En unos mensajes anteriores he hablado de la gestión de riesgos. Un riesgo es una situación de la que pueden derivarse consecuencias no deseadas. Estas consecuencias no deseadas se producen muy de tanto en tanto. Crisis económicas no se dan continuamente, aunque la última ha sido muy profunda y larga, la anterior aconteció 15 años antes y apenas duró año o año y medio. Es este hecho que los efectos negativos de los riesgos sucedan muy de cuando en cuando lo que hace que no les prestemos muchas atención.
Voy a hacer alguna consideración sobre los riesgos en que vivimos ahora. Hace tiempo, cuando las sociedades estaban más aisladas, cosas negativas que pasaban en un lugar difícilmente se contagiaban a otro, y si lo hacían tardaba tiempo. La crisis económica del 1991 en US se trasladó a Europa en 1992, y a España no llegó hasta 1993 (por eso de las Olimpiadas de Barcelona y la Expo de Sevilla). Cuando Europa entró en crisis Estados Unidos ya estaba saliendo. La última crisis ha abarcado a todo el mundo occidental, y ha sido simultanea. Se trasladó inmediatamente de Estados Unidos a Europa.
Con la mayor integración de los países, las economías y las sociedades, las crisis cada vez van a ser más mundiales y simultáneas. En concreto, creo que la actual integración de las telecomunicaciones sitúan al mundo en un polvorín. Hay miles de hackers que están intentando burlar el sistema. Muchos de ellos como reto tecnológico, pero otros son verdaderos terroristas. ¿Conseguirán estos últimos algún día paralizar internet? ¿Qué pasaría si se consiguiera que internet no funcionara durante una semana? ¿Qué pasaría si se consiguiera borrar los registros de todos los posibles servidores de uno de los bancos más grandes del mundo?
Para hacerte una idea imagina que se borran todos los ficheros digitales que maneja tu empresa, ficheros de clientes, proveedores, pedidos, etc. O que no se puede acceder a ellos en una semana. Caos total en tu empresa. Pues imagina que eso pasa a nivel mundial. No quiero ser catastrofista, pero hay que pensar en esa posibilidad y prepararse para ella. La probabilidad de que algo de ese calibre pase en el próximo mes es muy pequeña, pero ¿y la probabilidad de que pase en algún momento en los próximos 10 años?. Hay terroristas cibernéticos que están trabajando en esto. Las sorpresas existen. Mejor que nos pillen preparados.
Hola Miguel Ángel,
Una vez más das en el clavo, y diría que hay diversas tipologías de estos elementos, hablas de terroristas y delincuentes, yo hablaría también de «genteta» (gentecita), vulgares gamberros que tan solo buscan romper las cosas, gente capaz de bloquearte una web o un blog por el solo hecho de la notoriedad que le aporta dentro de su tribu…
Quiero suponer que tendrán sus motivos, hijos de un ego necesitado de notoriedad y es que la estupidez humana no tiene límites, como nos prueban las guerras que estamos sufriendo en este momento.
Perdón por el rollo, un abrazo y gracias de nuevo por compartir tus reflexiones.
Jordi
Gracias Jordi, esos que comentas existen y molestan. Pero lo peligroso es lo que puede llegar a venir.
Saludos,
Miguel Angel
El post de hoy me parece muy interesante, pues como informático he vivido situaciones como las descritas. No hay que pensar en unas circustancias tan excepcionales como un ataque masivo y global para tener en cuenta estas contingencias. He vivido lo que en informática llamamos desastres, que han supuesto varias horas e incluso días sin soporte informático central: pedidos, plantas productivas, almacenes, etc. totalmente detenidos pues sin sistema estaban ciegos. Las causas fueron siempre naturales: errores humanos, fallos de la infrasestructura, etc. nunca causas externas como las descritas pero con los mismos efectos, aunque obviamente sólo para la empresa.
Siempre aprendemos reactivamente (y más en este país). Así que después del primer desastre hubo que prepapar planes de contingencia para sobrevivir sin sistemas. El alcance de los planes es también un punto a tener en cuenta y aparecen las métricas clásicas a tener en cuenta:
– Cuanta información me puedo permitir perder ?
– Cuanto tiempo puedo tener interrumpido mi servicio ?
Normalmente la respuesta inicial suele ser: pérdida cero de información y tiempo ilimitado, pero esto suele suponer un coste económico inasumible para un empresa media. Las respuestas prácticas dependerán de cada caso. Un negocio financiero intentará conseguir el cero por todos los medios, pero a lo mejor una planta productiva se puede permitir perder los últimos 5 minutos, rebajando el coste de forma importante.
La segunda pregunta nos llevaría a discutir como diseñamos nuestras soluciones informáticas… y la tendencia actual en gran empresa suele ser disponer de un núcleo central (ERP) donde se centraliza todo y claro depender de un único sistema nos hace más frágiles. Nadie suele diseñar sistemas pensando en las dependencias que tiene y que puede haber momentos de indisponibilidad. Cuando el sistema ya está implementado y aparece el primer desastre entonces comienzan las chapuzas que acaban siendo caras y probablemente sólo paliativas…
Saludos,
Joan Altadill
Gracias Joan, lo que nos dices es que todo es una naálisis de coste beneficio. No se puede conseguir el riesgo cero. Sin embargo yo creo que lo grave está por llegar y no se sabe a qué afectará.
Un abrazo,
Miguel Angel
Buenos días Miguel Ángel.
