad en los negocios difiere considerablemente de lo que se entiende por confidencialidad en el ámbito gubernamental o militar. “En los negocios se debería plantear como un gran experimento, y debes adaptarte y aprender” explica Crook.

Crook señaló que la entrada de hackers en sistemas informáticos seguros está en aumento, y que se llegan a denunciar cinco casos al día. Así, identifica varios factores de riesgo. La concentración del poder informático genera fragilidad -señaló-, y crea interconexiones. “Internet no es una red lineal, no puedes aislarte del resto mundo”, dijo. “Antes solían existir brechas pero ahora ya no”. Otro factor de riesgo es la estandarización. Entre los principales proveedores de tecnología de la información, compañías como Microsoft, Intel y Cisco poseen unas cuotas de mercado de entre el 80 y el 90%. “Esto quiere decir que si tienes un problema en alguna parte del sistema, de hecho lo tienes en todo el sistema” afirmó Crook.

Otro riesgo procede de lo que Crook describió como la paradoja de la seguridad del consumidor. “La actitud de los gobiernos ante la seguridad consiste en mantener fuera al potencial enemigo, mientras que la de las empresas es invitar al cliente a entrar”. El contraste entre ambas perspectivas es crucial, porque “dentro de la base de los clientes se encuentran tus enemigos ”. Crook enfatizó en la importancia que tiene al diseñar los sistemas de seguridad el contemplar tres principios de seguridad: primero, nunca confiar en una red; segundo, autentificar siempre al usuario pero no confiar en él; y tercero, la aplicación debe protegerse a sí misma.

Por último, Crook proporcionó varias reglas de ciber-seguridad. Entre ellas:

• El futuro es incierto. Por ello, tener cierta visión es más importante que tener planes detallados.
• Todo es un experimento. Así,  piensa como si se tratase de experimentos, no de hechos confirmados.
• Formula los planes de una forma que implique transparencia a largo plazo. Últimamente no hay secretos.
• La experiencia previa puede ser una desventaja. Al igual que los planes detallados, la experiencia previa puede generar lo que Crook llama ’cognitive locks’ (bloqueos cognitivos) a la hora de comprender una situación, y también que se minusvalore la flexibilidad, la cual puede ser muy necesaria.
• La tecnología es un motor de cambio; acéptala y aprovéchala, no la evites.
• El mundo está interconectado. Únete a él, no te aísles.

Bio-terrorismo y otras formas de terrorismo

Robert Moore, director ejecutivo del grupo de seguridad global de Merck, el gigante farmacéutico, apunta a las amenazas que afrontan las empresas como consecuencia del bio-terrorismo. Desde los momentos posteriores a las muertes por ántrax en Estados Unidos del pasado año, este tema se ha vuelto  prioritario en la seguridad de la mayoría de las empresas. Según Moore, para Merck es necesario estar preparado en cualquier momento. “Nadie dice que un rayo vaya a atravesar hoy tu casa, pero seguro que algo la atravesará en algún momento” explica.

Moore señala que una estrategia efectiva para combatir el bio-terrorismo debe estar basada en que son los que proporcionan servicios sanitarios y también las salas de urgencias –y no por la policía ni las brigadas anti-terroristas-, las primeras líneas de defensa. Además, la cooperación mutua entre el sector privado y público es importantísima, y deben crearse asociaciones para poder lograrla.

“Somos gestores del riesgo”, dice Moore.“ Si tenemos que evaluar el riesgo, debemos basarnos preferentemente en las relaciones de confianza entre las instituciones más que en las existentes entre individuos”. Moore añade que los factores del riesgo deben ser evaluados conjuntamente, los planes de emergencia diseñados entre todos, y la información compartida. Arthur Johnson, vicepresidente senior de desarrollo estratégico corporativo en Lockheed Martín, aboga por la necesidad de que las empresas encuentren el equilibrio entre la necesidad de seguridad y la de privacidad.  Respecto a los chequeos de seguridad en los aeropuertos, Johnson opina que en el pasado eran demasiado superficiales, pero sin embargo ahora están llegando al intrusismo. “Una solución para los pasajeros podría ser no volar, pero con esta solución la sociedad no estaría más segura y tampoco se lograría disuadir a los terroristas”. Para poder ser efectivo -añade-, cualquier proceso de chequeo debe combinar “una minuciosa seguridad con una mínima invasión de tu intimidad”.

