Es urgente defenderse del ciberriesgo

El ciberriesgo va en aumento, ya no es una novedad. Ante el miedo a un ataque y las consecuencias destructivas que este podría tener, es necesario que modifiquemos nuestra postura y pasemos de las palabras a los actos. Ahora es esencial adoptar un enfoque 'as-a-Service' para fortalecer la seguridad operativa y sus defensas.

El ciber riesgo, resultado de una incidencia en ciberseguridad (tras una intrusión en un sistema informático, pérdida de datos, tiempo de inactividad, etc.), encabeza muchas clasificaciones de riesgo. En 2021, la aseguradora Allianz situó el ciberriesgo a la cabeza de su barómetro anual de riesgos. Del mismo modo, el Foro Económico Mundial identifica el ciberriesgo entre sus 5 principales “peligros claros y presentes”. Los reguladores, los aseguradores y un gran número de organismos de vigilancia ya han tomado medidas ante este riesgo. Además, con la interdependencia entre las organizaciones, sus proveedores y sus clientes, el ciberriesgo se ha vuelto sistémico. Los recientes ataques a editores de software como SolarWinds y Kaseya lo demuestran fácilmente.

Pero entonces, ¿todavía es necesario recordar que la ciberamenaza se cierne sobre todas las organizaciones, privadas y públicas, teniendo en cuenta la creciente dependencia de la tecnología digital y la naturaleza extremadamente lucrativa de la ciberdelincuencia? ¡Desafortunadamente sí! A pesar de este carácter crítico y estratégico, a pesar de las consecuencias destructivas, está claro que el ciberriesgo no se encuentra bajo control. La relación de fuerzas entre actores maliciosos y las organizaciones está más que desequilibrada. El nivel medio de seguridad todavía es demasiado bajo. Por poner un ejemplo, cada año, aDvens realiza varios centenares de auditorías de seguridad y cada una de ellas revela al menos un fallo de seguridad. Y las peticiones de ayuda de empresas atacadas aumentan cada día. Desde el CERT de la compañía hemos visto que las peticiones se disparaban más de un 100% en los últimos meses.

Esta constatación de la imperfección no debe desanimarnos. Sobre todo, debe recordarnos la necesidad de actuar y no esperar más. El próximo ataque puede afectarle a usted mañana, directamente o a través de uno de sus terceros: subcontratistas, proveedores de nube o editores de software. Hay que tener en cuenta que esto ocurrirá y las organizaciones deben estar preparadas. El campo de la ciberseguridad puede parecer complejo, todavía reservado a un grupo de expertos del sector informático, pero, aunque las soluciones tecnológicas subyacentes pueden ser complejas (y deben serlo para hacer frente a ataques igualmente complejos), es importante subrayar que los conceptos básicos son sencillos de comprender.

Lo más urgente es aplicar una estrategia de defensa y para ello se necesita una triple capacidad: en primer lugar, detectar, para identificar las vulnerabilidades dentro de sus sistemas, los intentos de ataque y las intrusiones probadas; en segundo lugar, reaccionar, para detener un ataque o, al menos, reducir su impacto; por último, reconstruir, para restablecer la situación normal y salir fortalecidos.

Estos conceptos básicos de ciberdefensa pueden parecer obvios, pero el verdadero reto es aplicarlos en cada organización, que es el ámbito de la seguridad operativa. La ciberseguridad es extensa, ya que engloba muchas actividades (definir una política de seguridad, sensibilizar a los usuarios, garantizar el cumplimiento, auditoría y control, etc.). La seguridad operativa abarca las diferentes tareas que hay que llevar a cabo para “hacer funcionar” la seguridad, y en particular, las medidas defensivas que hay que desplegar para controlar los riesgos asociados. Estas tareas son: comprobar que los dispositivos técnicos de seguridad funcionan correctamente, reaccionar en caso de que se anuncie una nueva vulnerabilidad, orquestar la respuesta a un incidente en caso de ataque y coordinar las distintas barreras de protección. Todas estas actividades pueden parecer complejas y alejadas de las prioridades de la empresa, pero son esenciales.

