Tarde o temprano, cualquier organización recibirá un ciberataque dirigido a su activo más importante: los datos. Y hay que estar preparado para ello, tal y como desgrana Elisa Martínez, Metallic Cloud Sales Leader para Iberia e Italia de Commvault, en esta tribuna.
Los ciberataques están evolucionando en complejidad y sofisticación a un ritmo sin precedentes. En el último año han surgido modos de ataque cada vez más destructivos, como el island-hopping, un tipo de malware que se infiltra en las redes de empresas no muy grandes y que no tienen medidas de seguridad adecuadas, con el fin de utilizarlas como caballo de Troya para su objetivo final. Estos ataques han dado lugar a brechas de gran repercusión, especialmente en los últimos meses.
Los grandes ciberataques, incluido el ransomware, tienen el potencial de paralizar a cualquier organización. Hace unos días, por ejemplo, se conoció el ataque a una de las redes principales de oleoductos de EEUU, que tuvo que detener todas sus operaciones hasta conseguir recuperarse. También en España tenemos casos con cada vez más frecuencia. Por ejemplo, el Consejo de Seguridad Nuclear (CSN), la Fundación Española para la Ciencia y la Tecnología (FECYT), o el Tribunal de Cuentas, se han visto afectados recientemente debido a la caída del sistema de su proveedor de nube tras un ciberataque.
Gestionando lo intangible
En nuestro mundo cada vez más digital, no son los activos físicos de una organización los que llaman la atención de los ciberdelincuentes. Cuando apuntan, el objetivo principal suelen ser los datos, el alma de las organizaciones actuales.
El primer paso para establecer políticas y normas claras sobre la gestión de los datos es clasificarlos adecuadamente en función de su criticidad. Las políticas, como la gestión del acceso de los usuarios, deben establecerse en función de la clasificación de seguridad de los datos. Esto garantiza que sólo se conceda el acceso esencial y necesario a los datos sensibles, cuya criticidad limita los posibles puntos de ataque que los ciberdelincuentes pueden explotar.
A medida que el panorama de las amenazas sigue evolucionando, la capacidad de recuperación será fundamental. Según IDC, en 2022 las organizaciones centradas en la resiliencia digital serán capaces de recuperarse de una interrupción en su negocio y de ampliar sus servicios para responder a las nuevas condiciones un 50% más rápido que las que se enfocan en restaurar los niveles de resiliencia de negocio y de TI existentes.
Maximizando la resiliencia
Por desgracia, la exposición a una brecha o a un ataque parece ser más que probable para la mayoría de las organizaciones. En tal situación, mantener la disponibilidad del sistema será clave.
La capacidad de recuperación debe ser parte integral de la gestión de datos de las organizaciones. Es necesario un plan de backup y recuperación de datos clasificados, esenciales y sensibles para que puedan mitigar rápidamente un ciberataque. Dicho plan también es importante por los requisitos de cumplimiento normativo.
Adoptar un enfoque por capas para asegurar los datos, como copias de seguridad inmutables y air-gapping, ayuda a las empresas a protegerse de las amenazas maliciosas. Para conseguir dicho objetivo , el Backup-as-a-Service (Baas) ha de ser una opción a tener en cuenta para , la recuperación y la protección de datos, ya que permite preservar una copia inmutable de los datos en la nube. BaaS ayuda a las organizaciones a gestionar el cumplimiento de la normativa legal, a escalar cuando sea necesario y a gestionar los crecientes costes de los datos.
Adicionalmente a la búsqueda regular de amenazas, las evaluaciones de vulnerabilidad y las pruebas de penetración deberían formar parte de los procesos de cualquier empresa. La infraestructura, por su parte, debe garantizar la redundancia de todos los sistemas informáticos esenciales y la alta disponibilidad.
En definitiva, las organizaciones deben contar con una estrategia para resistir a estos delitos cibernéticos. Cuando los datos se ven comprometidos, por ejemplo a través del ransomware, la recuperación ante desastres es esencial para reducir el impacto de la brecha y reanudar las operaciones de nuestro negocio cuanto antes. En definitiva, ser “ciber resilentes”, contar con la capacidad de recuperarse de forma rápida de los ciberataques.
El elemento humano
Según IDC, el 75% de los CIOs formará parte de la toma de decisiones empresariales en 2023, ya que la infraestructura digital se convierte en el nuevo “sistema operativo” de las empresas. En esta época, el CIO no se limita a dirigir la transformación digital de la organización, sino que forma parte de la punta de lanza de sus prácticas de recuperación empresarial
Las entidades deberán contar con un director de información que dirija la evaluación e identificación de riesgos y que impulse la recuperación de la organización en caso de ataque. Es esencial que el CIO decida y aplique r controles internos eficaces para gestionar los riesgos tecnológicos. Cuando se trata de ciberseguridad, las inversiones se amortizan a largo plazo, lo que significa que el director de sistemas de información deberá tener la capacidad de tomar decisiones de gasto que pueden no suponer un beneficio inmediato.
Por último, aunque la responsabilidad de cultivar una cultura de concienciación y gestión de los riesgos tecnológicos recae en los directivos, es crucial que la concienciación y la educación sobre las ciberamenazas se extiendan a todo el personal. Los empleados deben ser educados sobre sus funciones y responsabilidades en la gestión de los riesgos de ciberseguridad.
La pregunta adecuada que hay que hacerse en el actual clima de ciberamenazas es: “¿Cuándo (no “si”) sufrirá un ciberataque mi organización?”. Es mucho lo que está en juego y las empresas tienen mucho que perder en caso de que se produzca una brecha de seguridad.