Una curiosidad: saber que la guerra cibernética entre países es muy virulenta actualmente.
Mediante los «Red Team» de los distintos gobiernos se atacan (China-EEUU-Irán, etc.) sin que nos enteremos.
Se ganaría una futura guerra real quien más fuerte cibernéticamente se encuentre.
Saludos.
Curioso lo que dices Domingo. No había pensado en esto.
Gracias,
Miguel Angel
Hola Miguel Angel,
Estoy totalmente de acuerdo contigo. Pero permíteme ser un poco mas catastrofista y añadir una variable tremendamente importante en las consecuencias que se pueden derivar de los ataques cibernéticos.
Como indicas, cada vez esta todo mas interconectado. Hemos pasado del “Internet de las personas” al Internet of Things (IoT) y ello ha incrementado exponencialmente el riesgo a que podamos ser atacados por hackers o virus maliciosos. Nos pueden robar información, nos pueden denegar un determinado servicio, etc. pero imaginemos que nos atacan los sistemas que gobiernan, por ejemplo, el Aeropuerto o el Metro. El impacto de las consecuencias en vidas humanas puede ser tremendo.
Un saludo
Joan
Efectivamente Joan. Esos son los riesgos verdaderos. Y si son a escala global peor.
Gracias,
Miguel Angel
Buen post Profesor, pero ¿Qué propones?
Manuel, no propongo nada. Solo advierto. Ahora que cada uno piense como cubrisrse. Espero que no se cumplan los riesgos que aquí indico
Saludos,
Miguel Angel
Hace años (como recordarás) vengo hablando de esto. Los riesgos son intrínsecos, es decir, dependen de la volatilidad interna y esto es posible dentro del ciclo natural de la empresa. Por más que halla perturbaciones externas (además de las internas), su influencia depende de los directivos. Las influencias monetarias se pueden medir porque son numéricas. Ese es el riesgo intrínseco y no pasa de un ciclo a otros porque son «ciclos independientes estadísticos». En todo caso el nuevo riesgo será mayor o menor. El directivo es el que puede y debe evaluar la monetarización del riesgo intrínseco, que incluye su sueldo y regalías (de lo que tú hablas siempre y coincidimos). Gracias por recordarnos este tema. Un saludo latinoamerincaico.
Gracias Javier. Estoy de acuerdo con lo que dices.
saludos,
Miguel Angel
Vaya, situación complicada la que propones. Cuesta imaginarla, pues simplente hace un par de semanas, en unas obras próximas a nuestras oficinas cercenaron la fibra óptica que conectaba nuestra sede «al resto del mundo». Sin teléfono ni datos…. durante algo más de una mañana y, la verdad, fué realmente tenso. Ya no es por la sensación de inseguridad, sino por la curiosa situación en la que mucha gente no sabía realmente qué hacer.
Si esto se extendiera por el efecto del pirateo…. la mayoría del país se quedaría sin nada que hacer….
Espero que los expertos en seguridad, así como los desarrolladores de software y técnicos en redes, estén un paso por delante de los piratas o, al menos, tengan suficiente capacidad para hacer redes seguras y redundantes como para minimizar el daño de un escenario como el que comentas.
Jesús, pues lo que he escrito es fruto de una conversación que tuve con el responsable de riesgos de un banco de Nueva York. Me dijo que no se está preparado para uno de estos eventos.
Gracias y saludos,
A ver cuando nos volvemos a ver.
Miguel Angel
Hola Miguel Angel.
Ciertamente ese terrorismo que comentas es una amenaza real… aunque su probabilidad seguramente es baja y en el mercado hay un montón de empresas que por un precio razonable (todo esta en oferta y todo ya es low-cost) reducen a «casi 0» el riesgo de pérdida de información.
….Pero, y el terrorismo de baja intensidad?, o quizás mejor llamarlo la «kale borroka» cibernética !!. También con muy bajo coste se pueden comprar bases de datos absolutamente de todo obtenidas en las cloacas de la red burlando la ineficaz y prescindible «ley de protección de datos».
Sin ir más lejos Mark zuckerberg se está forrando comercializando sin ningún pudor con nuestros sueños, deseos, aficiones,…. y es nombrado «hombre del año» por la revista TIME.
Google, con toda la información que posee y sin necesidad de interrumpir ni un segundo el funcionamiento de internet podría hacer temblar los cimientos de nuestra sociedad y hacer sonrojar a media humanidad (o más de media) con sólo publicar una pequeña muestra de lo que sabe de cada uno de nosotros!!.
En fin, desde luego un ataque terrorista a la red es posible y conviene tener esa contingencia prevista, pero me temo que a los auténticos terroristas cibernéticos no les interesa para nada que la red deje de funcionar; al contrario, cuanto mejor funcione la red… mucho mejor.
Saludos y gracias por el blog
Javier del Agua
Muy interesante tu aportación Javier. es una nueva situación en la que no se piensa. Dejamos rastro de todo lo que hacemos. Generamos inconscientemente montón de información. Nos sonrojaría como dices, y el que la posee se forra como también dices.
Un abrazo y gracias por leer y comentar,
Miguel Angel
[…] Ya he hablado en alguna otra ocasión en este blog del peligro de los ciberataques. También en las diversas sesiones con antiguos alumnos que he mantenido el último año sobre las causas más frecuentes por las que fracasan las empresas, terminaba hablando del gran riesgo que suponía el ciberterrorismo. Y efectivamente el pasado viernes hubo el masivo ataque que tenía que llegar. […]