13.1: Introducción

Última actualización
Guardar como PDF

Page ID: 60907

Anonymous
LibreTexts

\( \newcommand{\vecs}[1]{\overset { \scriptstyle \rightharpoonup} {\mathbf{#1}} } \) \( \newcommand{\vecd}[1]{\overset{-\!-\!\rightharpoonup}{\vphantom{a}\smash {#1}}} \)\(\newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\) \( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\) \( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\) \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\) \( \newcommand{\Span}{\mathrm{span}}\) \(\newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\) \( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\) \( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\) \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\) \( \newcommand{\Span}{\mathrm{span}}\)\(\newcommand{\AA}{\unicode[.8,0]{x212B}}\)

Objetivos de aprendizaje

Después de estudiar esta sección deberías poder hacer lo siguiente:

Reconocer que las violaciones a la seguridad de la información van en aumento.
Comprender el impacto potencialmente dañino de las brechas de seguridad.
Reconocer que la seguridad de la información debe ser una prioridad organizacional máxima.

Sentado en el estacionamiento de un Minneapolis Marshalls, un hacker armado con una computadora portátil y una antena en forma de telescópico se infiltró en la red de la tienda a través de una estación base Wi-Fi insegura ¹. El ataque lanzó lo que se convertiría en un escenario de pesadilla de más de mil millones de dólares para TJX, el padre de las cadenas minoristas que incluyen a Marshalls, Home Goods y T. J. Maxx. En un periodo de varios meses, el hacker y su pandilla robaron al menos 45.7 millones de números de tarjetas de crédito y débito y robaron licencias de conducir y otra información privada de 450 mil clientes adicionales (King, 2009).

TJX, en ese momento una firma Fortune 500 de 17.500 millones de dólares, quedó tambaleado por el incidente. El ataque dañó profundamente la reputación de la firma. Esto cargó a clientes y socios bancarios con el tiempo y el costo de reemitir tarjetas de crédito. Y TJX sufrió bajo costos de liquidación, pagos de restitución impuesta por la corte, honorarios legales y más. La firma estimó que gastó más de 150 millones de dólares para corregir problemas de seguridad y resolver con los consumidores afectados por la brecha, y eso fue solo la punta del iceberg. Estima que las pérdidas totales de TJX por este incidente oscilan entre 1.350 millones y 4.5 mil millones de dólares (Matwyshyn, 2009).

Varios factores condujeron y amplificaron la severidad de la brecha TJX. Hubo una traición al personal: el autor intelectual era un presunto informante del FBI que anteriormente ayudó a derribar un esquema masivo de robo de tarjetas de crédito pero luego traicionó a los federales y utilizó información privilegiada para ayudar a su pandilla a ser más astutos que la ley y llevar a cabo subsecuentes hacks (Goldman, 2009). Hubo un lapso tecnológico: TJX se hizo una marca fácil al usar WEP, una tecnología de seguridad inalámbrica menos segura que las cosas que muchos consumidores usan en sus hogares, una conocida desde hace años por estar trivialmente comprometida por el tipo de piratería “drive-by” iniciada por los perpetradores. Y hubo un error procesal: los minoristas estaban en proceso de desplegar una rúbrica de seguridad conocida como el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago. A pesar de un plazo de la industria, sin embargo, TJX había solicitado y recibido una extensión, retrasando el despliegue de mecanismos que podrían haber descubierto y tapado el agujero antes de que los hackers entraran (Anthes, 2008).

El impacto masivo de la brecha TJX debería dejar claro que la seguridad debe ser una prioridad organizacional máxima. Los ataques van en aumento. En 2008 se incumplieron más registros electrónicos que en los cuatro años anteriores combinados (King, 2009). Si bien los ejemplos y escenarios aquí presentados son impactantes, la buena noticia es que se puede prevenir la gran mayoría de las brechas de seguridad. Seamos claros desde el principio: ningún texto puede proporcionar un enfoque que garantice que estarás 100 por ciento seguro. Y ese no es el objetivo de este capítulo. Sin embargo, los temas planteados en esta breve introducción pueden ayudarlo a tomar conciencia de las vulnerabilidades; mejorar su pensamiento crítico con respecto a los problemas de seguridad actuales y futuros; y ayudarlo a considerar si una empresa tiene tecnologías, capacitación, políticas y procedimientos implementados para evaluar riesgos, disminuir la probabilidad del daño, y responder en caso de incumplimiento. Una vigilancia constante con respecto a la seguridad debe ser parte de su conjunto de habilidades individuales y un componente clave en la cultura de su organización. Una conciencia de las amenazas y enfoques discutidos en este capítulo debería ayudar a reducir sus posibilidades de convertirse en víctima.

A medida que examinemos los problemas de seguridad, primero tendremos que entender lo que está sucediendo, quién lo está haciendo y cuál es su motivación. Luego examinaremos cómo están ocurriendo estas brechas con un enfoque en tecnologías y procedimientos. Finalmente, resumiremos lo que se puede hacer para minimizar los riesgos de ser victimizado y sofocar el daño potencial de una brecha tanto para el individuo como para la organización.

Principales conclusiones

La seguridad de la información es asunto de todos y debe ser una prioridad organizacional.
Las empresas que sufren una violación de seguridad pueden experimentar pérdidas financieras directas, información de propiedad expuesta, multas, pagos legales, costos judiciales, reputaciones dañadas, caída de los precios de las acciones y más.
La seguridad de la información no es solo un problema tecnológico; una gran cantidad de factores de personal y procedimientos pueden crear y amplificar la vulnerabilidad de una empresa.

Preguntas y ejercicios

Como individuos o en grupos asignados por su instructor, busque en línea informes recientes sobre violaciones de seguridad de la información. Ven a clase preparado para discutir la brecha, su impacto potencial y cómo podría haberse evitado. ¿Cuáles deberían ser las conclusiones clave para los gerentes que estudian tu ejemplo?
Piensa en firmas con las que has hecho negocios en línea. Busque para ver si estas firmas han experimentado incumplimientos de seguridad en el pasado. ¿Qué has averiguado? ¿Esto cambia tu actitud sobre el trato con la firma? ¿Por qué o por qué no?
¿Qué factores fueron los responsables de la violación de TJX? ¿Quién fue el responsable de la violación? ¿Cómo crees que debería haber respondido la firma?

¹ Un agradecimiento particular va a mi colega del Boston College, el profesor Sam Ransbotham, cuyos consejos, orientación y sugerencias fueron invaluables en la creación de este capítulo. Cualquier error u omisión es enteramente mío.

Referencias

Anthes, G., “The Grill: El gurú de la seguridad Ira Winkler toma el asiento caliente”, Computerworld, 28 de julio de 2008.

Goldman, D., “Cybercrime: A Secret Underground Economy”, CNNMoney, 17 de septiembre de 2009.

King, R., “Lecciones de la violación de datos en Heartland”, BusinessWeek, 6 de julio de 2009.

Matwyshyn, A., albergando datos: seguridad de la información, derecho y la corporación (Palo Alto, CA: Stanford University Press, 2009).