Por lo tanto, para controlar la seguridad operativa, hay que llevar a cabo dos proyectos. El primero es el del SOC, el Centro de Operaciones de Seguridad y el segundo es el del CERT, el Equipo de Respuesta a Emergencias Informáticas. El SOC es la torre de control de la ciberseguridad de una compañía. Es un dispositivo de vigilancia, pero también coordina las respuestas en función de las alertas que emite. En pocas palabras, el SOC recoge los distintos eventos de seguridad que se producen en los sistemas de información y los analiza para detectar problemas de seguridad y traduce el mapa de riesgos en un plan de vigilancia y recurre a los distintos actores de la cadena de escalado en función de la gravedad de las alertas. El CERT es un centro de alerta y gestión de ciberataques y crisis. Los expertos del CERT son los “bomberos cibernéticos” que se envían cuando se confirma un ataque y han comenzado los daños. Son perfiles especializados, capaces de realizar investigaciones digitales, pero también de ayudar a contener un ataque y reconstruir los sistemas afectados. El SOC y el CERT operarán conjuntamente las tres funciones identificadas para una ciberdefensa eficaz: detectar, reaccionar y reconstruir.

Establecer un SOC y un CERT modernos, adaptados a los nuevos retos de la transformación digital y alineados con las prioridades empresariales, es un paso esencial. Para ello es necesario reunir y orquestar las competencias, las tecnologías y los procesos adecuados. Esto, para una organización cuya actividad está alejada de las TI, puede resultar difícil debido a que los conocimientos cibernéticos son escasos, las tecnologías están fragmentadas y son difíciles de dominar. Todas estas razones hacen de la externalización una opción obvia para los proyectos SOC y CERT.

El modelo 'Security-as-a-Service' ofrece el apoyo operativo de un socio de confianza, especializado en el mundo cibernético, las mejores tecnologías y su continua evolución. El SOC-as-a-Service reúne todos los componentes (experiencia empresarial, procesos clave y herramientas operativas) necesarios para estructurar y gestionar un sistema de seguridad operativa de alta calidad, capaz de dar una respuesta tranquilizadora a la explosión de la amenaza cibernética. El servicio está totalmente integrado, desde el punto de vista de los procesos y las competencias, con los equipos de seguridad de las empresas para adaptar el enfoque de la vigilancia al contexto empresarial.

El socio cibernético se encarga de definir la estrategia de ciberdefensa a partir de la formalización del plan de vigilancia, y se extiende a la explotación diaria (configuración, tratamiento de alertas y actualizaciones) de las soluciones de protección o de gestión de crisis, en caso necesario. Se trata de un servicio capaz de desplegarse en tres meses. A partir de ahí, los algoritmos de inteligencia artificial captan muy rápidamente las primeras señales de riesgo, lo que aumenta significativamente el nivel de seguridad.

El enfoque 'as-a-Service' aporta eficacia, optimización y valor a la seguridad operativa de una organización. Las compañías se centran en su actividad principal, sin perderse en proyectos internos complejos o costosos. La puesta en común operada por el socio cibernético permite capitalizar los ataques sufridos por otras estructuras y conocer las”señales débiles” que afectan a un sector de actividad o a una zona geográfica. La aportación de esta inteligencia colectiva permite desarrollar soluciones basadas en la inteligencia artificial que pueden entrenarse sobre una masa crítica de incidentes de seguridad, lo que es imposible en un enfoque tradicional de implantaciones en silos.

Frente a un enfoque exclusivamente tecnológico, el modelo 'as-a-service' alinea la asignación presupuestaria con resultados concretos en términos de incidentes evitados. Esto proporciona una mayor visibilidad a toda la organización sobre su postura de seguridad y un cálculo más objetivo del ROI del gasto. En conjunto, este es el único enfoque que permitirá abordar colectivamente la falta de cibercapacidades en el mercado y alcanzar un nivel de industrialización de la defensa que pueda hacer frente a la profesionalización de las amenazas.