¿Cómo superar un golpe bajo en ciberseguridad?

“Tus mayores enemigos en una brecha de seguridad serán el tiempo y el perfeccionismo. Estos, al final, acabarán por doblegarte”, señala Jamil Farshchi, Chief Information Security Officer de Equifax. Sin duda, Farshchi lo sabe. Desde que empezó su carrera en la NASA, ha asumido una gran variedad de puestos relacionados con la ciberseguridad en empresas estadounidenses de alto nivel, como el Laboratorio Nacional de Los Álamos, Visa y Time Warner.

En los últimos años, este experimentado experto en seguridad se ha dedicado a ayudar a las empresas que han sufrido grandes ciberataques. Primero se incorporó al grupo Home Depot en 2015 y después a Equifax, la agencia de información crediticia, tecnología y datos. Su incorporación a Equifax fue poco después del ciberataque de 2017 que acabó comprometiendo los datos personales de unos 147 millones de clientes y dio lugar al mayor caso de filtración de datos en Estados Unidos hasta la fecha.

A raíz de esta crisis, Jamil Farshchi y su equipo están duplicando los esfuerzos para aumentar la transparencia, reconstruir la confianza y fortalecer la cultura de riesgo de Equifax. Recientemente, en una entrevista para strategy+business, Farshchi explicó los progresos de la compañía hasta la fecha, los desafíos y los beneficios de liderar una empresa en momentos de crisis, el futuro de la función del CISO y su memorable -aunque accidental- experiencia como hacker.

S+B: ¿Cómo fue que te interesaste por la ciberseguridad?

FARSHCHI: La primera vez que me adentré en el mundo de la ciberseguridad fue en la universidad. Estaba trasteando con la red de la facultad y terminé accediendo a un montón de credenciales -nombres de usuario y contraseñas- por algunas brechas de seguridad. En aquel momento pensé: “esto mola mucho”, y decidí contárselo al decano de la facultad. No fue hasta que estaba a punto de entrar en su despacho cuando me di cuenta: “joder, quizá me expulsen por esto”. Por suerte, fue muy amable y agradecido, y acabó dándome una beca de un año para que ayudara a la universidad con su sistema de ciberseguridad.

S+B: Entonces, ¿podrías haber terminado siendo un ciberdelincuente en lugar de un CISO?

FARSHCHI: [Risas] A muchos de mis compañeros de clase en aquel momento les encantaba la idea de poder cambiar nuestras calificaciones. Pero no, la lección que aprendí de todo esto es que hacer lo correcto merece la pena. Resultó ser una gran experiencia para mí, no solo ayudé a la universidad y conseguí algo de dinero por la beca, sino que pudimos solucionar las brechas de ciberseguridad y proteger a las personas. Todos salimos ganando.

S+B: Ahora hablemos de una crisis mucho más grave: la filtración de datos de Equifax en 2017. A ti te contrataron específicamente para que ayudases a la empresa a recuperarse de este incidente, que en aquel momento fue uno de los más graves que se habían registrado. ¿Cómo es afrontar una crisis así en tiempo real?

FARSHCHI: Sinceramente, es difícil de describir. Es como un golpe bajo. Da miedo. Es caótico. Es desmotivador. Son todos estos sentimientos recogidos en un sólo momento. Por ejemplo, se dieron casos de empleados de Equifax que salían de la oficina y literalmente recibían escupitajos de personas al azar como consecuencia del nivel de hostilidad que se generó en torno a la crisis. Como líder, tu trabajo es ayudar a inspirar confianza y sentido común -una sensación de que las cosas irán bien- mientras toda la organización se encuentra patas arriba.

S+B: ¿Y cómo se afronta este reto?

FARSHCHI: Los mayores enemigos de una brecha de ciberseguridad son el tiempo y el perfeccionismo. Todo el mundo quiere que todo se haga en una fracción de segundo. Y es imposible tener la información precisa para diseñar soluciones y tomar decisiones perfectas. Al final, el tiempo y el perfeccionismo acaban aplastándote.

Por el contrario, tus dos grandes aliados son la comunicación y la capacidad de maniobra. La comunicación consiste en ser capaz de explicar la situación actual y garantizar que todos están remando en la misma dirección. Es poder contar a los organismos reguladores cuál es el estado actual de las cosas y qué planes tienes en mente, y al mismo tiempo tranquilizar a tus clientes y asegurarte de que confían en que vas a ser capaz de sobrevivir.

