El sector aeronáutico es conocido por ser uno de los más regulados y seguros, sin embargo, ¿qué sucede cuando una de las empresas norteamericanas dedicada a fabricar aeronaves relaja los controles de seguridad? Tristemente, lo anterior ocasionó dos accidentes fatales con muchas pérdidas humanas.
¿Cuántos de nosotros estamos conscientes de las consecuencias de descuidar nuestro trabajo en forma intencional o involuntaria? ¿Cuándo un programador podría pensar que un descuido o su inexperiencia tendrán un desenlace fatal? ¿Quién podría prever que la presión de la alta dirección por entregar los nuevos aviones podría provocar accidentes?
Esta historia comienza en 2010, cuando la empresa norteamericana buscó crear un nuevo avión para competir con su rival europeo. El proyecto, como cualquier otro, tenía fechas muy exigentes y requería reducción de costos y presupuestos. Para lograr una reducción de costos importante, una de las primeras decisiones fue despedir a sus programadores internos más experimentados, que fueron sustituidos por una consultora externa extranjera, con personal que no contaba con la experiencia necesaria.
Algo que me sorprende es cómo la aeronave pudo obtener la certificación de los reguladores para operar vuelos comerciales. Los análisis posteriores a los accidentes encontraron deficiencias en el proceso de evaluación pues aparentemente los reguladores prefirieron ser más flexibles en los controles y las pruebas, tal vez el nacionalismo o un simple descuido de los auditores ayudó a obtener el certificado de la nueva aeronave.
Continuando con el análisis de los problemas, también se descubrió que, debido a los recortes de personal, de presupuesto y un mal ambiente laboral, los empleados estaban a disgusto, por lo que algunos decidieron sabotear los nuevos aviones, dejando trapos o herramientas dentro de los depósitos de combustible.
El entrenamiento de los pilotos para la certificación del nuevo avión también tuvo muchas deficiencias, y en algunos casos solo implicó 1 hora para leer algunos textos, lo cual era claramente ineficiente. Pensemos en cualquier certificación importante: con una capacitación de solo 1 hora no se podrá aprender mucho. Es claro que esta decisión dio preferencia a los ahorros antes que a atender cualquier procedimiento, control o buena práctica.
Los dos accidentes que desencadenaron el congelamiento de estos aviones fueron causados por unos nuevos dispositivos que ayudaban a controlar la estabilidad de aparato. Al ser más ligero, el flujo de aire provoca una elevación ligera de la nariz mientras está en vuelo; ahí es cuando entran en funcionamiento los sensores y la computadora de a bordo, para hacer descender la nariz de manera automática y mantener la correcta posición. Sin esta corrección, el avión podría entrar en pérdida.
Ambos accidentes se produjeron cuando uno de los sensores localizados en la nariz del avión envió datos erróneos hacia la computadora, el software no validó la información con los demás sensores (tomó las decisiones con la información de un solo sensor) y provocó el descenso de la nariz, lanzando la aeronave en picada. Aunque se sabe que los pilotos trataron de recobrar el control, la computadora bloqueó sus esfuerzos, pues para ello se debía realizar un procedimiento específico, el cual no estaba documentado ni se consideró durante el entrenamiento: cada vez que desactivaron el sistema automático de estabilidad, este se reinició automáticamente e hizo que la nave continuara en picada hasta el desenlace fatal.
Lo peor del asunto es que ya existía una actualización del software, pero era opcional y cada aerolínea debía adquirirla por separado.
Desde el momento en que se pusieron en tierra todos los aviones, la empresa fabricante tuvo problemas graves: muchas aerolíneas alrededor del mundo cancelaron los pedidos, despidieron a su CEO, recibieron varias multas, indemnizaron a las familias, hubo una enorme pérdida de reputación, se perdieron empleos y se retiró la certificación de ese modelo. Por su parte, las líneas aéreas debieron dejar en tierra decenas de aviones por más de un año, con enormes pérdidas también.
Tal vez este articulo lo esté leyendo algún piloto, pero supongo que la mayoría de los lectores serán del sector de TI, y por ello me gustaría compartir algunos aprendizajes que identifico, los cuales podemos aplicarlos en cualquier sector:
- La seguridad de la información es un tema crítico para las organizaciones, no se puede recortar, reducir o evitar. Siempre debe evaluarse el efecto de una reducción presupuestaria. En el caso que nos ocupa, los errores en el desarrollo del software del avión fueron graves pues no se cumplió con un proceso de desarrollo de software seguro y tampoco se cumplieron las validaciones previas a la liberación en un ambiente de producción.
- Es común que la alta dirección trate de mantener, a toda costa, las fechas de lanzamiento ¿A cuántos nos sucede lo mismo? Los plazos fatales pueden llevar a pasar por alto algún control, sin pensar en las consecuencias que podría traer. Es ahí donde nosotros, como profesionales de seguridad, debemos seguir levantando la mano, sin dejar de hablar el lenguaje de negocio. Esta lucha para ser escuchados continuará, será una labor de todos los días y siempre habrá que concientizar a la alta dirección de los riesgos que implica omitir controles o procesos.
- El tema de los reguladores es un punto relevante también. El auditor debe cumplir con el due dilligence y el auditado debe evitar actos indebidos para lograr la aprobación. Debemos tomar las auditorias y certificaciones de una manera profesional, buscando siempre cumplir con los puntos solicitados, sin importar nuestro sector, pues de una u otra forma tendremos consecuencias si se presenta algún escenario no deseado; ahí será donde realmente se pondrá a prueba la organización.
- Y no hay que dejar de lado el daño a la reputación, que puede incluso acabar con una empresa.
¿Como profesionales de seguridad consideramos si nuestras organizaciones están preparadas para ser resilientes y para soportar un escenario completamente adverso? Debemos trabajar con el negocio, así como con el resto de las áreas para preparar a nuestra organización: tener al día el BCP (Business Continuity Plan) y el DRP (Disaster Recovery Plan) y establecer planes de comunicación que incluyan las redes sociales y todos los medios de comunicación digitales.
Como áreas de seguridad, hemos fallado en transmitir la relevancia de los riesgos y los controles, debemos dejar los términos técnicos complicados que solo nosotros entendemos y hacer el compromiso de explicar todo en palabras más simples, para que cualquier persona de nuestra organización entienda lo que buscamos. Por su parte, la alta dirección debe acercarse hacia los temas de seguridad, así como conocen los temas básicos de finanzas, economía o derecho.
Finalmente, todos debemos hacer conciencia sobre nuestras tareas o labores, que por mínimas que sean ayudan a proteger la organización, sus clientes y usuarios. Aunque parezca lejano, en la vida actual, con la tecnología rodeándonos en todo momento, un descuido de un control, una mala práctica o una omisión podría ocasionar nuevamente pérdida de vidas humanas.
Sin importar si tenemos días o años en la institución, siempre debemos estar atentos a no descuidar la Seguridad de la Información a la que tenemos acceso.