No afloje el pulso a la amenaza de la información y la ciberseguridad

En las empresas prósperas, los empleados hacen malabarismos con éxito para satisfacer muchas demandas que compiten entre sí. Esto es difícil en tiempos de bonanza, pero con las presiones económicas actuales y una inminente recesión mundial en el horizonte, la presión es alta. Es fácil perder de vista cuestiones importantes que ahora pueden parecer menos urgentes. La información, los datos y la ciberseguridad pueden entrar en esta categoría, pero un sistema eficaz de gestión de la seguridad de la información puede ayudar a cualquier empresa a mantenerse segura.

Afortunadamente, hoy en día los empleados, directivos y consejos de administración de las empresas reconocen en general que la seguridad de la información, los datos y la ciberseguridad es una cuestión crítica para el negocio. Es posible que ya dispongan de estrategias para hacerle frente. Muchas empresas están desarrollando un sólido sistema de gestión de la seguridad de la información, pero muchas aún no han dado los primeros pasos. Incluso para aquellas organizaciones que creen tener las cosas bajo control existen escollos. Cuando la supervivencia de una empresa se ve amenazada por algo menos enigmático que un ciberataque, como la disminución de la clientela o el aumento de los costes, la atención puede desviarse. 

Y eso puede ser fatídico. ¿Por qué?

Porque cualquiera que sea el motivo de un ciberataque, ya sea vandalismo digital, extorsión de dinero, robo de datos de clientes, espionaje por motivos comerciales, industriales o políticos, o cualquier otro propósito malicioso, el resultado será, casi con toda seguridad, una grave perturbación que requerirá escasos recursos para rectificarla.  

Las consecuencias pueden ser económicas, sociales o técnicas, o una combinación de las tres. Por ejemplo, un ataque que demuestre la vulnerabilidad de una red de información requiere medidas técnicas para erradicar el problema y evitar que vuelva a producirse. En algunos casos, el trabajo que conlleva puede llevar tanto tiempo que puede ser mejor sustituir todos los equipos afectados para garantizar que la amenaza no pueda reactivarse. 

Esa fue la solución que adoptó un importante operador de líneas de contenedores tras un ataque de ransomware. El sistema de reservas de la empresa estuvo fuera de servicio durante varias semanas, lo que supuso una pérdida de ingresos. Para reconfigurar la red informática fue necesario sustituir 4.000 servidores, 45.000 ordenadores y 2.500 aplicaciones. El coste total se estimó en unos 300 millones de dólares. 

No hay que subestimar el impacto en la reputación de los ataques exitosos. Los clientes valoran la seguridad de sus datos, dondequiera que estén almacenados, y pueden decidir que las organizaciones que no pueden protegerlos no merecen su negocio, por lo que podrían cambiar a un competidor.   

Al tratarse de una empresa muy grande, la compañía de líneas de contenedores depende enormemente de su red informática para controlar las reservas de decenas de millones de contenedores y la explotación de casi un millar de buques. Para una empresa más pequeña, el impacto puede no generar los mismos titulares, pero incluso a escala reducida podría obligar a una empresa a cerrar.  

Todo el mundo es un objetivo

Hoy en día, todas las organizaciones comerciales, no sólo las empresas de TIC, son objetivos probables. Incluso las escuelas y los servicios sanitarios han sido blanco de ataques. Este último es actualmente uno de los más afectados, quizá por la gran cantidad de datos personales que conserva.  

En agosto de 2022, el número de emergencias 111 del Servicio Nacional de Salud del Reino Unido sufrió un ataque de ransomware. El servicio 111 es un respaldo al servicio principal de emergencias sanitarias 999 para personas que necesitan asistencia médica menos urgente fuera de horario. El ataque supuso la privación de ayuda a pacientes y el envío de otros a médicos de cabecera cuando no era necesario. No ha sido el primer ataque. En 2017, el NHS sufrió un ataque de ransomware por parte de bandas criminales que le costó más de 20 millones de libras.

El coste total

La mayoría de los ataques se originan en línea, a menudo a través de phishing mediante sistemas de correo electrónico, dispositivos comprometidos o robados, como ordenadores portátiles o dispositivos móviles, conectados a una red. Incluso las memorias USB pueden ser una fuente. Alrededor de la mitad (49%) de las organizaciones que participaron en un estudio reciente declararon haber sido víctimas de un ataque basado en la web, el 43% mencionó el phishing, el 35% se vio afectado por malware general y el 26% por una inyección SQL. Se trata de un tipo de ataque que se infiltra en las bases de datos provocando errores o incluso descargando toda la base de datos al ordenador del pirata informático. Una de cada cinco organizaciones sufrió denegaciones de servicio. 

El año pasado, una coalición mundial de empresas tecnológicas y organismos encargados de hacer cumplir la ley, entre ellos el FBI, Microsoft y Amazon, reclamaba una actuación "agresiva y urgente" contra el ransomware. El Ransomware Task Force (RTF) afirma que se ha convertido en una grave amenaza para la seguridad nacional y un problema de salud y seguridad públicas. Está teniendo un enorme impacto en la economía y en la capacidad de los ciudadanos para acceder a servicios críticos. Las estimaciones indican que el coste mundial del ransomware, incluida la interrupción de la actividad empresarial y el pago de rescates solo en 2020, se situó entre 42.000 y 170.000 millones de dólares.  Aunque la cifra exacta nunca se conocerá, ya que muchas víctimas prefieren guardar silencio sobre el impacto en sus operaciones. 

Más control

Con tanto en juego, no es de extrañar que las organizaciones empiecen a tomar medidas para reducir el riesgo. Pero a algunas les resulta difícil saber por dónde empezar. Podría decirse que la forma más sensata de comprender el panorama real de los riesgos, desplegar medios para prevenir las violaciones de la seguridad y procesos para gestionar cualquier incidente es desarrollar un sistema de gestión de la seguridad de la información que cumpla las mejores prácticas internacionales, como ISO/IEC 27001, la norma más reconocida para los sistemas de gestión de la seguridad de la información. 

Proporciona un marco estructurado para desarrollar y aplicar procesos y controles de seguridad, garantizar el compromiso de la dirección y la formación de los empleados, por ejemplo. 

Muchas organizaciones ya disponen de sistemas de gestión de la calidad, el medio ambiente o la salud y seguridad en el trabajo. El concepto y el enfoque son los mismos y la nueva versión de ISO/IEC 27001 se ajusta a la Estructura de Alto Nivel (HLS) de ISO para facilitar la integración.   

La obtención de la certificación ISO/IEC 27001 por parte de un tercero independiente ofrece garantías internas y confianza a las partes interesadas de que dispone de sistemas sólidos para gestionar la información, los datos y los riesgos de ciberseguridad.