Seis lecciones del ejército de EU para evitar ataques cibernéticos

El Departamento de Defensa de Estados Unidos ha encontrado que los ataques cibernéticos más exitosos son posibles gracias a un desempeño humano deficiente. Considere, por ejemplo, la violación reciente a la seguridad del sistema de correo electrónico desclasificado utilizado por los empleados del Estado Mayor Conjunto en el Pentágono, que según se dijo se logró a través de un correo electrónico tipo “spear-phishing”.

Sugerimos: ¿Por qué no te conviene trabajar muchas horas?

En realidad, la mayoría de las organizaciones pone muy poco énfasis en el cambio de comportamiento y demasiado en las salvaguardas técnicas.

Las fuerzas armadas de Estados Unidos está reforzando su seguridad cibernética aplicando los métodos usados por el programa de propulsión nuclear de la Armada, cuyo historial de seguridad no tiene par. Éstos incluyen un robusto programa de capacitación, presentación de informes e inspecciones, así como seis principios de excelencia operacional:

Integridad, un ideal profundamente internalizado que lleva a las personas, sin excepción, a eliminar las desviaciones deliberadas del protocolo y a admitir inmediatamente los errores.
Profundidad de conocimiento o una concienzuda comprensión de todos los aspectos de un sistema, de tal forma que la gente reconozca más fácilmente cuando algo está mal y maneje cualquier anomalía más eficazmente.
Cumplimiento del procedimiento, lo que conlleva exigir que los empleados conozcan _ o que sepan dónde encontrar _ los procedimientos operativos adecuados y que los respeten al pie de la letra. También se espera que reconozcan cuando una situación ha opacado los procedimientos escritos existentes y cuando se necesiten procedimientos nuevos.
Respaldo vigoroso, lo que significa, entre otras cosas, tener dos personas _ no solo una _ para que realicen cualquier acción que represente un alto riesgo para el sistema y otorgar poder a cada integrante del equipo para que frene un proceso cuando surja un problema.
Una actitud inquisitiva, que puede infundirse capacitando a la gente para que escuche sus alarmas internas, busque la causa y después emprenda una acción correctiva.
Formalidad en la comunicación, lo cual significa comunicarse en la forma recomendada para minimizar la posibilidad de que se instruyan o reciban instrucciones incorrectamente en momentos críticos (por ejemplo, al exigir que los que den instrucciones las pronuncien claramente, y que los receptores las repitan palabra por palabra).

Todas las fuerzas armadas de Estados Unidos está adoptando gradualmente estos métodos para impulsar la seguridad cibernética, y los líderes empresariales harían bien en seguir el ejemplo. Las salvaguardas tecnológicas por sí solas no harán que una compañía esté segura.

James A. (Sandy) Winnefeld Jr. fue el noveno vicepresidente del Estado Mayor Conjunto de Estados Unidos y almirante de la Armada hasta agosto de 2015, cuando se retiró.

kgb