Cuando un ciberataque tiene éxito, la principal dificultad con la que se encuentran las empresas es que, a pesar de las diferentes metodologías y normativas que existen hoy en día, por mucha fórmula mágica que nos proporcionen las ISO y otros marcos de controles de seguridad existentes, no siempre resulta sencillo cuantificar el impacto.

En cualquier caso, uno de los principales retos que es necesario salvar para poder ser competitivo en el ámbito de la seguridad está relacionado con la dificultad para adquirir y adoptar las nuevas herramientas, servicios y tecnologías. Además, en la mayoría de las ocasiones, el contexto requiere que la implantación sea prácticamente inmediata.

Lógicamente, estas nuevas herramientas deberán entrar en el proceso de gestión de riesgos corporativos, en el que pueden integrarse desde dos prismas diferentes:

• El de ser un nuevo elemento, que tendrá sus propias características (si es de uso interno o no, qué proceso de negocio va a soportar, etc.) y sus propios activos (servidores o sistema operativo).
• El de la propia configuración y bastionado. Si se trata de una infraestructura similar a las que ya conocemos, resultará sencillo aplicar las configuraciones mínimas de seguridad. Pero en el caso de ser algo novedoso, será necesario cambiar esa parte por una más adecuada al entorno en cuestión.

Continuidad del negocio

Las organizaciones están cada vez más enfocadas a trabajar bajo la gestión de los riesgos para ejercer su actividad. Aunque existen diversas metodologías y soportes para gestionar riesgos (ISO31000 Gestión del Riesgo: Directrices, ISO27005 Gestión de Riesgos de la Seguridad de la Información), no tienen mucho sentido si no se las acompaña de un buen sistema de Gestión del Plan de Continuidad de Negocio (ISO22317 Seguridad y Resiliencia – Sistemas de Gestión de Continuidad de Negocio).

La mejor forma de incrementar la seguridad es entrenar la capacidad de detección, respuesta y recuperación

Que levante la mano quien nunca haya perdido algo importante por no haber tomado las precauciones necesarias. Es a partir de la experiencia de la pérdida como aprendemos (o no) a trazar esos planes de tipo “por si acaso…”.  Esto, trasladado a una organización empresarial, es lo que se convierte en el Sistema de Gestión del Plan de Continuidad de negocio.

Los puntos clave a la hora de poner en marcha esta estrategia son los siguientes. Por un lado, es importante identificar los procesos de negocio e investigar el impacto económico en diferentes escenarios de interrupción de actividad y de planes de contingencia.

Este primer aspecto nos debería dar una idea aproximada de cuál sería el impacto real en la empresa de que un determinado proceso de negocio quede bloqueado por un tiempo. Por ejemplo, se podría crear una tabla donde, de forma muy visual, se muestren estos datos para cada proceso de negocio clave.

Es un modo de visibilizar de forma sencilla cuestiones como cuánto dinero perdería la empresa en caso de bloqueo de un proceso, e incluso a partir de qué momento tendría que echar el cierre.

Otro aspecto ineludible es el relacionado con la amplitud del ámbito en el que nos movemos. Si tomamos los catálogos de amenazas existentes, no tendremos vida suficiente para analizarlas todas. De este modo, una práctica muy aconsejable es centrarse en nuestro sector de actividad y en nuestra infraestructura base, lo que nos permitirá acotar mucho.

Si, además, nos concentramos en las amenazas más cercanas, tales como las relacionadas con la actividad técnica (TI, comunicaciones, OT, ciber), podremos delimitar mucho mejor el ámbito de actuación.

Entrenar y ejecutar

Una vez que tengamos claro todo lo anterior, deberíamos ser capaces tanto de entrenarnos para escenarios donde se materializan esas amenazas como, y esto es más importante, de ver si somos capaces de reaccionar. De la misma forma que en los edificios se realizan simulacros de incendio, aquí también es muy importante hacer lo propio con los tipos de ataque que están teniendo más éxito. Es la mejor forma de prepararse.

Y deberíamos integrar a todas las partes implicadas:

• La infraestructura técnica y de comunicaciones.
• Las medidas de seguridad.
• Los negocios implicados.

El propio proceso de incidente al completo en todas sus fases, incluyendo la identificación y detección, la contención (o no), la respuesta y recuperación; y, por último, la comunicación interna y externa.

La seguridad física aprendió a base de golpes y parece que es así como está aprendiendo también la digital

Me gusta comparar este punto con los pasos que se han venido desarrollado en el ámbito de la seguridad física en entornos fabriles. Sabido es que hace cincuenta años se producían muchos accidentes en los procesos de fabricación. Si medimos los heridos e incluso fallecidos en aquellos tiempos y los comparamos con los con los actuales, veremos que la cifra ha cambiado mucho.

La seguridad física aprendió a base de golpes y parece que es así como está aprendiendo también la digital. No debemos permitirlo, y la mejor forma de incrementar la seguridad es entrenar nuestra capacidad de detección, respuesta y recuperación ante un ciberincidente.

Madurez y grado de control

Negocio es clave en todo este proceso. Es quien mejor conoce los impactos ante una amenaza materializada y quien, ante un nuevo riesgo, puede poner en marcha planes alternativos que permitan evitarlo o reducirlo a su mínima expresión.

Pero, para llegar a este punto, la organización tiene que encontrarse en un elevado nivel de madurez. Además, es importante que esté familiarizada con la gestión de riesgos y que ejerza un estrecho control sobre sus activos y los peligros asociados. Para conseguir esos controles, resulta fundamental basarse en herramientas interconectadas y, además, tan automatizadas como sea posible.

En este punto, me gustaría llamar la atención sobre las enormes posibilidades que ofrecen los avances que se están produciendo en la inteligencia artificial, especialmente cuando se aplica a los procesos de gestión del apetito por el riesgo.

Todos buscamos lo mismo: poder ejercer la actividad manteniendo la organización a flote, sin heridos. Desde estas líneas te animo a encontrar el mejor valor de apetito por el riesgo, en función de tu contexto particular.