Lo que el ejército de los Estados Unidos ha aprendido sobre cómo frustrar los ciberataques

En cuanto mis coautores y yo dimos los últimos retoques a nuestra Harvard Business Review artículo eso sostiene el enfoque militar estadounidense de la ciberdefensa como modelo que noticias reveló que se había producido una violación grave del sistema de correo electrónico no clasificado utilizado por los empleados del Estado Mayor Conjunto de los Estados Unidos en el Pentágono. Pero, de hecho, el incidente subraya en gran medida nuestro punto principal.

Según se informa, los atacantes utilizaron un correo electrónico de suplantación de identidad para penetrar en el sistema. El Departamento de Defensa ha descubierto que la mayor parte de los ciberataques exitosos son posibles gracias al mal desempeño humano. De hecho, un elemento clave de nuestra tesis es que la mayoría de las organizaciones hacen muy poco hincapié en cambiar el comportamiento y demasiado en las salvaguardias técnicas.

Sugerimos que las empresas sigan el ejemplo del ejército de los Estados Unidos. Está reforzando su ciberseguridad mediante la aplicación de los métodos utilizados por el programa de propulsión nuclear de la Marina de los Estados Unidos, cuyo historial de seguridad es insuperable. Estos incluyen un sólido programa de formación, presentación de informes e inspecciones, así como seis principios de excelencia operativa. Son:

Integridad, un ideal profundamente internalizado que lleva a las personas, sin excepción, a eliminar los «pecados de comisión» (desviaciones deliberadas del protocolo) y a reconocer inmediatamente los errores.

Profundidad de conocimiento, o un conocimiento profundo de todos los aspectos de un sistema, para que la gente reconozca más fácilmente cuando algo va mal y gestione cualquier anomalía de forma más eficaz.

Cumplimiento procesal, lo que implica exigir a los trabajadores que conozcan (o sepan dónde encontrar) los procedimientos operativos adecuados y que los sigan al pie de la letra. También se espera que reconozcan cuando una situación ha eclipsado los procedimientos escritos existentes y se necesitan otros nuevos.

Respaldo contundente, lo que significa, entre otras cosas, hacer que dos personas, no solo una, realicen cualquier acción que represente un alto riesgo para el sistema y permitir a todos los miembros de la tripulación, incluso a los más jóvenes, detener un proceso cuando surja un problema.

Una actitud inquisitiva, que se puede inculcar entrenando a las personas para que escuchen sus alarmas internas, busquen las causas y, a continuación, tomen medidas correctivas.

Formalidad en la comunicación, lo que significa comunicarse de la manera prescrita para minimizar la posibilidad de que las instrucciones se den o reciban de forma incorrecta en momentos críticos (por ejemplo, exigiendo que quienes dan las órdenes o instrucciones las digan claramente y los destinatarios las repitan textualmente). La formalidad también significa establecer una atmósfera de la gravedad adecuada, eliminando las conversaciones triviales y la familiaridad personal que pueden provocar falta de atención, suposiciones erróneas, saltarse pasos u otros errores.

Todo el ejército estadounidense está adoptando gradualmente estos métodos como parte central de sus esfuerzos por reforzar su ciberseguridad. A pesar de este reciente y embarazoso ataque, la verdad es que ha progresado a buen ritmo. Dado que los ciberataques al sector privado son un problema grave, los líderes empresariales también deben convertir sus empresas en organizaciones de alta fiabilidad. Las salvaguardias tecnológicas, si bien son vitales, no harán que una empresa sea segura por sí sola.