Como usuario, cada vez que me subo a un avión lo primero que hago es ponerme el cinturón de seguridad. Me preocupa mi seguridad en caso de que pase algo, y a las aerolíneas también, y por eso lo establecen como obligatorio en ciertos momentos del vuelo. Si tanto las propias compañías como yo tenemos en mente la necesidad de esta medida, ¿por qué las organizaciones no lo extrapolan a la seguridad de mis datos? La respuesta, para mí, es clara: por falta de inversión y formación de los empleados.
Según un informe de la empresa de telecomunicaciones SITA, la industria de la aviación está teniendo problemas a la hora de implementar iniciativas de ciberseguridad para proteger a sus usuarios. En concreto, casi el 50% del sector no comprende que esta seguridad es parte de su registro general de riesgos, aunque muchas compañías ya tienen previsto incluirla dentro de su plan para el 2021. Es más, solo menos de un tercio de las organizaciones tiene un CISO (director de seguridad de la información) entre sus filas.
La necesidad de redoblar los esfuerzos es palpable y parece que las aerolíneas y aeropuertos lo están empezando a interiorizar. El año pasado, aeródromos de todo el mundo dedicaron un 12% de su presupuesto IT a la ciberseguridad, un 2% más que en 2017. Las compañías áreas, por su parte, lo incrementaron de un 7% a un 9%. ¿Qué conclusión puedo extraer de estos datos? La ciberseguridad empieza a ser importante, pero aún queda mucho camino por recorrer.
El ejemplo más claro de mi afirmación está en lo ocurrido con British Airways. Entre el 21 de agosto y el 5 de septiembre de 2018, esta aerolínea vio como los datos de más de 500.000 personas se veían comprometidos por una brecha de seguridad que propició un ciberataque a su página web. La vulnerabilidad tardó en solucionarse y hacerse pública 16 días, lo que llevó a la Oficina de Información del Comisionado del Reino Unido (ICO) a sancionar a la compañía: en torno a 230 millones de dólares en la mayor multa hasta el momento bajo el amparo de la normativa de la ley de protección de datos RGPD.
Y este no es el único caso reciente. Dos aerolíneas asiáticas, Cathay Pacific y Singapore Airlines, también han sufrido fallos en seguridad que dejaron expuestos los datos de más de 9,4 millones de pasajeros en octubre de 2018 y de 285 miembros de su programa de fidelidad en enero de 2019, respectivamente. Además, a mediados de julio de este año se descubrió una brecha de seguridad en el software de facturación desarrollado por Amadeus IT Group que pudo haber sido explotada para permitir a los usuarios ver tarjetas de embarque y datos personales de otras personas.
Presupuesto para ciberseguridad en la aviación
La mentalidad del sector debe cambiar y adaptarse a la realidad: la inversión en ciberseguridad tiene que ser mayor. Las organizaciones tienen que garantizar esa protección por dos razones. En primer lugar, para evitar perder la confianza de los pasajeros y tener problemas de reputación; en segundo lugar, porque gracias a la aplicación de normativas como la del RGPD, el coste financiero de las posibles sanciones supera – con creces – la inversión que habría supuesto prevenir los fallos desde el primer momento.
Ahora bien, ¿a qué debe dedicarse ese presupuesto? En primer lugar, todas las aerolíneas, aeropuertos y otras organizaciones pertenecientes al sector deben destinar una partida a contar con la mejor tecnología pensada y preparada para su campo. Y no basta solo con tener las herramientas o el software adecuado, sino que es de vital importancia que se encuentren actualizados a la última versión.
Además de contar con tecnología puntera, es necesario dedicar una segunda partida a crear equipos especializados en seguridad. Capitaneados por el CISO, estos grupos deben centrar sus esfuerzos en realizar escaneos frecuentes del código para detectar y corregir fallos de seguridad antes de que el software quede expuesto a un ciberataque.
Formación del personal
Por último, otro aspecto importante es la formación del personal. Los primeros que deben tener los conocimientos necesarios en la materia son los equipos de desarrollo, quienes deben tener a su disposición programas académicos (grados o masters universitarios) o de formación interna que amplíen y mantengan al día sus conocimientos en ciberseguridad. Esta formación les permitirá volverse unos expertos en seguridad del código, lo que, a su vez, permite que los procesos de desarrollo de software sean más eficientes y tengan un coste menor con el tiempo.
¿Y el resto de los empleados? Para ellos también es necesario: todo el personal que interactúe con el software del sector (desde gestión de reservas hasta bases de datos, pasando por validación de billetes o consulta de la información de cobro, entre otras aplicaciones) debe recibir cursos de formación en los que se les explique y se les guíe para hacer un uso correcto de las herramientas que tienen a su disposición y, así, evitar posibles errores humanos.
Para que estas organizaciones maduren en temas de ciberseguridad y apliquen estas medidas, es fundamental que cuenten con una estrategia clara a largo plazo alineada con los objetivos comerciales, con el entorno innovador en el que vivimos y, por supuesto, con las necesidades y demandas de los consumidores y los empleados.
Alejandro Novo
Director de Veracode para España, Portugal e Italia