Estar preparados para los ciberriesgos
Aunque se estén realizando grandes esfuerzos para mejorar las capacidades de ciberseguridad de las empresas, las amenazas son cada vez más frecuentes y avanzadas, por lo que gestionar una crisis cibernética es algo más que probable. Ejemplos de estas son los ataques de denegación de servicio distribuidos (DDoS), el robo de credenciales mediante técnicas de phishing o malware, la fuga masiva de información digital, el ransomeware (programas que impiden el acceso a la información mediante técnicas de cifrado, pidiendo un rescate para el descifrado), o las amenazas avanzadas persistentes (APT).
Los últimos ataques, registrados durante los meses de verano, no dejan ninguna duda: los hackers nunca descansan. El más sonado de todos ha sido sin discusión el robo de datos de clientes de la página web de contactos Ashley Madison, que durante las últimas semanas ha traído de cabeza no solo a la compañía, sino también a sus 37 millones de usuarios. Pero no ha sido el único. La Universidad de California, en Los Ángeles, United Airlines, New York Magazine, el Departamento de Defensa de Estados Unidos, American Airlines, la compañía de venta online OneBookShelf o incluso la página web del presidente de Pakistán, Mamnoon Hussain, han sido algunos de los objetivos de ciberataques durante la última quincena de julio y la primera de agosto, lo que demuestra, además, que nadie está a salvo de despertar el interés de los ciberdelincuentes. La vigilancia, la prevención y, por supuesto, la gestión posterior a un ciberataque cobran hoy más importancia que nunca.
Una buena gestión de crisis no debería comenzar en el momento en el que esta se desencadena, sino que debe hacerlo mucho antes. La vigilancia continua, la planificación y ensayo de diversos escenarios es los que nos permitirá dar una respuesta rápida y efectiva, además de salir fortalecidos de la experiencia, soluciones para seguir mejorando de cara al futuro.
La tendencia actual pasa por anticiparse a los ataques mediante el uso proactivo de la ciberinteligencia, que permite obtener indicios, prevenir y prepararse para responder ante posibles ciberataques, buscando, consultando y analizando información de la compañía en el mundo físico y en el cibernético. Entre esta información se podría destacar la de coordinación de ciberataques, venta o publicación de vulnerabilidades, credenciales o secretos robados, uso ilícito de marca, etc.
Es imperativo, a su vez, una correcta lectura de la situación de la empresa en tiempo real. Para lograrlo es imprescindible instaurar una monitorización 24 horas al día, los siete días de la semana, con herramientas específicas en busca de patrones de comportamiento inusuales o sospechosos. Así se obtiene un seguimiento de todas las fuentes relevantes de información y es posible identificar daños potenciales.
No debemos olvidar que, casi siempre, el eslabón más débil en la ciberseguridad es el humano. Por ello, la concienciación, formación y el entrenamiento de los trabajadores es fundamental. Planes de formación continuos y la implementación de políticas de prevención y protección permitirán asegurarnos que la implicación de la plantilla es total en este ámbito. Y no hay que olvidarse del entrenamiento, pieza fundamental para racionalizar, normalizar y evitar el pánico ante situaciones críticas. Los simulacros permiten comprobar si los procesos, capacidades y recursos definidos dentro de la organización, a nivel humano y tecnológico, se ejecutan adecuadamente. Los ciberejercicios son cruciales a la hora de probar las capacidades de resiliencia de la tecnología y del personal responsable de la protección, detección y respuesta ante un ciberataque. Además, son esenciales a la hora determinar aquellas áreas en las que debe mejorarse la alineación entre el plan estratégico, el táctico y la operativa de respuesta.
Si aún con todos los planes y medidas definidos, se experimenta un ciberataque, es importante realizar un buen análisis forense, que permitirá realimentar nuestros planes de actuación así como conocer y solventar la causa raíz del incidente.
Pero una crisis cibernética no solo tiene un impacto tecnológico. El reputacional es el más temido por los directivos. Por tanto, otra de las patas de un buen plan de gestión de crisis es la comunicación interna y externa durante el suceso. Algo primordial cuando hablamos de ciberriesgos, ya que la hiperconectividad expone a las empresas al escrutinio público en tiempo real.
Inteligencia, monitorización, concienciación, simulacros y comunicación son cinco herramientas básicas que toda empresa debe dominar si quiere enfrentarse a una realidad en la que las ciberamenazas son cada vez más frecuentes.