Cinco elementos indispensables en los planes de riesgo de las empresas
- El activo más importante de las organizaciones en momentos de crisis es su plan de respuesta a incidentes cibernéticos.
Fluid Attacks, compañía especializada en realizar pruebas de seguridad continuas en los sistemas de las empresas, ha analizado la importancia de que las organizaciones tengan un plan de respuesta a incidentes para actuar rápida y efectivamente, evitando consecuencias a mayor escala en sus operaciones y reputación.
El robo de datos y el riesgo de ciberataques a la infraestructura crítica se identificaron entre los 10 principales riesgos con mayor probabilidad de ocurrir en las organizaciones, según el Informe de Riesgos Globales 2020 del Foro Económico Mundial. Además, esta misma organización clasificó los ciberataques como la tercera mayor preocupación ocasionada por la pandemia. Esta situación motiva a reforzar la postura preventiva de las organizaciones frente a la ciberseguridad de sus sistemas y a prepararse con un plan de respuesta anticipando ser víctimas de alguna de las tantas modalidades utilizadas por los cibercriminales.
Para Felipe Gómez, LATAM Manager de Fluid Attacks, “aún hay mucho escepticismo frente a los ciberataques. Muchas compañías que sobreestiman su seguridad creen que es algo que está alejado de ellas, o que por la naturaleza de sus actividades no son blanco de los cibercriminales. Sin embargo, la realidad nos muestra que todas las organizaciones corren el riesgo de ser víctimas de un ataque, por eso deben prepararse para actuar de la mejor manera posible ante la crisis”.
Como compañía experta en hacking ético, Fluid Attacks explica cinco elementos que no pueden faltar a la hora de tener un plan de respuesta efectivo en las compañías:
- Un equipo de respuesta:Para actuar rápidamente frente a una situación de crisis es necesario contar con Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT, por sus siglas en inglés), que logre asumir la causa más probable del ciberataque y actuar en consecuencia en el menor tiempo posible. Este tipo de equipos suelen estar conformados por analistas expertos que conozcan la infraestructura tecnológica de la organización y asuman los retos con cabeza fría.
- Modelos de amenazas:Se trata de herramientas que contemplan los riesgos y vulnerabilidades más probables para los sistemas de las organizaciones. Identificar la superficie de ataque, es decir, los puntos que un criminal puede atacar, y posibles vectores de amenazas, requiere que los analistas expertos se mantengan actualizados en cuanto a los riesgos a los sistemas. Para esto, resulta provechoso contratar, desde el inicio y durante la fase de desarrollo de software, a un equipo de hacking ético, que revele los caminos por los que los cibercriminales pueden acceder a la información de la organización o afectar sus actividades.
- Guías NIST:Muchas organizaciones, como las gubernamentales o las financieras, deben implementar modelos de ciberseguridad correspondientes a normativas nacionales o internacionales, por lo que existen lineamientos como los emitidos por el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés), que sirven de guía a las empresas para ofrecer sus servicios de forma segura y con estándares internacionales.
“Estas guías no solo contemplan el riesgo de ataques por hackers maliciosos, sino que cuentan con situaciones externas como eventos que involucran fallas técnicas, desastres ambientales o problemas de cumplimiento legal, que puedan llegar a afectar el normal funcionamiento de los sistemas”, comenta Gómez.
- Plan de comunicaciones:Una de las respuestas más importantes ante una situación de crisis es lograr transmitir el estado y las acciones que se están tomando, de forma precisa a las distintas partes de la organización y a terceros, como clientes o proveedores que puedan verse afectados. De esta forma, construir anticipadamente plantillas que informen a diversos destinatarios sobre los posibles escenarios, agiliza el proceso de comunicación en momentos de crisis y permite manejar un mensaje coherente que mantenga la confianza y reputación de las organizaciones.
- Pruebas de seguridad:La evaluación constante del estado de la ciberseguridad, por medio de analistas expertos (p. ej., hackers éticos), es un punto clave dentro de los planes de riesgo, pues la tecnología evoluciona constantemente y con ella los mecanismos y estrategias de los cibercriminales para realizar ataques. Por eso, es importante estar un paso adelante realizando pruebas constantes de penetración al sistema, desde el comienzo de la construcción de software, que den un diagnóstico exhaustivo de sus vulnerabilidades. Así, se puede pasar a solucionarlas para minimizar los riesgos de situaciones críticas a futuro.
“La ciberseguridad no es algo que se deba tomar a la ligera, pues nuestros expertos identificaron en el 2021 al menos una vulnerabilidad de severidad alta o crítica en casi el 47% de los sistemas que evaluaron. Es por eso que no solo se debe capacitar a los empleados para detectar eventos extraños e identificar las tácticas de los cibercriminales, sino que también hay que adelantar planes de respuesta, que se anticipen a futuros ataques para minimizar los riesgos y consecuencias que estos puedan traer a las organizaciones”, dice Felipe Gómez.