Cómo crear resiliencia cibernética antes de que ocurra el próximo ataque
Las empresas que tienen más éxito al responder a los ataques cibernéticos aprovechan la experiencia de sus colaboradores ante las crisis, la comunicación constante y el liderazgo compartido.
Antes de que las tensiones entre Rusia y Ucrania se desembocaran en una guerra, aumentó la actividad cibernética en ambos países.
Mientras Ucrania se preparaba para una invasión, diversos ciberataques rusos se dirigieron a los bancos y agencias gubernamentales del país, además los piratas informáticos intentaron derribar la red eléctrica ucraniana.
Zelenski a líderes de Davos: “Debemos actuar más rápido contra Rusia”
Rusia, a su vez, se convirtió en objetivo de Anonymous, un colectivo “hacktivista”, que en los primeros días de la invasión tocó el himno nacional ucraniano en la televisión estatal rusa junto con imágenes de la guerra.
El aumento de la actividad cibernética en torno a la invasión de Ucrania, documentado en un informe de Microsoft, avivó la preocupación de los gobiernos y empresas los cuales temieron quedar atrapadas en el fuego cruzado digital.
En 2017, un ataque cibernético en un programa de preparación de impuestos de Ucrania provocó la inhabilitación de aeropuertos, ferrocarriles y bancos dentro de aquella nación, cuyas consecuencias alcanzaron a una gran cantidad de empresas globales, esto causó daños económicos que ascendieron a más de 10 mil millones de dólares.
Los conocimientos de ciberataques pasados pueden ayudar a las empresas a prepararse y responder con más éxito a amenazas futuras.
Un estudio basado en datos de VisibleRisk, una empresa conjunta entre Moody’s y Team8, sugiere que las organizaciones que responden de manera deficiente a un ataque acumulan pérdidas que son 2.8 veces mayores que las de las empresas que no muestran signos de respuesta deficiente.1
Las empresas que responden con éxito a los ciberataques, por otro lado, pueden limitar el efecto negativo sobre la confianza de los accionistas e incluso utilizar la crisis como una oportunidad.
Para comprender las mejores prácticas de respuesta y cómo las empresas pueden evitar errores comunes, recurrimos a dos fuentes de información:
- Realizamos entrevistas en profundidad con directores ejecutivos, directores financieros, directores de información, directores de seguridad de información y otros líderes, cuyas empresas habían sufrido ataques cibernéticos graves anteriormente, incluidos, en varios casos, los ataques de ransomware de Ucrania de 2017.
- Recopilamos datos de observación en los principales centros de capacitación en ciberseguridad que ayudan a los ejecutivos a prepararse para las crisis mediante la simulación de ciberataques realistas en sus empresas.
Ciberresiliencia: Un enfoque integral para el cambio tecnológico
¿Qué no funciona?
Las personas nunca vienen a trabajar esperando un ciberataque, por lo que cuando sucede, es abrumador.
Es así como los líderes se enfrentan repentinamente a problemas desconocidos para los cuales han recibido poca o nula capacitación formal.
Observamos tres errores comunes que cometen las personas que inhiben la recuperación exitosa de un ciberataque.
Establecer plazos poco realistas para la recuperación
Un líder senior nos dijo que el peor día después de un ciberataque, no es el día uno o el día dos, el peor día llega después de dos semanas de gran incertidumbre y poco sueño, cuando te das cuenta de que le llevará muchas más semanas recuperarse.
El incumplimiento de plazos poco realistas desmoraliza a la fuerza laboral y a los ingenieros involucrados en la recuperación digital.
Antes de apresurarse a establecer plazos estrictos, los líderes deben obtener la mayor cantidad de información posible para ayudar a comprender la escala total y el impacto de un ataque.
Internalización irracional
La mayoría de los ciberataques graves en estos días han alcanzado un nivel de sofisticación que hace que sea difícil, mas no imposible, que las empresas se recuperen por su cuenta.
Una empresa que estudiamos esperó cuatro días antes de buscar ayuda externa. Durante esos cuatro días, el equipo avanzó poco en la búsqueda de la causa del ataque, el cierre de la vulnerabilidad o la recuperación y reconstrucción de los sistemas.
