¿Se ha pillado in fraganti al departamento de TI de Ashley Madison?
Peter Eicher, Senior Manager, Product Marketing de Commvault
¿Han oído ese ruido? Es el sonido de 36 millones de gargantas tragando saliva al mismo tiempo. Me refiero a la brecha de datos de AshleyMadison.com, un sitio web dedicado - cómo decirlo-… a la infidelidad marital.
El sitio fue hackeado, la información robada y, en un acto de autoproclamada “justicia hacktivista”, los cibercriminales hicieron pública la información. Los informes varían sobre cuántas personas han sido afectadas, pero, en cualquier caso, el número es muy alto.
¿Qué se puede decir al respecto? No es fácil defender a los usuarios de páginas de este tipo, pero los números demuestran que se trata de un gran negocio. Por otro lado, no se puede felicitar a los hackers por revelar nombres, números de tarjetas y demás. Dos errores no suponen un acierto, ni siquiera en Internet. Y uno puede asumir que hay muchos inocentes entre los culpables, personas que se inscribieron tan solo para echar un vistazo, de la misma forma en que se puede hacer en una web de citas legítimas, pero sin llegar a contactar con nadie.
Desde mi perspectiva profesional, en lo que debemos fijarnos - dejando fuera las cuestiones éticas y morales- es que Ashley Madison era un negocio gestionado por Avid Life Media. Desde este punto de vista no importa lo que vendieran. Podrían haber sido osos de peluche, botes de mermelada o componentes electrónicos. Era un negocio y fue hackeado, y esto es ilegal.
Como cualquier negocio de estos días, el activo de más valor de Ashley Madison eran sus datos. De hecho, los datos eran su único activo. Vendían conexiones de datos: “Querida colección de ceros y unos, me gustaría presentarme. Yo también soy una colección de ceros y unos”. Es lo que hacían. Conectaban datos, de forma privada. Y ahora esos datos son públicos.
Alguien podría usar este caso para decirle a su departamento de TI, ¿lo veis? ¡Tenéis que tener más cuidado con esto! Pero esto es simplemente otro grano de arena en lo que parece una serie de brechas de seguridad sin fin, pérdida de datos, divulgación de datos, etc.
Saber que se tiene un problema potencial y hacer algo al respecto son dos cosas diferentes. E incluso aunque sepa que necesita hacer algo -¡algo, lo que sea!- eso no significa que se haga lo correcto o lo más inteligente. Las empresas son hackeadas porque la seguridad de los datos es dura y complicada, y hay personas muy inteligentes por ahí fuera buscando brechas constantemente, todos los días.
Por tanto, ¿qué podemos hacer? Las normas generales de las tecnologías de la información a veces son valiosas y son éstas:
Consolidar. Simplificar. Reforzar. Simplificar. Nunca parar de revisar. Simplificar
Notará que un tema se repite. La complejidad lleva a la debilidad, porque nunca se puede revisar durante todo el tiempo. Es más sencillo entender un producto que entender cinco, y esto es especialmente importante en el caso de la gestión de datos y de la seguridad. Y no tema llamar a un experto si no cuenta con uno. Sí, cuesta dinero que un experto revise su entorno - ya sean fabricantes o VARs o consultores - pero también cuesta dinero que el nombre de su empresa aparezca en titulares sensacionalistas.
Hay una lección que podemos aprender sobre AshleyMadison.com: que no le pillen con los pantalones bajados. Habrá otra compañía o gobierno que pronto acapare los titulares. Siempre hay una última víctima. Pero si hace el trabajo necesario y cuenta con una sólida estrategia de gestión de datos y un Partner de confianza, entonces la próxima víctima no será usted.