Llegamos a ustedes gracias a:



Conversando con...

Jamil Farshchi, CISO de Equifax Inc.

Cómo Equifax enfrentó la fuga de datos del 2007

Jamil Farshchi, chief information security officer (CISO) de Equifax Inc.

[28/01/2019] ¿Cómo recuperar la confianza luego de una fuga de datos? Esa fue la pregunta que se plantearon en Equifax en el 2007, luego de que la compañía afrontó una fuga de datos masiva. El ataque tuvo efectos aún más fuertes si se toma en cuenta que el rubro en el que trabaja Equifax es precisamente el de los datos sensibles.

La respuesta fue ser transparentes, contar lo que ocurrió y las lecciones que se aprendieron a partir de ese incidente. Y es por ello por lo que Jamil Farshchi, chief information security officer (CISO) de Equifax Inc, cuenta lo sucedido cada vez que viaja por el mundo. En su paso por Lima se reunió con CIO Perú para contarnos lo que hizo la firma y su labor como el principal responsable de que la empresa mantenga la seguridad en su gestión de los datos.

Se habla de que hay indicadores que nos avisan de que hay riesgos de posibles fugas de datos, ¿estos indicadores aparecieron en Equifax?

Hay toda una variedad de indicadores para todo tipo de actividad, ya sea del lado del control de acceso, detección, indicadores de comportamiento y cosas por el estilo. Nosotros usamos estos indicadores al igual que toda gran organización. Y los hemos mejorado invirtiendo 250 millones de dólares el año pasado en seguridad, y vamos a usar la misma cantidad el siguiente año para seguir mejorándolos.

La razón por la que tenemos todos esos indicadores es que ninguno de ellos, de forma individual, nos cuenta toda la historia y no es definitivo. Entonces nuestra meta es juntar todos los que podamos para tomar las decisiones más informadas posibles para proteger nuestro ambiente.

Esos indicadores son recientes, ¿no existían en el 2007?

Siempre tuvimos indicadores, simplemente hemos hecho inversiones para reunir más indicadores. Mientras más indicadores tengas, tendrás más datos; y mientras más datos tengas, mejores decisiones tomarás.

¿Qué tipo de información no tuvieron que provocó la fuga?

No diría que una falta de información causó le fuga, en primer lugar. Segundo, no se trata de conseguir nueva información, sino de tener información mejor y más rica a partir de los datos que ya tenemos.

¿Se logró determinar cuál fue la causa de la fuga?

Si, fue la falta de parches de un sistema en particular y un proceso operativo.

¿Entonces fue una falla netamente tecnológica, no hubo falla humana?

Un proceso operativo es también un aspecto humano.

¿Qué acciones se tomaron para resolver la fuga?

Se tomaron muchas medidas, pero no solo para resolver la fuga. Lo que queríamos es ser el mejor en el mundo en ciberseguridad; y por ello, como mencioné, invertimos 250 millones de dólares para mejorar los controles, la tecnología que teníamos instalada, optimizar los procesos que teníamos para asegurar nuestra seguridad, y ampliar el equipo dentro de seguridad. Por ejemplo, contratamos a 170 personas solo el año pasado para que se agreguen al equipo de seguridad, así que estamos enfocados en las personas, los procesos y la tecnología para poder ser los mejores en el mundo.

Un punto importante aquí es que estas son las cosas tradicionales en las que las organizaciones invierten, pero nosotros lo estamos llevando al siguiente nivel. Un punto importante es que, en mi opinión, el más grande diferenciador es cambiar la cultura de la organización, y eso es algo en lo que hemos invertido mucho tiempo también.

Entonces, primero, cambiamos la estructura de reporte por lo que mi puesto reporta directamente con el CEO, y tengo una relación de reporte con el directorio. Muy pocas empresas en el mundo han elevado el rol de la seguridad tan alto dentro de su organización.

Dos. Todos dentro de la compañía tienen que incorporar la cultura de la seguridad, y por tanto lo que hicimos fue instituir una medida de seguridad en el plan de bonos dentro de la compañía para todos los empleados que ganaron bonos. Esto significa que si no se cumple una cierta meta de seguridad, hay una deducción en los bonos de todos los empleados.

Y hemos instituido una variedad de controles operativos para asegurarnos que la seguridad se encuentra incorporada en todos los procesos de riesgo principales en la compañía. Entonces, todas las fusiones y adquisiciones, por ejemplo, deben tener todas las vulnerabilidades remediadas, completar una evaluación a la que se comprometen y completar totalmente un plan de integración, antes de que siquiera consideremos comprar esas compañías. Así que esas son algunas de las cosas que nos han ayudado a incorporar una cultura de seguridad que sea sostenible en el futuro.

¿Esta integración se extiende hacia los proveedores y los miembros del ecosistema?

Sí, pero es un área diferente. Para el caso de los riesgos de terceros tenemos un plan diferente, pero también tenemos bastantes controles en ese campo.

