¿Qué ocurriría en una compañía si el Responsable de Sistemas de Información desaparece de la noche a la mañana?
Una reciente noticia sobre el fallecimiento del CEO de QuadrigaCX —compañía canadiense dedicada a la compraventa de criptomonedas— ha puesto de manifiesto la debilidad a la que se enfrentan muchas organizaciones que tienen delegada en una única persona el control y administración de sus principales activos.
El pasado mes de diciembre se anunciaba el fallecimiento de Gerald Cotten, fundador y propietario de QuadrigaCX, durante un viaje a India. El luctuoso acontecimiento no habría pasado de ser una noticia más de las que desafortunadamente se producen en el mundo si no fuera porque junto al Sr. Cotten desaparecieron 190 millones de dólares que quedaron inaccesibles a sus depositantes. Activos que se encontraban almacenados en lo que se conoce como una “cold storage wallet de criptomonedas” y cuyo acceso solo conocía el fallecido y que ahora resultan irrecuperables.
Para los que no estamos familiarizados con los conceptos de “cold storage” y “hot crypto wallets” en el mundo de las criptomonedas, un sencillo ejemplo nos pondrá en contexto. “Cold storage” es un sistema de almacenamiento aislado, podría asociarse a la caja fuerte de los bancos donde se conservan los activos de sus depositantes. En términos tecnológicos, se trataría de un servidor de almacenamiento desconectado del sistema de intercambio telemático o un sencillo USB que puede actuar de “sistema offline” y donde se guardarían los Bitcoins, Ethereum y demás criptomonedas con las que una entidad opera. Por su parte, el concepto de “hot crypto wallet” se asociaría a lo que conocemos como tarjetas monedero de prepago donde habitualmente se depositan ciertas cantidades de dinero que nos sirven para hacer compras o realizar las transacciones más habituales y que pueden ser gestionadas por el usuario y por el propio banco.
Pues bien, el CEO de QuadrigaCX era —según las investigaciones realizadas hasta el momento— el único que conocía la clave que gestionaba el cifrado de la “cold storage de su compañía”. El único que tenía las “llaves del reino”.
Muchas conjeturas se están produciendo en los últimos días respecto a la veracidad de los hechos narrados por la referida compañía respecto al fallecimiento. Algunos incluso sugieren que se trata de un “mal argumento de novela negra” con desapariciones inesperadas, pérdida de dinero e intervenciones gubernamentales. No en vano, el Canadian Imperial Bank of Commerce había bloqueado a principios de 2018 más 26 millones de dólares de QuadrigaCX tras encontrar que en torno a 67 millones de transacciones realizadas por la compañía presentaban ciertas irregularidades. Sea cual sea la verdad de los hechos, una pregunta surge en la cabeza de muchas personas: ¿Tan frágil es el sistema de intercambio de criptomonedas como para que se pueda hacerlo depender de una única persona?
La respuesta obviamente es no. La gestión de los “cold storages” de las compañías dedicadas negociar con criptomonedas suelen estar controlados por varios individuos y el acceso a su contenido requiere de una “mayoría cualificada” designada por la organización. Así pues, es habitual que se mantengan ratios de 3 sobre 5, o 5 sobre 7, entre las personas debidamente autorizadas para poder acceder a los valores depositados en esas “tecno-cajas fuertes”. Es decir, siempre se dispone de un mecanismo federado de acceso a la información (activo, en términos económicos) de forma cualificada.
El CISO como punto único de fallo
No es nuestra intención profundizar en lo robusto que pueden resultar los sistemas de intercambio de criptomonedas y las amenazas a las que se exponen en el mundo actual. Resultaría en un largo e intenso debate no exento de un buen número de razones demasiado serias como para tratar de resumirlas en unas cuantas líneas. Quizá, sin embargo, sí que nos interese plantear una pregunta alternativa que muchas compañías posiblemente no se han hecho hasta la fecha. Una pregunta sencilla y de cuya respuesta podría depender su futuro en algún momento: ¿Qué ocurriría en una organización si el Responsable de Sistemas de Información o el poseedor de las “llaves del reino” desaparece de la noche a la mañana?
A día de hoy, no son pocas las compañías que tienen depositadas en sus Responsables de Sistemas de Información —incluso en el propio CEO— la gestión de gran parte de los activos intangibles de la organización. De alguna forma son los depositarios de esas “llaves del reino”; no tanto porque controlen los activos financieros, sino porque actúan como responsables del centro neurálgico de su funcionamiento.
La mayor parte de las compañías disponen de mecanismos de recuperación ante desastres que llegado el caso les permiten retomar el control de los activos. Sin embargo, aún persisten numerosas organizaciones que tienen delegada esa responsabilidad —sin un plan alternativo de respuesta— en la confianza que depositan en una única persona. Y ahí reside el riesgo.
Centralizando la información clave
El uso de herramientas para llevar a cabo la gestión centralizada del almacenamiento de información confidencial compartida tales como contraseñas, documentos o identidades digitales de la compañía está proliferando en el mercado. Con ellas se pueden establecer políticas de gestión de claves o establecer controles de acceso para el restablecimiento de contraseñas o llevar un registro actividades. Según un informe elaborado por Grand View Research, el mercado de la gestión de claves de acceso crecerá en los próximos cinco años a razón de un 20% anual. Precisamente se trata de un mercado de enorme relevancia para las organizaciones que no solo deberán velar por la seguridad de la información que manejan sino también por los mecanismos de recuperación de dicha información en caso de ser necesaria. Una sencilla forma de hacerlo consistiría en instalar una de estas herramientas y establecer los procedimientos de respaldo para la recuperación en caso de un incidente como el descrito. Por ejemplo, definiendo una clave maestra cuya administración recaiga en una entidad externa accedida de forma federada por varios miembros de la organización.
Así pues, no podemos negar la evidencia de que si por algún motivo hemos depositado toda nuestra confianza en una única entidad o persona estaremos ante un riesgo para nuestra organización; un punto único de fallo que podría ser fatal para nuestro negocio. Y ahora, siendo sinceros, ¿cuántas compañías creen ustedes que se encuentran en esa situación?