SAN FRANCISCO. Compadézcanse del pobre jefe de seguridad de la información.
La profesión apenas existía hace una generación, pero para combatir la creciente amenaza de las violaciones de seguridad en línea, las empresas y los gobiernos están contratando ejecutivos cuya principal responsabilidad es hacer que los sistemas de datos sean seguros. Cuando las cosas van mal y van mal a menudo, estos ejecutivos esperan cargar con la culpa.
"Somos como ovejas esperando a ser sacrificadas", dijo David Jordan, director de seguridad de la información para el Condado de Arlington, en Virginia. "Todos sabemos nuestro destino cuando hay una violación significativa. Este trabajo no es para los pusilánimes".
Los directores de seguridad de la información tienen uno de los trabajos más difíciles en el mundo de los negocios; deben estar siempre un paso adelante de mentes criminales en Moscú y piratas informáticos en Shanghái, verificar una creciente lista de cumplimientos y vigilar de cerca a los vendedores que diseminan la información y empleados imprudentes que cargan datos sensibles a las cuentas de Dropbox e iPhones desbloqueados.
Deben ser expertos en el manejo de crisis y comunicaciones, así como expertos en la tecnología más sofisticada, a pesar de que han venido a aprender de la manera difícil que incluso las más brillantes nuevas trampas de seguridad, pueden ser burladas.
Y se enfrentan a un ritmo acelerado de noticias sobre infracciones que constantemente les recuerda qué está en juego, como la detención de un ruso en julio, por cargos de piratería informática a minoristas de EU.
"Tenemos que estar bien el 100 por ciento del tiempo", dijo Tom Kellermann, jefe de seguridad de la información de Trend Micro, una empresa de seguridad. Los criminales cibernéticos, dijo, "deben estar bien una sola vez".
Hace una década, pocas organizaciones tenían un jefe especializado en seguridad de la información. Ahora, más de la mitad de las empresas con mil o más empleados en Estados Unidos tienen un ejecutivo de tiempo completo o de medio tiempo en el puesto, según un estudio realizado el año pasado por el Instituto Ponemon, una firma de investigación.
Empresas como VeriFone, el proveedor de sistemas de pagos electrónicos; Brown-Forman, la empresa de bebidas; las universidades de Carolina del Norte y Chicago; y advenedizos recientes como Fitbit están en busca de oficiales de seguridad. Lo mismo que Neiman Marcus, que sufrió una violación importante el año pasado.
El trabajo se ha vuelto tan crucial, dicen los reclutadores, que las empresas tratan de endulzar el trato. Según el estudio, están ofreciendo bonos y salarios que van desde 188 mil0 a 1.2 millones de dólares, con ventajas como la posibilidad de trabajar desde casa y generoso tiempo libre, y la promesa de mayores presupuestos para comprar más protección para los sistemas porosos.
Aun así, se ve como un trabajo ingrato. Muchos de los directores de seguridad de la información que han participado en el estudio de Ponemon calificaron su posición como el más difícil en la organización, y la mayoría de los encuestados señaló que su trabajo era malo o el peor trabajo que habían tenido.
Cuando el año pasado violaron la seguridad de la información de Target, no había un director de seguridad de la información de tiempo completo; contrató al primero en junio. Beth Jacobs, quien supervisaba la protección de datos, entre otras varias funciones, se vio obligada a dimitir. Gregg Steinhafel, el director ejecutivo y presidente de la junta, también perdió su trabajo.
Stephen Fletcher, quien supervisó la seguridad de datos para el estado de Utah, renunció después de que una violación hace dos años revelara los datos personales de los 780 mil beneficiarios de Medicaid. En enero, Justin Somaini, director de seguridad de la información de Yahoo!, dejó su cargo poco antes de que la compañía reconociera una violación de cuentas de correo electrónico recién renovado de algunos clientes.
El trabajo es tan demandante que muchos terminan dejándolo – voluntariamente o no – después de dos años, según el estudio de Ponemon. Esto comparado con los directores ejecutivos, que se mantienen alrededor de 10 años en promedio, de acuerdo con otras investigaciones.
De todos los dolores de cabeza que enfrentan, uno de los más grandes es averiguar en cuáles productos de seguridad pueden confiar.
"En los viejos tiempos había un dicho: 'Nunca nadie fue despedido por comprar IBM', porque se podía confiar en IBM", dijo Andrew Caspersen, un ex jefe de seguridad de la información en Charles Schwab. "Pero las empresas de seguridad no han sido capaces de establecer ese nivel de credibilidad".
Es más, mientras que muchos oficiales de seguridad de la información están de acuerdo en que el software antivirus, una forma tradicional de protección, falla en defender a la compañía de las amenazas actuales, algunos dicen que los productos más nuevos no son mucho mejores. También se quejan de que se ha vuelto casi imposible evaluar los productos de cara al miedo y la incesante comercialización.
Un informe publicado en marzo por NSS Laboratories, un grupo de investigación independiente, destacó el problema. En una prueba de comparación de productos de detección de violaciones de seguridad, NSS Laboratories descubrió que los productos vendidos por FireEye, la preferida de Wall Street en cuestiones de seguridad, no se desempeñan tan bien como Sourcefire de Cisco, Trend Micro y las ofertas más económicas de General Dynamics, Fidelis y Fortinet.
El informe de inmediato desató una disputa después de que FireEye señalara que la metodología tenía graves irregularidades, una afirmación que NSS Labs desafió de inmediato, enviando a las acciones de FireEye, que se habían triplicado desde su debut en el mercado público, en un descenso en caída libre.
Pero los oficiales de seguridad dicen que la prueba no les dijo nada que no supieran ya, pues no hay una bala de plata cuando hay que defenderse de una posible violación. Es cuestión de colocar capas de las tecnologías más eficaces, contratar a los mejores y contar con buena suerte.
Los candidatos a un puesto de trabajo como oficial de seguridad de la información tienen el cuidado de sacar a colación directamente las conversaciones difíciles desde el inicio, dicen los reclutadores. Antes de aceptar una oferta, algunos solicitantes quieren asegurarse de que la junta está de acuerdo en que las infracciones son inevitables y que tienen que destinar un porcentaje suficiente del presupuesto para la tecnología de seguridad de la información.
"Si usted sabe que va a ser sacrificado, querrá una razón suficiente para aceptar el trabajo", dijo John Kindervag, analista de seguridad de la firma de investigación de mercado Forrester. "Nadie habla de lo que estamos haciendo a esta pobre gente. Estamos poniendo toda esta complejidad en sus hombros y después sólo es 'buena suerte'".
Para hacer frente a tal angustia, muchos oficiales de seguridad de la información dicen que se basan en el humor. Una broma, relatada a este reportero tres veces en una semana, es la historia del nuevo oficial de seguridad, que conoce a su predecesor.
El predecesor le entrega tres sobres numerados y le dice que los abra en caso de emergencia.
Después de una violación, el nuevo agente de seguridad abre el primer sobre. El mensaje dice: "culpe a su predecesor". Después de una segunda infracción, abre el segundo sobre, que le sugiere, "culpe a su personal". Y después de una tercera violación, el oficial de seguridad abre el tercer sobre. El mensaje dice: "Prepare tres sobres".