¿En qué consistió el ataque que sufrió la empresa?
Los hackers explotaron una vulnerabilidad en una aplicación del sitio web de nuestro negocio en Estados Unidos, Apache Struts, un framework de código abierto utilizado en el desarrollo de aplicaciones. Como la mayoría de estos casos, la situación se explica por una combinación de causas, que incorporan errores humanos y falencias tecnológicas.
¿Cómo los afectó y de qué manera se pudo detectar?
En julio de 2017 nuestro equipo de Seguridad observó tráfico de red sospechoso asociado con su aplicación web del portal en línea en EEUU, el cual fue investigado y bloqueado. El o los atacantes habían accedido a aproximadamente 145,5 millones de datos en Estados Unidos y 15,2 millones en Reino Unido. Esto no afectó a Chile.
¿Cómo estaba preparada la empresa para enfrentar un evento como el de 2017?
En Equifax siempre hemos dado prioridad a la seguridad, incluso antes del incidente. Teníamos algunas de las tecnologías más avanzadas y de vanguardia, invertíamos muy por encima del promedio de la industria en nuestro programa de seguridad, y teníamos un equipo técnico sólido. Teníamos una base muy sólida, pero necesitábamos llevar las cosas al siguiente nivel.
El incidente nos dio la oportunidad de pasar a ese siguiente nivel y hacer cambios fundamentales en la forma en que hacemos negocios. Y estos cambios nos han ayudado a recuperar la confianza de los usuarios finales, personas, socios, y clientes. También estamos desarrollando un programa de cambio cultural de seguridad, generando una verdadera “cultura de seguridad”, cuyo objetivo es que los colaboradores entiendan que esto es una tarea de todos dentro de nuestra organización.
¿Cuáles han sido las lecciones aprendidas a raíz de esto?
Tuvimos muchos aprendizajes en diferentes ámbitos, los que podemos resumir en una renovada convicción de poner en primer lugar al consumidor y proteger sus datos a toda costa. Aprendimos, también, que la velocidad en la toma de decisiones es fundamental en los momentos de crisis y que debemos tener la capacidad de responder con rapidez a los diferentes desafíos técnicos y de comunicación que se plantean en estos casos.
Otra lección es que debemos estar alineados de manera permanente con nuestros proveedores y aliados estraté- gicos que apoyarán a la compañía para enfrentar una crisis.
De ese modo, Equifax ha implementado una serie de cambios de personal, operativos y tecnológicos diseñados para reforzar la importancia fundamental de la protección de datos en el ADN de la empresa. Estos temas reciben el más alto nivel de prioridad a nivel ejecutivo, de directorio y en toda la organización. Con esta nueva orientación, la seguridad es responsabilidad de todos, no solo algo que TI y Seguridad administra; y, en última instancia, se convertirá en una verdadera fuente de diferenciación en el mercado.
¿Se incrementó su inversión en tecnología de seguridad?
Sí, por supuesto. Los expertos en seguridad recomiendan, y la industria generalmente ha adoptado como estándar, un gasto en seguridad del 10-14% del presupuesto de TI. Equifax ha gastado históricamente dentro de ese rango. Sin embargo, después del incidente, la empresa incrementó considerablemente ese estándar para fortalecer la seguridad, lo que equivale a más de $200 millones adicionales en 2018. Tenemos considerado que el aumento de la inversión continúe en 2019.
¿Cuáles son las principales medidas que se generaron a partir de este hecho?
Tras el evento de 2017, implementamos numerosas modificaciones en el ámbito técnico. Adoptamos un enfoque más proactivo para detectar y prevenir vulnerabilidades y estamos invirtiendo en nuevas tecnologías para identificar amenazas y responder rápidamente. Además, implementamos controles y pruebas más estrictas para proteger nuestros sistemas y bases de datos, y hemos mejorado el programa de gobernabilidad de datos y marco de gestión de riesgo empresarial. Adicionalmente, estamos reforzando la seguridad en todos nuestros productos y servicios desde el primer momento.
Otro aspecto que nos ayuda a estar mejor preparados es la construcción de alianzas y foros en los cuales compartimos las mejores prácticas e inteligencia sobre las amenazas cibernéticas (seguridad y privacidad por diseño).
¿Qué relevancia tiene la capacitación de los RRHH en este sentido?
La compañía mundialmente está contratando a más de 700 personas para trabajar a tiempo completo en seguridad y tecnología. Nuestra casa matriz contrató nuevos líderes de organizaciones altamente respetadas, todos con gran experiencia en ciberseguridad, como un CEO que viene de General Electric y está comprometido personalmente con proteger los datos.
Nuestro nuevo Jefe de Seguridad trabajó en la NASA y VISA; nuestro nuevo Director de Tecnología viene de IBM y también contratamos a un Jefe de Privacidad y Gobierno de Datos, así como un Jefe de Riesgo.
De ese modo estos temas reciben el más alto nivel de prioridad a nivel ejecutivo, de directorio y en toda la organización.
¿Qué recomendaciones puede transmitir a otras empresas?
Equifax es solo una de las muchas empresas que ha sufrido un incidente de ciberseguridad. Por ello, queremos ayudar a otras compañías a aprender de lo que vivimos para que estén mejor preparadas para manejar sus propias crisis. Recientemente escribimos un whitepaper sobre los desafíos que enfrentamos al administrar el incidente, que cubre una variedad de categorías diferentes, como comunicaciones, contratación de soporte externo, etc. Nuestro objetivo es crear un programa de seguridad de clase mundial en Equifax y compartir lo que hemos aprendido de nuestras propias experiencias con la meta de ayudar a la industria a protegerse mejor y defenderse contra los ataques cibernéticos. Esto, debido a que la realidad del mundo de ciberseguridad está cambiando constantemente y los hackers son cada vez más sofisticados. Tenemos que ser exitosos el 100% del tiempo porque si ellos hacen daño solamente una vez, es suficiente.