El apoyo externo puede provenir de especialistas en respuesta ante este tipo de incidentes, bufetes de abogados, consultores de relaciones públicas, agencias gubernamentales, policía y proveedores. Incluso se sabe que los competidores ofrecen recursos y espacios de oficina.
Culpa innecesaria
Los altos ejecutivos de algunas empresas que estudiamos denunciaron abiertamente a su departamento de TI por permitir el ataque.
La ira de los líderes alentó a otros empleados a involucrarse en un comportamiento similar. En un caso, un administrador de TI senior renunció en el acto y salió del edificio, regresando solo después de que un ejecutivo lo persiguió, se disculpó y le aseguró que sus habilidades se necesitaban desesperadamente.
El momento de analizar y corregir cualquier error en el proceso o el comportamiento llega más tarde, una vez que se ha restablecido la estabilidad. A raíz de un ataque, cualquier energía que no se gaste en resolver los problemas solo crea una presión adicional y refuerza la parálisis.
Conoce a backdoor, el virus que permite que alguien controle tu computadora a distancia
Tres cosas que las empresas con “resiliencia cibernética” hacen bien
Los detalles precisos de cómo una empresa debe responder a un ciberataque dependen de la naturaleza del ataque y del tipo de negocio afectado. Pero a un nivel superior, los siguientes elementos son fundamentales para responder con éxito a cualquier ataque.
Planifica y prepárate teniendo en cuenta los casos extremos.
“No hay prácticamente nada que puedas hacer para evitar que ocurra un ataque cibernético, por lo tanto, se trata de estar preparados para cuando suceda”.
Desafortunadamente, nuestra investigación muestra que la mayoría de las empresas dedican la mayor parte de su tiempo, dinero y atención a proteger su infraestructura de TI mientras descuidan otros elementos de resiliencia organizacional.
Simplemente tener un plan no será suficiente: las empresas deben asegurarse de que estará disponible y ejecutable cuando sea necesario.
Descubrimos que algunas empresas tenían sus planes almacenados en forma electrónica en un servidor que luego fue atacado por un ransomware.
Otros que almacenaron sus planes en forma impresa todavía tuvieron problemas porque la ejecución dependía de los sistemas de telefonía y correo electrónico de la empresa que se habían visto comprometidos.
Tales problemas subrayan cuán crítico es integrar los elementos clave de cualquier plan en el pensamiento y el comportamiento de las personas que tendrán que ejecutarlo.
Tanto en los centros de capacitación que observamos como en nuestro trabajo de campo, encontramos consistentemente que los equipos ejecutivos con experiencia previa en entornos inciertos, dinámicos y de alto estrés tendían a superar a sus contrapartes con menos experiencia.
Los líderes con experiencia previa en crisis cibernéticas o equipos con experiencia en el ejército, servicios de emergencia o de aviación generalmente se mantuvieron más tranquilos y tomaron decisiones más acertadas en medio del caos.
Demostraron estar más capacitados para pensar con claridad, comportarse de manera innovadora y adaptarse rápidamente a los cambios en la empresa y su entorno.
Por el contrario, los equipos con poca experiencia previa tendían a confiar en las rutinas, esperando en vano que estas fueran adecuadas.
En la construcción de resiliencia cibernética, como en gran parte de la vida, la experiencia (que se puede obtener en simulaciones de crisis) es de hecho el mejor maestro.
No delegues, lidera
Los altos ejecutivos que han guiado a sus empresas a través de ciberataques experimentan un cambio de mentalidad importante, según la experiencia de los entrevistados.
Ellos ahora descartan cualquier creencia previa de que la carga de responder a los ciberataques recae principalmente en sus especialistas en tecnología.
Reconocen que una respuesta exitosa es una cuestión de responsabilidad colectiva y liderazgo organizacional.
De hecho, los ataques cibernéticos comúnmente dejan a las empresas con todo menos con tecnología. Como dijo un CIO: “De todos modos, ya no es un problema de TI, porque TI casi siempre está inactivo”.