Hacemos las cosas tradicionales, como hacer que los proveedores nos proporcionen un cuestionario de seguridad, certificaciones, hacemos revisiones en campo, eso es lo tradicional. Pero además de esto, tenemos un servicio de un tercero que consiste en monitorear a todos nuestros más de cuatro mil proveedores externos que tenemos para poder medir su seguridad, y cuando su seguridad alcanza cierto nivel se realizan revisiones en campo para evaluarlos.

Y la parte final es que hay ciertas áreas de seguridad, como la seguridad de las aplicaciones y la nube, por ejemplo, donde tenemos controles técnicos que se ejecutan de forma automática, como para el escaneo de códigos, por ejemplo, o satisfacer ciertos requerimientos de cumplimiento normativo que revisamos técnicamente de forma continua.

¿Cómo es la organización de los ejecutivos de seguridad?

Tenemos una estructura organizacional típica como la mayoría de las organizaciones, tenemos presidentes para nuestras líneas de negocio más importantes, que reportan al CEO, y luego tenemos gerentes de recursos humanos, finanzas, legal que reportan también al CEO. Interactuamos como un equipo y tenemos que trabajar juntos para asegurarnos que todas las prácticas de seguridad estén incorporadas en cada uno de ellos.

Y yo tengo lo que llamamos business information security officers, que son muchos CISOs que están incorporados en cada una de esas organizaciones para asegurar que las prácticas de seguridad se están siguiendo, y que los riesgos están siendo manejados de acuerdo con los requerimientos de nuestra organización.

¿Por cada línea de negocio?

Los tenemos por cada línea de negocio; y para ciertas áreas como la internacional, tenemos uno por cada país o región, dependiendo de la organización.

¿Esta estructura es nueva o se tenía antes?

Un poco de ambos. Las funciones de los ISO existían desde antes de la fuga de datos, y modificamos ligeramente el modelo operativo, pero en esencia es mucho de lo que se tenía desde antes.

Lo que hemos cambiado es que esos roles ahora son marcadamente más técnicos y con menos foco en el cumplimiento normativo, porque para poder detener los eventos modernos necesitamos personas técnicas que puedan entenderlos, y encontrar la solución y formas significativas de poder detectarlos.

¿Cómo se puede recuperar la confianza?

Nuestro enfoque es ser tan transparente como sea posible y más que cualquier otra víctima de la fuga de datos, nos reunimos regularmente con los CISO; tenemos un "CISO call todos los meses con todos los CISO de nuestros clientes, que son varios cientos. También nos reunimos activamente con clientes, reguladores y profesionales para contarles no solo de la fuga sino de lo que aprendimos con ella, para poder ayudar a todas estas organizaciones que podrían enfrentar una probable situación similar. Entonces, nuestro enfoque se basa en ese nivel de transparencia, y como resultado de todo esto hemos podido recuperar una enorme cantidad de confianza y respeto, porque hemos sido muy directos con lo que nos ocurrió.

¿Cuál fue la lección que se aprendió del ataque?

No hay una única lección aprendida, sino una combinación de pequeñas cosas. Cosas que van desde la disciplina en las operaciones, enfocarse en los fundamental, tomar un enfoque basado en el riesgo para la seguridad en lugar de uno basado en el cumplimiento normativo, motivar la cultura de la seguridad de arriba abajo en la cultura de la organización. En general, hay muchas lecciones aprendidas, no solo para mejorar nuestra seguridad sino, esperamos, la de nuestros clientes e incluso la de la industria en general.

¿Qué es lo que puede prometer como profesional de la seguridad a su compañía? ¿Qué esto no volverá a ocurrir?

Nadie en la industria puede prometer que una fuga no se va a producir. Lo que hemos aprendido y lo que hemos visto es que uno puede implementar todos los controles que se quieran, pero aun así uno tiene el riesgo de verse potencialmente comprometido y lo mejor que podemos hacer es poner nuestro mejor esfuerzo en invertir en los niveles adecuados de prácticas y talento, y asegurarnos que tenemos una estrategia fuerte para poder defendernos de las amenazas.

Y ese es el motivo por el que nosotros, al igual que otras muchas organizaciones, invierten fuertemente en la función de detección y respuesta de la organización; porque sabemos que es posible que algo ocurra, sin importar lo que hagamos, y por tanto la estrategia es asegurarnos de que podemos detectar y responder a la amenaza antes de que ocurra cualquier impacto negativo significativo.

¿Desea agregar algo?

En términos de transparencia y con el ánimo de ayudar a otras organizaciones, compartimos bastante información como dije antes. También nos hemos unido a varias organizaciones, como la Better Identity Coalition o el programa de ciberseguridad del Foro Económico Mundial, para poder ayudar con los principales desafíos a la seguridad y el desarrollo del talento. Finalmente, hemos desarrollado un grupo de CISOs expertos en nuestra región para compartir información y aprender mejores prácticas y ayudarnos a todos a prepararnos para defendernos de las amenazas modernas.