La clave de la ciberresiliencia: más que perder, más que invertir
El año pasado tuve una conversación con un miembro de un departamento de TI de una gran empresa de comercio electrónico. Me comentó que su modelo operativo se basaba en la web, de tal forma que sin ella el negocio no podía funcionar. Estuvimos hablando sobre la ciberseguridad y la resiliencia y cuando le pregunté qué medidas había implementado para reducir el impacto de un ciberataque, me miró y agachó la cabeza. En ese momento no pude evitar pensar en que estos temas no se pueden dejar al azar.
Antes de despedirnos, aproveché para contarle una historia sobre una pequeña empresa de comercio electrónico que vendía bolsos en el Reino Unido. A las 9 de la mañana del viernes todo iba bien. La gente entraba en su web, recibían pedidos y entraba dinero. A las 5 de la tarde, el sitio web se cayó, sus copias de seguridad (gestionadas por una empresa de TI externa) se habían borrado y todo lo demás estaba bloqueado por un ataque de ransomware. No les quedaba nada.
Pero no hace falta irnos hasta Reino Unido. En España es una de las amenazas más habituales a las que se enfrentan las compañías y muy especialmente las pymes. De hecho, según el informe State of the Phish 2023: Europa y Oriente Medio de Proofpoint, el 89% de las empresas españolas se vieron afectadas por un ransomware durante 2022 y el 72% de ellas fueron infectadas con éxito. Precisamente, lo que le pasó al Hospital Clínic de Barcelona. Un ataque que ya ha sido reconocido por una organización cibercriminal que ha publicado en la darkweb un archivo de 4,4 terabytes, con datos personales de pacientes y trabajadores, así como documentos internos de todo tipo. Piden un rescate de 4,5 millones de dólares. El daño, tanto si pagan como si no, es enorme.
En otras palabras, el ransomware se ha convertido en una epidemia contra la que luchan las compañías, sin importar si son una gran multinacional o una pyme. El riesgo de que sufran un ciberataque, de este tipo o de otro, es real. Por ello, cuanto más efectivas sean las medidas de ciberseguridad que pongan en marcha, menor será la probabilidad de que esas amenazas afecten a sus organizaciones.
Y es que todos los países comparten un reto global, el de hacer frente a las ciberamenazas de bandas criminales organizadas. Es habitual ver publicados en los medios de comunicación noticias sobre ataques de este tipo. Seguramente este sea uno de los motivos por el que los líderes empresariales han empezado a considerar la ciberseguridad como uno de los temas más críticos y prioritarios de sus compañías. Eso sí, sin los recursos suficientes en ciberseguridad, muchas empresas solo ven la opción de confiar en la suerte, una estrategia cuanto menos arriesgada, especialmente en estos momentos de tanta inestabilidad geopolítica. En el caso de España, las pequeñas y medianas empresas cada vez están más concienciadas. El 51,3% de ellas aumentará su inversión en ciberseguridad a lo largo del 2023, tal y como indica el estudio Estado de la ciberseguridad en España, elaborado por Secure&IT.
Es importante señalar que ver un retorno de la inversión en ciberseguridad es difícil. Quizá por eso, un CISO suele tener que enfrentarse al escepticismo dentro de su propia organización a la hora de presentar ante la junta directiva los recursos que se necesitan destinar para ciberproteger una compañía. Son cuestiones más intangibles en comparación con la seguridad física, en la que todo el mundo entiende qué supone instalar unas cámaras de vigilancia. Entonces, ¿cómo puede un CISO convencer a un equipo directivo escéptico de que invertir en ciberseguridad es esencial para mantener el funcionamiento de la compañía? En primer lugar, entendiendo que no es una labor que dependa completamente del CISO. Lo que sí depende de él es explicar, de manera que todo el mundo lo entienda, cuáles son los riesgos de no diseñar una estrategia de ciberseguridad adecuada. Por su parte, los miembros de esa junta o comité directivo también tienen la responsabilidad de informarse y concienciarse sobre el peligro que conlleva para su organización no estar protegidos ante los ciberataques. Al fin y al cabo, un CFO tampoco espera tener que formar a la junta en aspectos financieros.
Llegados a este punto, es razonable preguntarse cuánta capacidad defensiva ante ciberamenazas necesita una compañía. La respuesta más sencilla es la suficiente para evitar ser víctima. Si una persona deja abierta la puerta de su casa, obviamente se vuelve más insegura y accesible para un ladrón, que puede entrar fácilmente y robar cosas de valor. Por el contrario, si instala una alarma, tiene cerradas todas las ventanas y una puerta blindada, es muy probable que el ladrón busque otro objetivo. Algo parecido pasa en ciberseguridad y poner en marcha medidas relativamente sencillas puede contribuir de manera decisiva en la seguridad de una compañía.
El principal hándicap es que el entorno de la ciberseguridad actual sigue siendo algo inmaduro. Falta aumentar la concienciación, conocer las necesidades específicas o saber elegir partners de confianza. Para superar estos desafíos hay una máxima que puede ayudar mucho: invertir por igual en personas, procesos y tecnología. La clave para evitar vulnerabilidades está en encontrar el equilibrio entre estos tres aspectos. Concretamente, en el caso de un país como España, donde las pymes representan el 98% del tejido empresarial, y seguramente en muchos casos haya un problema de falta de recursos, un buen enfoque puede ser compartir la carga de la defensa de la ciberseguridad -como los servicios de monitoreo, detección y respuesta- con proveedores de confianza.
La ciberseguridad es un factor clave en la transformación digital de las pymes y por ello, equipararla a otros riesgos empresariales, es la única forma de abordar la amenaza y asignar los recursos de manera adecuada. La estrategia que se ponga en marcha debe adaptarse a las posibilidades de cada compañía y estar dentro de su presupuesto. Además, las pymes pueden aumentar la concienciación de su equipo para que comprenda que desempeña un papel importante en la prevención de un ataque, así como establecer planes para continuar con la actividad normal lo más rápido posible en caso de un ataque. Por todo ello, la ciberresiliencia es clave. Cuanto más tienes que perder, más tienes que invertir.