Johnson cree que los objetivos de los controladores de seguridad son desalentadores. Sólo en EE.UU. deben controlar 700 aeropuertos y  20.000 vuelos diarios, además de 4.000 millas de costa. “Deben inspeccionar 2 millones de vagones y 11 millones de camiones que entran en Estados Unidos cada año”, señaló. Con tal volumen, ¿cómo puede ser posible tener seguridad? Según Johnson, la disuasión no es una opción contra aquellos que están dispuestos a morir. “Tenemos que adoptar medidas intensivas en tecnología en lugar de las intensivas en trabajo”, dice. “Estos sistemas deben estar integrados. La mano derecha del gobierno debe saber lo que está haciendo la izquierda. De otro modo nos veremos superados por las tácticas de Al Qaeda”.

“Destruye tu marca”: El enfoque de Wharton

En un análisis más detallado de las estrategias que se puede emplear para contrarrestar la amenaza del terrorismo, Rick Lieb, presidente de SEI Investments y miembro senior del SEI Center de Wharton, dirigió una sesión sobre los retos del sector financiero. Colin Crook y William Doran, socio del bufete de Morgan Lewis y Bockius, también participaron en el debate.

Para ellos, los terroristas cuyo objetivo es para atacar las empresas financieras son muy inteligentes; (por ejemplo, el hacker ruso que atacó Citigroup estaba licenciado en matemáticas por St. Peterburg Teknologichesky University). Con el fin de identificar qué factores llaman la atención de los ciber-terroristas por su vulnerabilidad, un grupo de profesores de Wharton ha desarrollado un método basado en la iniciativa ‘destruye  tu marca’ (destroy your brand), implantada en General Electric por su antiguo vicepresidente ejecutivo Jack Welch.

La técnica implica reunir uno o más equipos multifuncionales y pedirles que respondan a la siguiente cuestión, “Si fueras un competidor o un terrorista y quisieras expulsar a esta empresa del mercado, ¿cómo lo harías?” Los miembros del equipo celebraron ‘reuniones creativas’ sobre las tácticas que emplearían. Cuando este ejercicio se realizó teniendo como objetivo potencial a Depository Trust Co. –por la que pasan la mayor parte de las transacciones de títulos en los mercados financieros de EE.UU. excepto los relacionados con los bonos del estado-, los participantes sugirieron unos endemoniadamente simples métodos para desbaratar sus operaciones. Por ejemplo, una idea fue estropear las cintas de las copias de seguridad atacando a la persona responsable de su transporte al final de cada jornada laboral.

El objetivo de las prácticas ‘destruye tu marca’ es obvio. Una vez que se identifican los puntos débiles, los miembros de un equipo (u otros equipos) pueden desarrollar estrategias de defensa para contrarrestar tales ataques. Asumiendo que los terroristas trabajan con escenarios similares o incluso idénticos en sus ataques planeados, con estas prácticas se asegurarían de tener ya perfectamente preparadas sus defensas antes de que se produjeran los ataques.

Después del 11 de septiembre del pasado año, varios profesores de Wharton sugirieron a Department of Homeland Security (Departamento de seguridad nacional) que el método de ‘destruye tu marca’ podría ser utilizado para identificar los puntos vulnerables de la economía norteamericana y generar estrategias de respuesta. A pesar de que el departamento tardó en contestar, el mes pasado se ha anunciado que, formando parte de la estrategia de la administración Bush para la seguridad de la nación, se crearían dichos equipos de trabajo.

Para poder ser verdaderamente efectivos, estas prácticas deberían estar dirigidas de manera iterativa, donde cada escenario incorpore las posibles defensas y las nuevas amenazas que surgen tras incorporar esas defensas. Por ejemplo, si los terroristas combinasen un atentado contra una institución que ofrece créditos con cierta jugada en la que se contaminase el dinero en efectivo -hay que tener en cuenta que el 25% de los americanos no tienen cuenta bancaria-, se podría plantear un formidable reto para la economía.

“Estos son unos escenarios problemáticos que podrían paralizar la economía” dice Lieb. Sin embargo, afortunadamente ser consciente de tus áreas más vulnerables es también un paso para prevenir esos ataques o bloquearlos con las consecuencias mínimas en caso de que finalmente ocurrieran.