Por su parte, la capacidad de maniobra es fundamental, porque en este tipo de incidentes no hay quien tome las decisiones perfectas. Y si no te sientes cómodo tomando decisiones que pueden no ser las correctas en un momento dado, vas a fracasar. Como líder, es necesario diseñar un plan de crisis y tomar iniciativas que te permitan modificar o corregir a medida que vas aprendiendo y avanzan las cosas.

S+B: ¿Cómo ha sido este esfuerzo? ¿Qué áreas se abordan primero?

FARSHCHI: Me centré en tres cosas a la vez, empezando por las personas. Éstas son las que definen el éxito o el fracaso. Y como en toda crisis, algunas personas se paralizan, mientras que otras se convierten en impulsores del cambio. Por ejemplo, mi CISO adjunto, Russ Ayres, ni siquiera estaba en el área de ciberseguridad en ese momento; era un desarrollador. Pero intervino y se encargó de los aspectos técnicos, las conversaciones con los clientes, las reuniones con los reguladores… de todo.

Creo que parte de nuestro trabajo como líderes es ser capaces de identificar los puntos fuertes de nuestra gente y situarlos donde son más propensos a triunfar. Y las crisis son excelentes para evaluar a las personas y sus aptitudes.

La segunda área era nuestra estrategia de futuro, y no era ni muy profunda ni muy compleja. Es puramente una declaración del más alto nivel que dice: “esto es lo que queremos hacer en el futuro. Y así es como vamos a conseguirlo”, con un puñado de iniciativas de gran calado. Una vez más, el objetivo no puede ser la perfección. Se trata de infundir en la gente la confianza de que ya no va a ser un auténtico caos, y de que ya disponemos de un camino.

S+B: ¿Y el tercer ámbito?

FARSHCHI: La cultura, es absolutamente fundamental. El error que cometen muchas compañías en momentos de crisis es aplazar el tema de la transformación cultural porque no parece algo que se deba hacer inmediatamente. Y el problema es que es muy difícil afianzar y transformar una cultura. Y el cambio es inevitable en momentos así. Cuando se está en crisis, la gente es mucho más propensa a aceptar lo que se está intentando instaurar.

S+B: ¿Cómo se puede saber si una empresa tiene una cultura de riesgo sólida o débil? ¿Cuáles son las señales?

FARSHCHI: Fíjate en el lugar que ocupa la ciberseguridad dentro de tu organización. ¿Se encuentra oculta en las profundidades de la tecnología o tiene un sitio prioritario en el comité de dirección? Por ejemplo, yo respondo directamente ante el CEO. Esta es una muestra clara de la relevancia de los ciberriesgos en la empresa. Si nos fijamos en la estructura organizativa, veremos claramente lo que es importante para una compañía.

Por otro lado, he visto empresas en las que se llevan a cabo evaluaciones anuales de riesgos de negocio y nadie se preocupa realmente de ellos. Es un tic que se marca una vez al año, y se limitan a seguir el procedimiento. Esa es una cultura de riesgo muy débil.

En cambio, se está en mejor posición si el concepto de riesgo está integrado como un componente central de las diferentes áreas de la organización, y se mantienen debates relevantes y reflexivos al respecto. Si estas discusiones se producen con frecuencia -y no sólo en los niveles inferiores de la organización, sino también en la alta dirección-, es probable que la cultura de ciberseguridad esté en buena forma. Créeme, el resto de la empresa está observando. Si ven que se le dedica mucho tiempo a la gestión de riesgos, que las estructuras de mando están cambiando, que se da más importancia a la ciberseguridad y que el comité de dirección trata el tema de la ciberseguridad todos los trimestres, entonces todo esto es importante.

Por último, la cultura del riesgo se evalúa a través de la acción. Es probable que exista una cultura débil si los debates no llegan realmente a nada, y una sólida cuando la empresa toma decisiones que favorecen la gestión de los riesgos y no se limitan a buscar un incremento de ingresos por cada dólar invertido. Si no se está dispuesto a ralentizar una transformación digital o a retrasar el lanzamiento de un nuevo producto por motivos de ciberseguridad, es muy probable que la organización no cuente con la cultura adecuada. Esas son las difíciles concesiones que, para mí, demuestran que las compañías están dispuestas a poner su dinero donde está su boca en términos de gestión eficaz de riesgos.


atoca: