AKS - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Un CIO enfrenta una amenaza de ciberseguridad, y prevalece la cabeza fría

A dos semanas de estar en un nuevo trabajo de CIO en un banco global, Harvey Koeppel enfrentó una amenaza de ciberseguridad casi al otro lado del mundo. Mantener la cabeza fría hizo toda la diferencia

La historia que está a punto de leer en relación con una amenaza cibernética es real; solo los nombres y lugares han sido cambiados para respetar la privacidad de las personas involucradas. Cuando esto sucedió, había pasado una buena parte de mi carrera de 30 años lidiando con operaciones y tecnología globales complejas, a gran escala, y pensaba que había visto y oído la mayoría, si no todo, lo que había que ver y oír.

Yo estaba trabajando como CIO del Global Consumer Group en el BigWorldBank por unas dos semanas. Allí estaba yo, responsable de la salud y bienestar de las operaciones y la tecnología en apoyo de alrededor de 200,000 empleados y 150 millones de clientes, distribuidos a lo largo de 54 países. Yo era responsable administrativamente de un presupuesto anual de aproximadamente 2.5 mil millones de dólares. En aquel primer par de semanas, en realidad, tuve momentos de sentir como si estuviera en control, o casi.

Quien dijo que en una nueva función ejecutiva usted tiene 100 días para encontrar sus piernas y establecerse, claramente nunca fue un CIO.

La llamada

Era la noche del viernes por la tarde de mi segunda semana y sonó el teléfono. Sonali Kumar, gerente de la sucursal insignia en Kafiristán, estaba llamando con una pregunta. Miré el reloj y se dio cuenta de que eran las 5:45 pm en Nueva York, lo que significaba que eran las 4:45 am en la mañana del sábado en Kafiristán. Tuve la sensación de que mis primeros 100 días habían terminado.

"Un cliente llamó y dijo que había encontrado un fallo de seguridad en nuestro sistema de banca en línea", dijo Kumar. "Él hizo un video de la técnica que utilizó, y está dispuesto a dárnoslo, y le gustaría que le pagaran una tarifa de consultoría por sus esfuerzos. ¿Qué debemos hacer?".

Podía sentir que mi corazón se aceleraba y mi boca se secaba. Una amenaza de ciberseguridad. Le pregunté si se había reunido con el cliente o había visto el video. Indicó que no. Casualmente, miré hacia arriba y vi a Fred Simon, el jefe de negocios de nuestra región de negocios de Oriente Medio, pasando por mi puerta. Puse a Sonali en espera, llamé a Fred y rápidamente le expliqué la situación. Él me aconsejó instruir a Sonali a que llamara a la policía local y les informara que la integridad de nuestra sucursal había sido violada. Me aseguró que el autor estaría en la cárcel dentro de dos horas, se volvió y salió de mi oficina tan rápido como apareció.

Pensé en el consejo de Fred por un momento y reflexioné dos consideraciones adicionales: En primer lugar, encarcelar a un cliente no parecía un buen servicio que un banco podría proporcionar, sobre todo en Kafiristán donde los golpes aún se practican comúnmente en su sistema de justicia penal; y, en segundo lugar, si nos íbamos con todo sobre este tipo podríamos no averiguar cuál, si había alguna, vulnerabilidad de seguridad en realidad podría haber encontrado en nuestro sistema en línea. Volví a mi llamada con Sonali y le di instrucciones de solicitar una reunión con el cliente y ver qué podía averiguar a través de una conversación amistosa. Además, dejé en claro que el pago de una tarifa de consultoría (o cualquier forma de pago) no estaba en discusión. Nos pusimos de acuerdo para hablar de nuevo después de la conversación de Sonali con el cliente.

Escalada

Por procedimiento, cualquier amenaza de ciberseguridad necesitaba ser escalada, así que mi siguiente llamada fue a mi jefe, el director general (CEO). Rápidamente le informé sobre la situación y estuvimos de acuerdo en que iba a hacer un seguimiento con nuestro equipo en Kafiristán el fin de semana, coordinar con nuestros equipos de ciberseguridad y gestión de riesgos, e informarle el último estado de la situación en la mañana del lunes. Yo le deseé un buen fin de semana.

Luego, coordiné una conferencia telefónica con mi CISO, el jefe de Gestión de Riesgo Global, y el jefe de la tecnología en línea del BigWorldBanking. Les informé sobre lo poco que sabía acerca de la amenaza cibernética y discutimos el alcance de las cuestiones actualmente conocidas de la banca en línea (siempre hay algo) para ver si había una posibilidad de que podríamos estar tratando con una vulnerabilidad conocida. Todos estuvimos de acuerdo en que, sobre la base de los hechos conocidos, no teníamos suficiente información para llegar a ninguna conclusión. Le aseguré al equipo que los mantendría informados, miré el reloj y me di cuenta de que estaba retrasado para la cena, de nuevo. Por suerte (o por desgracia), mi familia ya estaba acostumbrado a mis horas impredecibles de oficina, pero aún así me sentí mal.

