El talón de Aquiles frente al ciberataque

El ciberataque del virus WannaCry viene a confirmar la tesis sobre la insuficiencia de los sistemas de seguridad tradicionales en un nuevo panorama donde dominan los ataques dirigidos. Concretamente, el del 12 de mayo se ha basado en dos de las vulnerabilidades más importantes, sobre las cuales las empresas deben incidir: el factor humano y la protección del puesto de trabajo. Este panorama pone de manifiesto la necesidad de realizar una revisión profunda de los programas actuales de ciberseguridad, que permita optimizar las capacidades de las empresas en todos los aspectos del ciclo: prevención, detección y respuesta de un ciberataque.

No está de más recordar que, según los últimos informes con opiniones de más de 2000 ejecutivos de seguridad de 124 países, incluido España, las empresas españolas reciben una media de 94 ciberataques al año, de los que dos de cada tres son exitosos. De hecho, a pesar de que los directivos de todo el mundo muestran confianza en sus estrategias de ciberseguridad (75%); confirman que la ciberseguridad está embebida en la cultura de la organización y que es una preocupación de los consejos de dirección (70%), los últimos días demuestran que las compañías están sufriendo un nivel extraordinario de ataques dirigidos. ¿Una cosa es la teoría y otra la realidad?

La respuesta la encontramos en los requerimientos reales del negocio. Las organizaciones necesitan soluciones extremo a extremo que protejan de forma completa su superficie de ataque, lo que solo es posible con un conocimiento profundo de la industria, una visión global, una especialización industrial diferenciadora y altas dosis de innovación. Todo ello mediante un enfoque basado 100% en el conocimiento de la cadena de valor y de las amenazas específicas en cada elemento de la misma. La aplicación de este enfoque holístico es todavía un reto no alcanzado por la mayoría de las organizaciones.

Es evidente que la tormenta regulatoria que acecha Europa, tanto en normativas transversales como verticales, refrenda la importancia de este enfoque para dotar de unos niveles de protección adecuados la información crítica de una compañía, empezando por los datos de sus clientes. Además, el Código Penal en España recoge la responsabilidad de las personas jurídicas y, por tanto, los administradores de las empresas deben saber las implicaciones penales y las multas a las que estarán sometidos por las autoridades competentes. El contexto legal confirma otro hecho clave, la implicación ineludible de la alta dirección.

Por eso, y a modo de reflexión tras los recientes ataques, concluiremos que la ciberseguridad es un trabajo y una responsabilidad de todos, de empleados y directivos. La seguridad de las empresas debe liderarse desde la dirección de la compañía, situando al CEO al frente de la estrategia.

El CISO (jefe de seguridad de la información) seguirá desempeñando un papel fundamental, pero todos los actores –con el comité de dirección al frente– deben cambiar su papel. El resto de empleados también deben estar involucrados en esta nueva estrategia que trasciende los programas de concienciación en seguridad, ya obsoletos, y apostar por programas con orientación a los comportamientos individuales, poniendo en valor los comportamientos ciberseguros de los empleados.

De ahí que haya que probar las capacidades mediante la simulación. Igual que se realizan simulacros de incendios, pruebas de los procesos de continuidad de negocio y recuperación ante desastres en las infraestructuras TIC, las compañías deben ensayar escenarios para probar sus capacidades de detección y respuesta de la organización ante un ciberataque. Existen múltiples ejemplos donde el principal punto débil de una organización ante un ciberataque ha sido su capacidad de respuesta. Una estrategia adecuada y una inversión proporcionada conllevan beneficios a corto plazo, muy por encima de las costosas inversiones en tecnología y procesos en centros de operaciones de seguridad de vieja generación que todavía se realizan.

Innovación y ciberseguridad deben ser conceptos indivisibles. Dado que un nivel de protección total es inalcanzable, la innovación es una palanca imprescindible para mantenerse al acecho de los malos. La rápida evolución de las tecnologías empresariales hacia entornos cloud, la adopción de big data o la universalización del acceso a la información están incrementando la superficie de ataque. Y es que cuando aún no ha pasado siquiera una semana desde el inicio es este macroataque, con la dificultad de efectuar un diagnóstico total de lo sucedido, sí podemos concluir que la prevención es el mejor de los remedios.

David Pérez Lázaro es managing director de ciberseguridad de Accenture.