Reforzar el eslabón débil de la cadena de seguridad de la información

¿Cuántas incidencias relacionadas con la seguridad empresarial cree que se producen de media en un año? ¿Y al cabo de 10 años? Si ha intuido que se ha producido un incremento de incidencias en esta nueva década, ha acertado. Las investigaciones durante 2019 revelan que el 61 % de empresas europeas y estadounidenses notificaron ataques informáticos, en comparación con el 45 % del año anterior[1]. También hemos detectado que los ataques de programas «ransomware» crecen en más de un 350 % cada año[2], lo que indica que cada vez más delincuentes recurren a los ataques informáticos como método de extorsión. Este tipo de ataques no solo están aumentando su frecuencia, también su nivel de gravedad en función del impacto en el negocio.

El riesgo del exceso de confianza

Los programas de ciberseguridad actuales han sido capaces de reducir la cantidad de dispositivos que han sufrido ataques informáticos en comparación con la primera década del 2000. No obstante, la finalidad de los ciberataques no se reduce a infectar la mayor cantidad de dispositivos posible. Hoy en día, los ataques buscan dar con el eslabón más débil por el que colarse en el sistema corporativo para extorsionar o robar datos.

Esta modalidad ha aumentado su atractivo a medida que la digitalización ha gestionado cada vez más información confidencial y realizado procedimientos críticos en los sistemas informáticos de las empresas. Y si ahora se eliminan esos sistemas, las empresas descubrirán que no pueden funcionar sin ellos.

Por ejemplo, los inversores rebajaron la reputación de Equifax Credit Search debido a una incidencia relacionada con la ciberseguridad que afectó a cerca de 150 millones de usuarios[3], lo cual obligó a la empresa a duplicar su inversión en seguridad. Este tipo de acciones potencialmente letales para la empresa eran muy poco frecuentes en el pasado, porque las empresas siempre tenían un repositorio físico como sistema de respaldo. El aumento de la practicidad y de la productividad conlleva intrínsecamente una mayor vulnerabilidad, que se traduce en la actual dependencia de soluciones digitales y basadas en la nube.

Al mismo tiempo, estas vulnerabilidades son cada vez más complejas, ya que las empresas evolucionan hacia unos modelos de negocio más interdependientes. Por ejemplo, la mayoría de las compañías dependen de la tecnología y de la infraestructura que desarrollan y gestionan otras compañías. El ataque a una de ellas provoca un efecto mariposa, y el impacto alcanza al resto de las compañías interdependientes. Si el proveedor cae, también lo hacen las empresas.

La compañía de paquetería TNT fue una de las numerosas víctimas del ataque «NotPetya» de 2017[4], y toda su cadena de suministro se vio arrastrada por ello. Afectó a corporaciones multinacionales como el gigante publicitario WPP, pero también dejó en la ruina a un anticuario que vio desaparecer el envío de una de sus obras de arte durante su traslado desde Suiza[5]. Si bien disponer de un plan de contingencia fuera del entorno informático puede garantizar el mantenimiento de su negocio, no necesariamente lo hace con sus socios, ni implica que estos vayan a hacer lo mismo, lo que conlleva que toda la cadena de suministro podría verse afectada.

Asumir que la existencia de las ciberamenazas está cambiando el concepto empresarial nos permite pensar en un futuro con mayor transparencia en el ámbito de la ciberdefensa y la recuperación a lo largo de las cadenas de suministro digitales actuales.

La gestión de riesgos como enfoque

Si bien nunca se puede erradicar del todo el riesgo a sufrir amenazas contra la seguridad en una empresa, existen medidas que pueden tomarse para evitar los ciberataques. En la medida en que el mundo está cada vez más conectado y es más dependiente de la tecnología, el ya largo historial de problemas de seguridad nos recuerda la importancia de adoptar un enfoque colaborativo, colectivo e inquebrantable para garantizar la seguridad.

• Colaborativo: Es necesario que las empresas empiecen a colaborar contra el cibercrimen. La capacidad de innovación de los delincuentes es rápida, y mantener la información pertinente en secreto solo aumenta su ventaja. Con las enseñanzas extraídas de los ataques anteriores, podemos cerrar la brecha y avanzar más rápido en el descubrimiento de nuevos mecanismos de defensa. Cuando la compañía noruega hidroenergética Norsk Hydro sufrió un ciberataque, invitaron a la BBC[6] a que difundiera cómo habían burlado a sus atacantes, compartiendo información importante a nivel mundial.
• Colectivo: A medida que las empresas comiencen a colaborar entre sí de manera más estrecha, será necesario que sepan comunicar y mantener con cohesión una cultura de protección de datos entre las compañías asociadas a lo largo de toda la cadena de suministro. Debe adquirirse una responsabilidad colectiva entre proveedores y clientes para tratar de eliminar los puntos débiles en todo el ecosistema de la tecnología de la información. Por ejemplo, en muchas empresas solo hay una contraseña de administrador que sirve para todas las cuentas de Microsoft por igual[7]. Esto puede dar lugar a que el malware se propague como un incendio forestal, y traspasar incluso los límites de la empresa. Si el cliente exige responsabilidades al proveedor y viceversa, este tipo de puertas traseras podría bloquearse.
• Completo: Debe conseguir una visión tan completa como sea posible del riesgo potencial e identificar qué partes de su sistema informático son críticas para el funcionamiento de su negocio, para así tomar el control de la gestión de la información. Esto implica considerar aspectos que van más allá de los canales digitales. Por ejemplo, el uso compartido de las impresoras puede ser uno de los puntos débiles si se observan fisuras en torno a la seguridad de los datos, y conviene tomar medidas en las comunicaciones de salida al tomar en consideración la seguridad del ciclo vital completo de los documentos. Si se tienen en cuenta todos los aspectos que intervienen en la gestión de la información, desde la captura de documentos hasta la gestión de impresión, puede desarrollar las estrategias robustas necesarias para proteger los intereses de su negocio principal.

A medida que las empresas estrechan sus lazos colaborativos, el intercambio de conocimientos y la rendición de cuentas ganan importancia simultáneamente. Trabajar con colaboradores que comprenden estos aspectos y que pueden aportar una perspectiva más global es una decisión esencial. Solo la cooperación y el control sobre la información pueden colocarnos en ventaja frente a los ciberataques.

[1] https://gdpr.report/news/2019/04/29/cyber-attacks-reported-by-61-of-us-and-european-firms-over-past-year/

[2] https://www.cisco.com/c/dam/m/digital/elq-cmcglobal/witb/acr2018/acr2018final.pdf?dtid=odicdc000016&ccid=cc000160&oid=anrsc005679&ecid=8196&elqTrackId=686210143d34494fa27ff73da9690a5b&elqaid=9452&elqat=2

[3] https://www.equifaxsecurity2017.com/2018/03/01/equifax-releases-updated-information-2017-cybersecurity-incident/

[4] https://www.theregister.co.uk/2017/09/20/fedex_notpetya_damages/

[5] https://www.theguardian.com/money/2017/jul/25/tnt-parcels-cyber-attack-courier-fedex-notpetya

[6] https://www.bbc.co.uk/news/business-48661152

[7] https://www.itproportal.com/features/criminals-are-far-too-successful-at-recycling-old-threats-that-defeat-enterprises-legacy-systems/