15 horas más tarde

Mi teléfono sonó a las 3 a.m. del sábado por la mañana, 2:00 p.m. en Kafiristán. Era Sonali llamando con la última actualización, aproximadamente 15 horas después de que empezó el incidente de ciberseguridad.

Sonali se disculpó por despertarme y luego me dijo que acababa de hablar con el cliente, que había accedido a una reunión en persona en la que estaría dispuesto a revelar la vulnerabilidad que había descubierto. No hubo más mención de una tarifa de consultoría.

Di gracias a Sonali por la actualización y le pedí que me llamara con los resultados de la reunión. Sintiéndome algo alentado porque la situación parecía estar yendo en la dirección correcta, fui capaz de dormir un poco más.

El video

A eso de las 10:00 pm de la noche del sábado, 9 a.m. del domingo por la mañana en Kafiristán, Sonali llamó para informarme que se había reunido con el cliente, había visto el video y que el cliente le había dado una copia. Afortunadamente, de nuevo no hubo discusión sobre una tarifa de consultoría o de cualquier otra forma de remuneración. Elogié a Sonali por su hábil manejo de la situación y le pedí que me enviara una copia del vídeo. Media hora más tarde, yo estaba viendo el video con gran interés. Lo que estaba viendo era una sesión en línea bastante típica en BigWorldBanking y todo parecía normal.

Entonces lo vi: el cliente terminó su transacción y en vez de salir de la sesión, se limitó a cerrar la ventana de la banca en línea (no el navegador) presionando la "X" en la esquina superior derecha. Luego abrió la ventana del historial del navegador, encontró la dirección de la última página de la sesión de banca en línea que estaba viendo, y cuando hizo clic en la dirección de la página, "como por arte de magia" se volvió a abrir en el lugar exacto donde la había dejado.

¿Era esta la vulnerabilidad por la cual el cliente había solicitado inicialmente el pago de una tarifa de consultoría? Para estar absolutamente seguro, llamé a Sonali para revisar y confirmar mi comprensión de lo que estaba viendo. Mi interpretación era correcta. Lo que el cliente había descubierto no era una vulnerabilidad, sino más bien cómo funcionaba su navegador: cierre una ventana y desaparece, abra la misma ventana y vuelve a aparecer.

Envié una copia del video a mi CISO, el jefe de Gestión Global del Riesgo y la cabeza de la tecnología en línea del BigWorldBanking para su revisión y evaluación. Susto de amenaza de ciberseguridad, cerrado.

Las secuelas

Durante una llamada de seguimiento con mi equipo el domingo por la mañana, confirmamos que ninguna vulnerabilidad en realidad existía, ya que ninguna información de identificación personal se pudo mostrar, ninguna transacción financiera se podía ejecutar sin que el cliente volviera a ingresar su contraseña, y si la ventana se dejaba cerrada durante más de 30 segundos, la sesión en línea del cliente automáticamente terminaría. Di gracias a mi equipo y terminé la llamada, determinado a relajarme y disfrutar de lo que quedaba de un hermoso día de verano.

A la mañana siguiente me encontré con mi jefe, como estaba previsto, para informarle de la situación. Los dos estábamos aliviados, especialmente por no poner a nuestro cliente en la cárcel. En su lugar, nos pusimos de acuerdo para enviarle un televisor de pantalla plana de 46 pulgadas como un regalo por estar tan altamente comprometido y tomar la iniciativa para ayudarnos a mejorar nuestros productos y servicios.

El abordaje de este incidente de una amenaza cibernética potencial me enseñó un par de lecciones muy valiosas: Cuando tenga que tomar una decisión importante, sobre todo que involucra clientes y cárcel, anteceda los actos importantes con hechos reales; y cuando usted piense que ha visto y oído todo, piénselo otra vez.

Sobre el autor: R. Harvey Koeppel es el presidente de Pictographics Inc., una firma de servicios de consejería y consultoría en gestión y tecnología. También es vicepresidente de World BPO/ITO Forum. De mayo de 2004 a junio de 2007, Koeppel sirvió como CIO y vicepresidente senior del Global Consumer Group de Citigroup.

Próximos pasos

Más sobre amenazas:

Detecte amenazas empresariales con tecnologías de “bueno conocido”

Cisco expande su portafolio de seguridad contra amenazas avanzadas

Amenazas a la infraestructura de UC y estrategias de defensa

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close