La protección de datos y sistemas es ya un requerimiento básico en cualquier organización. Contar con una adecuada estrategia de ciberresiliencia empresarial será lo que permita orquestar una respuesta contundente ante los riesgos reales de robo de información, discontinuidad de negocio o, incluso, caída reputacional. Ya no solo se trata de proteger los sistemas ante incidentes de seguridad, también hay que garantizar que estos no van a suponer un problema grave para la continuidad del negocio.

Miguel Ángel Ordoñez

En la actualidad, la ciberresiliencia está ya en boca de empresas de todos los tamaños y sectores, debido al gran impacto que tiene en la continuidad del negocio. Lo primero que ya se ha asumido es que, tarde o temprano, todas las compañías se verán afectadas por un ciberataque de mayor o menor intensidad. A partir de ahí, las organizaciones por fin han empezado a darle la importancia que se merece a la fase de recuperación ante incidentes.

Teniendo en cuenta el actual panorama de inestabilidad reinante, las amenazas para la continuidad operacional de las organizaciones no son solo cibernéticas, también es muy importante tener en cuenta los incidentes relacionados con la infraestructura, el suministro energético —y el de materias y componentes—, los desastres naturales y un largo etcétera.

En cualquier caso, el que últimamente se hable tanto de ciberresiliencia demuestra, sin embargo, la creciente importancia que está adquiriendo el cibercrimen a todos los niveles. Su avance se ha visto facilitado por fenómenos como la explosión de la economía digital y el auge del Internet de las Cosas y de tendencias que se han implantado masivamente de una forma un tanto abrupta, como los modelos de trabajo a distancia.

Los planes de respuesta deben estar consensuados, probados y aprobados por el área de TI y por la de continuidad del negocio

Es más, son estos últimos factores, entre otros, los que han hecho que la superficie de exposición a los ciberataques en las compañías haya crecido de manera exponencial.

La industrialización del malware

En los últimos cinco años se ha producido un cambio radical en el entorno de la seguridad. Por un lado, el número de ciberataques ha aumentado de forma evidente, pero, además, a aquellos tipos de incidentes que antaño buscaban sobre todo el beneficio financiero ahora se suman nuevas amenazas como el activismo ideológico y los conflictos bélicos. Además, estas amenazas ya no se dirigen solo a las grandes corporaciones (especialmente en el sector financiero) u organizaciones gubernamentales, sino que cada vez más tienen a las pymes en el centro de su diana.

Con toda la información en la Red, y a disposición de cualquiera que sepa manejarla, estamos presenciando cómo se está produciendo una auténtica industrialización del malware. Este escenario implica la necesidad de que las empresas evolucionen hacia un modelo de seguridad más inteligente, y basado no solo en la protección, sino también en las capacidades de respuesta temprana y recuperación. Esto es lo que va a permitir que, una vez que el ciberataque se haya producido, la vuelta a la normalidad pueda efectuarse de la manera más rápida y efectiva posible.

El ciclo de vida del ciberataque

Para llegar a ser ciberresilientes, las organizaciones necesitan contar con un modelo de respuesta adecuado, que les permita manejar, de forma completa, el ciclo de vida de un ciberataque. A partir del framework que plantea el estándar NIST (National Institute of Standards and Technology), los esfuerzos deben dirigirse inicialmente a la protección, tratando de evitar estos incidentes antes de que se produzcan.

Para llegar a ser ciberresilientes, las organizaciones deben manejar, de forma completa, el ciclo de vida de un ciberataque

A partir de ahí, y una vez que se ha detectado un incidente, debe darse prioridad a todo lo relacionado con la identificación y monitorización para, por último, pasar a la fase de respuesta y recuperación basándose en copias seguras, infraestructuras críticas redundantes, servicios de recovery, etc.

¿Se puede considerar que las empresas españolas son ciberresilientes? El tejido empresarial de nuestro país está integrado por organizaciones con tamaños, alcances geográficos y necesidades muy diferentes. En general, basándonos en nuestra experiencia, constatamos que —en España— las compañías hacen sus deberes en el nivel de seguridad más básico, que incluye la protección perimetral y de red con ciertos servicios de monitorización.

malware y ciberseguridadCuando se trata de la monitorización, en ocasiones incorporan también una serie de capacidades de respuesta, pero su puesta a punto no es tan frecuente. Además, y esto es especialmente preocupante, es aún menos frecuente encontrar empresas cuyos datos estén realmente protegidos y que cuenten con la capacidad de recuperar una copia limpia de su información en caso de secuestro por ransomware.

Al hablar de ciberresiliencia de alto alcance, en la que confluyen varias tecnologías y servicios, es cuando se empiezan a detectar lagunas importantes. Un ejemplo es la revisión y activación de los procesos que intervienen en los planes de respuesta a los ciberataques.

Es muy importante que previamente estén consensuados, probados y aprobados, tanto por el área de TI como por la de continuidad del negocio. Sin embargo, muchas veces encontramos que estos planes no están bien “aterrizados” porque los equipos de ciberseguridad y de recovery trabajan de manera independiente, lo que merma la capacidad de respuesta de la organización.

Concienciación y más concienciación

Ninguna estrategia para reforzar la ciberresiliencia empresarial puede olvidar el factor humano. En la actualidad, las personas están implicadas en cerca de un 85 % de los incidentes de seguridad y representan el principal punto de entrada para los ciberdelincuentes.

La gran dependencia que tienen las personas de los dispositivos electrónicos, y su predisposición a confiar y a caer una y otra vez en los mismos engaños, ha quedado patente en diversos estudios. Este tipo de prácticas no solo ponen en peligro sus datos personales o incluso los de carácter empresarial, sino que también propician el acceso a los sistemas internos de sus organizaciones, ya que son el blanco perfecto para los ataques de ingeniería social, como el phishing en sus diversas modalidades.

Teniendo en cuenta todo lo anterior, resulta clave invertir en la concienciación y en la formación continua, y no solo de los empleados, sino también en la de proveedores, colaboradores y clientes. En un mundo hiperconectado como el actual, el punto de entrada puede ser cualquiera.

Otras medidas muy aconsejables son los ejercicios de penetración y red team específicos (que consisten en simular un ataque dirigido a una organización); con ellos las empresas pueden evaluar por sí mismas su grado de protección.

Conclusión

Vivimos en un entorno de creciente complejidad desde el punto de vista de las ciberamenazas. Cada vez más, las organizaciones necesitan evolucionar hacia una seguridad poliédrica, de gran alcance y basada en modelos inteligentes.

El camino hacia la nube avanza hacia un entorno híbrido y multicloud, en el que las empresas precisan de capacidades de recuperación sólidas de sus entornos informáticos en todas las capas: físicas, virtuales, cloud y heredadas.