¿Qué tienen en común Home Depot, UPS y Target? Pues bien, además de ofrecer muebles accesibles, los tres han sido recientemente objeto de filtraciones de datos en puntos de venta que contenían información financiera de los clientes.
Ahora bien, cuando se produce una filtración de datos, siempre hay alguien que se dedica a buscar culpables. «La culpa es de la tienda. Su seguridad informática no cumplía con la normativa. Está claro que deberían haber solucionado x y haberse preparado para y…». Bueno, no creo que abordar este tipo de problemas desde ese punto de vista sea productivo. La seguridad nunca es infalible y *estas cosas* pasan, así que ponte un casco y acostúmbrate a ello, o sal del negocio.
Si quieres culpar a algo, culpa a la confianza depositada en las normativas como medio para proteger la información de los clientes. Las normativas no son, ni han sido nunca, una solución milagrosa. Un chef no prepara buena comida solo porque su restaurante haya superado una inspección sanitaria; sin embargo, en el ámbito de la seguridad informática, la gente presume de los tipos de cumplimiento normativo que tiene como si eso fuera algo importante. Eso no es así como funciona. Si trabajas en TI para el sector minorista, el cumplimiento de la normativa PCI no es una especie de insignia de honor, sino más bien un reconocimiento de que no eres incompetente. Si tuvieras una sala llena de gente y quisieras encontrar a la persona con mayor nivel educativo, no empezarías preguntando quién ha terminado la escuela primaria; por lo tanto, si solo juzgas a una empresa que ha sufrido una filtración basándote en si cumplía o no con la normativa, estás haciendo las preguntas equivocadas. El cumplimiento es un requisito mínimo y, como la mayoría de los requisitos mínimos, lógicamente se deduce que cualquier cosa que supere ese nivel es mejor. Lo que debemos empezar a preguntarnos entonces es: «¿Se podría haber evitado razonablemente esta violación de seguridad?».
Estas empresas estaban legalmente obligadas a cumplir con la normativa PCI, pero garantizar la seguridad informática implica mucho más que limitarse a seguir unas directrices de seguridad al pie de la letra. Lo fundamental en materia de seguridad informática es que nunca se puede eliminar el riesgo, solo mitigarlo. Esto nos deja con una pregunta: ¿se podría haber evitado razonablemente la filtración de datos de Home Depot?
No puedo responder fácilmente a eso. Dependiendo de cómo se mire, la brecha era tanto evitable como inevitable. Es imposible saberlo, porque no sabemos si Home Depot hizo un buen trabajo protegiendo los datos de sus clientes, esa información aún no se ha hecho pública. Lo que puedo decir es que si más bancos hubieran adoptado tarjetas de crédito con chip, la brecha no habría sido tan grave. Las tarjetas con chip son más difíciles y más caras de "clonar", lo que las hace menos valiosas para los delincuentes. ¿Habría evitado esto la brecha? Probablemente no. ¿Habría reducido los daños? Sí, significativamente.
Sin embargo, si lo piensas bien, eso resume en pocas palabras la seguridad informática. No existe la seguridad absoluta. Lo único absoluto en la seguridad informática es la probabilidad absoluta de que cualquier sistema sufra una brecha de seguridad. P(Brecha) ≠ 0 y todo eso. Si alguien quisiera dedicarle los recursos suficientes, podría vulnerar cualquier sistema. Para combatir esto, los profesionales de la seguridad informática deben seguir un proceso constante de comprobación y confirmación de que sus sistemas funcionan como es debido. Es un proceso para confirmar que las vulnerabilidades se corrigen a medida que se detectan.
En resumen:
¿Se podría haber hecho más para evitar la filtración de Home Depot?
Claro, siempre se puede hacer algo más para mejorar la seguridad.
¿Importa el estado de su cumplimiento de la normativa PCI?
No tanto, excepto desde un punto de vista legal.
¿Habría cambiado algo el hecho de contar con medidas de seguridad más estrictas?
No necesariamente, pero no podría haberlo empeorado.
No soy de los que se autopromocionan tras una filtración grave, pero tenemos un libro electrónico gratuito sobre cómo AuthAnvil ayudar a proteger la infraestructura informática del sector minorista. En él se explica cómo muchas de nuestras funciones pueden ayudar a cumplir y superar los requisitos de la norma PCI DSS.
