Los recientes ataques que han hecho uso de recursos maliciosos (malware) de tipo ransomware (vinculados a rescates monetarios), tales como WannaCry o Petya, sobre algunas de las instituciones y organizaciones más relevantes del mundo han obligado a las compañías a replantearse sus sistemas de ciberseguridad a nivel global.
Estos sucesos han puesto de manifiesto la fragilidad de la seguridad que siguen teniendo las empresas, tanto las grandes multinacionales como las pymes, especialmente en las áreas de prevención, detección y respuesta. Hemos podido comprobar, además, que el impacto crece exponencialmente si no se aplican mecanismos de gestión adecuados para contener y resolver estas situaciones de crisis.
Los cibercriminales son cada vez más agresivos y sofisticados: aprovechan la globalización para atacar a organizaciones interconectadas alrededor del mundo y están bien coordinados y financiados. La repercusión de sus ataques de carácter tecnológico va desde el ámbito reputacional (amplificado por medios de comunicación y redes sociales) hasta el financiero (sanciones, provisiones y posibles pérdidas), y además demuestra que las empresas tienen en riesgo uno de los principales activos con los que cuentan hoy en día: la información.
La desconfianza que una empresa desprotegida genera sobre los accionistas, proveedores y demás stakeholders puede ser muy relevante, por lo que se precisa de los mecanismos más sofisticados para protegerse con garantías. Debemos ser capaces, por tanto, de prevenir los ataques y detectarlos a tiempo (dentro y fuera de la empresa), así como poner todos los medios para que estos ciberdelincuentes encuentren mejores barreras para acceder a nuestros sistemas.
Para ello, resulta clave, entre otras cosas, analizar, conocer y mejorar día a día la gestión de las vulnerabilidades de los sistemas de información, y el conjunto de la organización debe estar concienciada de la importancia de la ciberseguridad en la actividad diaria. Resulta aconsejable, por tanto, realizar de forma periódica ciberjercicios y pruebas de los procesos y procedimientos relativos a la ciberseguridad, que permitan evaluar el nivel de preparación de cada organización y la efectividad de sus actuaciones, además de mantener un contacto permanente con las Fuerzas y Cuerpos de Seguridad del Estado.
A nivel técnico, los procedimientos y procesos asociados al plan de recuperación de sistemas deben ser revisados y actualizados, y la empresa debe operar dentro de una arquitectura de seguridad revisada y en una red bien segmentada. Estas no son tareas exclusivas del área de tecnologías de la información de la compañía, sino que deben expandirse al resto de áreas de la organización, considerando además el gasto asociado a ciberseguridad como una inversión a largo plazo. Al fin y al cabo, la sostenibilidad de la organización está en juego.
La actualización continua del software de detección y erradicación de malware y virus debería ser una práctica habitual en todas las empresas; pero evidentemente esto no es una fórmula perfecta, ni la única, finalmente la falta de concienciación se convierte en el eslabón más débil.
Según la última edición del informe Global Information Security Survey de EY, el 86% de los altos ejecutivos (es decir, casi nueve de cada diez) muestra desconfianza en el nivel de ciberseguridad de sus compañías, aunque sorprende cuando el 62% no aumentaría su inversión en mecanismos de ciberseguridad aunque detectara una brecha sin impacto aparente en su actividad. En ocasiones, los ciberdelincuentes hacen pruebas para seleccionar sus futuras víctimas, por lo que estas pequeñas fisuras pueden ser la antesala de mayores problemas. Y aún sorprende más si tenemos en cuenta que, según el mismo estudio, el 57% de las empresas admite haber sufrido recientemente algún tipo de ataque cibernético.
En la era del Big Data y Data & Analytics, la protección cibernética debe ser una prioridad para las empresas. La explosión del llamado Internet de las Cosas (IoT, por sus siglas en inglés) y el creciente número de dispositivos conectados, incluidos las redes de sistemas de operación, ha disparado el volumen de dispositivos por los que circulan datos de la organización, y por tanto, el nivel de exposición de la misma.
Es razonable suponer que los mecanismos de análisis del tráfico de datos deberían recibir importantes inversiones en los próximos años por parte tanto del sector privado como del público. Además, la incorporación de profesionales especializados en ciberseguridad a los equipos de las organizaciones será una práctica habitual en el corto y medio plazo.
Las empresas deben tener la capacidad necesaria para administrar los riesgos en un entorno marcado por la transformación digital de su actividad. Para ello, resulta fundamental que los gestores de las empresas comprendan bien el negocio que desarrolla la organización, el ecosistema cibernético en el que ésta se desenvuelve, sus activos más preciados y críticos y los factores de riesgo a los que se expone. Es imprescindible desarrollar, con una labor de liderazgo ejecutivo, una cultura corporativa que promueva la adaptación al cambio e implicación de todos los participantes (empleados y colaboradores) en la labor de preservar la seguridad.
La evolución de la ciberdelincuencia ha elevado la complejidad de su gestión a nivel corporativo, por lo que sólo aquellas compañías que complementen los clásicos cortafuegos (como epítome de las medidas de protección tradicionales) con avances en tareas de detección, predicción y respuesta podrán resistir ante las amenazas de este nuevo entorno.
Entidades
Elena Maestre
Socia responsable de consultoría de riesgos de EY
