Con ataques, amenazas y vulnerabilidades a la velocidad de los cohetes, se discute mucho sobre cuál debe ser el comportamiento de las organizaciones para mitigar los riesgos cibernéticos. Tal es su importancia que el tema terminó en el Foro Económico Mundial, autor del informe «Global Cybersecurity Outlook 2022», lanzado en enero y extremadamente enriquecedor para gerentes, tomadores de decisiones y para la industria de ciberseguridad.
El informe aporta información significativa sobre la amenaza digital para la economía global y señala los comportamientos que las organizaciones deben adoptar para mitigar riesgos y ataques. También registra las mayores preocupaciones de los líderes empresariales en el escenario de la ciberseguridad; recomienda a las empresas incluir el tema en las decisiones de negocios; y concluye que la digitalización sigue avanzando tan rápido como surgen nuevas tecnologías, lo que hace que el riesgo sea inevitable.
La comparación entre ciberseguridad y ciber resiliencia hecha en el estudio nos enciende la luz roja. Más de la mitad (59 %) de los líderes de ciberseguridad afirmaron a los investigadores que estamos ante sinónimos. Algo que preocupa porque estamos ante conceptos relacionados, no sinónimos. Ciberseguridad es un conjunto de tecnologías, personas y procesos dedicados a proteger los negocios. Comparando, la ciber resiliencia acepta la hipótesis de ataque y prepara a la organización para retomar sus negocios.
La confusión conceptual es extremadamente preocupante, porque evidencia que aún no estamos preparados para la resiliencia. Muchos todavía se resisten a aceptar que los ataques van a ocurrir y que necesitaremos tanto enfrentarlos, cómo prepararnos para salir de la guerra con el menor rasguño posible.
Cuando la empresa no acepta la posibilidad de sufrir y sobrevivir, ella no entiende el problema. Pensar en resiliencia es pensar en la gestión del riesgo.
Sistematización
El primer paso para sistematizar la política de ciber resiliencia es entender y aceptar el riesgo. Hacer un análisis profundo de los activos digitales – teléfonos, computadoras, etcétera -, creando un catálogo de activos correlacionados a los riesgos que proporcionan y el nivel de ataque que la empresa consigue soportar.
Una vez hecho esto, se recomienda evaluar si es posible eliminar el riesgo, mitigarlo o contratar un seguro de ciberseguridad. La cuarta opción es aceptar el riesgo. Esto mismo, el riesgo puede ser aceptado si la evaluación lo identifica como bajo. Es decir, la empresa crea una matriz con el tipo de riesgo, el impacto y su probabilidad, y puede concluir que está lista para aceptar un riesgo de bajo impacto en su operación.
No hay política de ciberseguridad apartada de una estrategia de ciber resiliencia. Un estudio global dice que el 60% de las empresas que sufren un ataque importante de ransomware van a bancarrota, mueren, porque no soportan el impacto económico.
Es por eso, que los ataques de ransomware y las amenazas a la infraestructura operacional están entre las grandes preocupaciones de las empresas, de acuerdo con el informe del Foro Económico Mundial. No es para menos: La probabilidad de un ataque ransomware golpea la puerta de las empresas, con el agravante de que el ransomware también es un concepto, con varias formas mutantes y cada vez más sofisticadas.
En paralelo, la infraestructura operativa ha entrado en el radar del cibercrimen debido a la baja resistencia que ofrece. Recordemos que son frecuentes los registros de invasión utilizando los aparatos de aire acondicionado y otros equipos ajenos al ambiente de TI, y que el impacto de estos ataques a las redes operativas ya conocemos. Baste recordar lo que ocurrió con la red de oleoductos más grande de Estados Unidos, que, bajo ataque, hizo que el gobierno declarara el estado de emergencia en 2021.
La resiliencia en las redes operativas significa anticipar lo que puede suceder y cómo enfrentar una ocurrencia. En los próximos 12 a 24 meses, lamentablemente seremos testigos de más incidentes relacionados con la infraestructura crítica, con alto impacto a los clientes de las organizaciones, porque la tendencia indica un número mayor de activos conectados – el avance de internet de las cosas (IoT)- sin que los riesgos estén en la agenda. Recordemos que los profesionales de las redes OT no dominan los riesgos de TI.
Esta fragilidad lleva a otro tema señalado como crítico por el informe del Foro Económico Mundial. El estudio señala que los drivers de ciberseguridad son automatización y Machine Learning y el trabajo remoto, para más de la mitad de las personas que respondieron al cuestionario. El primero es porque, especialmente las grandes corporaciones han acumulado productos y servicios de ciberseguridad, haciendo de esta estructura un problema en sí mismo. Firewalls, antivirus y otras herramientas necesitan ser orquestadas, hecho que, por la complejidad y la alta demanda, evidenciaron el déficit global de profesionales capacitados. Para mantener todo funcionando adecuadamente, la automatización se ha presentado como la bala de plata, con cada una de las tecnologías ganando inteligencia para aumentar la productividad de los equipos de profesionales.
Por todo lo que hemos abordado y conocido, vemos que la arquitectura de seguridad tradicional tiene que cambiar rápidamente, porque el escenario ha cambiado. La pandemia de COVID-19 intensificó el trabajo remoto, evidenciando que los muros corporativos ya no protegen el lugar de trabajo. Sumado a esto, en nombre de la agilidad y la productividad, vemos la rápida e intensa adopción de la computación en nube sin que se establezcan políticas de ciberseguridad y resiliencia de operación de la empresa en estos entornos.
El informe del Foro Económico Mundial deja clara la importancia de una política de ciber resiliencia y la necesidad de insertar seguridad digital en las decisiones de negocios. No es tan simple. Necesitamos cambiar el modelo de gestión, con la contratación de especialistas capaces de comunicar cuestiones de riesgo y seguridad, en términos de negocio. Este personaje debe ser un gran influencer de los demás ejecutivos. Es la única manera de tener seguridad de principio a fin y no como un obstáculo operativo o comercial. El estudio concluye que la digitalización y la tecnología siguen un ritmo acelerado y apunta la ciberseguridad como un riesgo inevitable, poniéndonos la condición de la resiliencia. Como decían nuestros tíos y abuelos, si no podemos con los riesgos, mejor aceptarlos, creando alternativas de supervivencia.
Para conocer más sobre resiliencia de seguridad le invito a leer esta ficha informativa
Juan Marino
Gerente de Ciberseguridad
Cisco América Latina