Por EVAN RAMSTAD
SEÚL—A comienzos de abril, Ted Chung, el presidente ejecutivo de la mayor empresa de finanzas al consumidor de Corea del Sur, se encontraba en un viaje de negocios en Dinamarca donde recibió una llamada que cambió la forma en que hace su trabajo.
Un colega le dijo que la empresa, Hyundai Capital Services Inc., acababa de recibir una llamada diciendo que su sistema informático había sido atacado. El hacker que llamaba amenazó con divulgar información robada si la empresa no le pagaba.
Ted Chung, presidente ejecutivo de Hyundai Capital, le presta ahora mayor atención al departamento de tecnología de la información.
En retrospectiva, Chung afirma que estaba demasiado desconcertado como para asustarse. "Nada me quedaba claro", sostiene. "Teníamos que entender lo que había pasado primero".
Durante las dos semanas siguientes, la empresa trabajó con la policía para rastrear lo que resultaron ser dos grupos de piratas. Las autoridades arrestaron a tres sospechosos en Corea del Sur, y rastrearon al otro grupo hasta las Filipinas.
Desde entonces, las lecciones que Chung y sus colegas aprendieron de la experiencia han conducido a cambios fundamentales en la estructura de la empresa, así como en su propia forma de pensar sobre cómo liderarla.
Su mayor error, sostiene, fue tratar al departamento de tecnología de la información (TI) como simplemente una entre muchas unidades que ayudaban a la empresa a hacer su principal tarea. Hoy, trata ese departamento como un área central para todo lo que hace la compañía. Desde el ataque, Chung ha pasado semanas aprendiendo los secretos de la arquitectura de red, infraestructura de seguridad y el equilibrio entre la protección de datos y la satisfacción del cliente.
"Si cierra con llave el baño y el garaje porque intenta proteger las joyas que tiene en el dormitorio, tarde o temprano el resto de la familia se quejará y encontrará la forma de romper las reglas", afirma Chung. "Como el resto, la seguridad informática necesita una filosofía, y sólo el presidente ejecutivo puede tomar esa clase de decisión".
El departamento de TI, que ha sumado una división de seguridad, ahora reporta de forma directa al presidente ejecutivo. La empresa retrasó la presentación de varios productos nuevos para asegurarse de que no crearan nuevas vulnerabilidades en el sistema. En las palabras de Chung, hay cinco lecciones que aprender de la experiencia:
Confíe en las autoridades
"Me impresionaron mucho la capacidad y la velocidad que mostró la policía".
"Lo primero fue denunciar y luego mantenernos en contacto. No sabíamos cuán extenso era el problema, pero encontramos una pista de los hackers, que pedían el pago para el día siguiente".
"La cifra era medio millón de dólares. Enviamos sólo US$100.000, pero mantuvimos el contacto. Y la policía los atrapó".
Sea abierto y transparente
"Esta es una vieja lección. Siempre somos transparentes. Ofrecimos una conferencia de prensa al día siguiente de que supimos del problema. Contactamos a nuestros clientes para informarles las novedades. Y recibimos la ayuda de mucha gente porque fuimos abiertos".
"Luego de nuestro caso, más empresas en Corea del Sur han reportado ataques informáticos. Creo que esa es nuestra contribución. Dimos la señal de alerta, y otras empresas están saliendo a pelear".
Aprenda sobre TI y dónde
están sus vulnerabilidades
"Actualmente, el presidente ejecutivo debería entender la estructura básica del hackeo aunque no pueda programar. Un presidente ejecutivo debe balancear y tomar decisiones organizacionales".
"Dedíquele tiempo a entender la TI... Yo creía que era demasiado viejo para comprender temas de seguridad informática. Nadie es demasiado viejo para eso".
Cree una filosofía que impulse decisiones de TI
"Hasta hace unos años, la ruta de la piratería informática era muy simple. Pero actualmente hay tantos agujeros, aplicaciones de teléfonos inteligentes, tantos sitios web... así que el presidente ejecutivo tiene que tomar decisiones. Por ejemplo, si tenemos un sistema de seguridad mucho más sólido, los clientes tendrían que esperar un par de minutos más cada vez que ingresen a nuestro sitio web. Ese no es un tema de TI."
Vuelva a evaluar los planes de productos y servicios
"Debemos ponerle un precio a cada puerta y ventana de TI. Antes de esto, nos volvíamos locos diseñando aplicaciones. Son más convenientes para nosotros y los clientes. Pero ahora, comprendemos que cada aplicación crea una nueva ruta para los piratas. El costo real no es el costo de desarrollo. Es también el costo de la exposición a los hackers."
No hay comentarios:
Publicar un comentario