En su empresa, los recursos humanos tenían que seguir pagando a los empleados sin acceso a los datos de los empleados. Para hacerlo, Recursos Humanos le indicó al banco que reflejara los pagos del mes anterior.
La función de la cadena de suministro en otra empresa solicitó a varios proveedores que proporcionaran datos previamente compartidos. Al combinar información de todos los proveedores, pudo construir un conjunto de datos lo suficientemente bueno como para continuar con la logística de entrada y salida.
Tales soluciones innovadoras requieren colaboración dentro y entre organizaciones, colaboración que debe permitir el liderazgo superior.
El mismo imperativo se aplica para decidir qué procesos comerciales y sistemas de TI son más críticos y, por lo tanto, deben priorizarse en la recuperación.
Es probable que cada unidad de negocio y función vea sus propias prioridades como esenciales. Un CEO recordó: “Tuvimos 1000 gerentes en todo el mundo gritando y gritando que su aplicación es lo más importante. Alguien tenía que decidir qué iría primero”. Ese alguien debe ser la alta dirección.
Dentro de la función de TI, una técnica particularmente efectiva que observamos es dividir a los miembros del personal en dos equipos:
Un equipo es responsable de la remediación: investigar la causa raíz del ataque, cerrar las vulnerabilidades y prevenir ataques secundarios.
El otro equipo recupera y reconstruye sistemas. Ambos equipos trabajan de forma independiente, lo que permite que cada uno se concentre en la tarea en cuestión y nada extraño.
Este tipo de coordinación eficaz entre empresas acelera la toma de decisiones en medio de las crisis. También conduce a una recuperación más rápida y reduce los costos.
¿Qué es el grooming y cómo puedes cuidar a tu familia de este delito cibernético?
Proporciona una comunicación abierta y consistente.
Cuando ocurre un ciberataque, los ejecutivos se enfrentan a la decisión de qué, cómo, cuánto y cuándo comunicar que fueron parte de una emboscada a los accionistas y partes interesadas de la empresa.
Es cierto que algunos ciberataques excepcionales pueden alcanzar un nivel de sensibilidad o involucrar a entidades gubernamentales vitales que hacen que la comunicación completa y transparente sea inapropiada. Pero esas son excepciones.
Los resultados de nuestra investigación apuntan a que optar por tener una comunicación transparente es lo mejor, además, mantener un ataque en secreto es difícil, ya que incluso en algunas ocasiones algunos empleados informan a personas externas de la organización sobre el ataque, sin que ellos mismos se den cuenta.
Por el contrario, ventilar los hechos ayuda a dar forma a la narrativa en torno a la historia y puede ayudar a proteger la reputación de la empresa.
Como señaló el CIO de una empresa de fabricación: “Si la gente comienza a verlo como un perdedor, incompetente y lento para actuar, entonces pierde aliados y partes interesadas clave, y rápidamente puede ir cuesta abajo”.
La comunicación transparente también puede crear oportunidades estratégicas.
Cumplir con la estrategia de comunicación elegida es tan importante como elegir el enfoque correcto.
Observamos que los equipos y organizaciones menos exitosos carecían de cohesión en sus estrategias de comunicación y oscilaban entre la transparencia y el secreto, parecían haber perdido el control y, finalmente, la confianza de sus clientes y accionistas.
A medida que aumenta el riesgo de futuros ciberataques, lo que está en juego para las empresas y los líderes no podría ser mayor.
Los hallazgos principales de nuestra investigación (que el éxito o el fracaso después de un ataque cibernético depende del liderazgo en toda la organización, de obtener experiencia práctica en crisis por adelantado y de una comunicación constante) brindan orientación para que los altos ejecutivos naveguen con éxito las amenazas futuras.
ACERCA DE LOS AUTORES
Manuel Hepfer, Ph.D., es analista de investigación en ISTARI, una plataforma de seguridad cibernética establecida por la firma de inversión Temasek para ayudar a las empresas a desarrollar resiliencia cibernética. También es investigador afiliado en la Escuela de Negocios Saïd de la Universidad de Oxford.
Thomas B. Lawrence es profesor de gestión estratégica en Saïd Business School.
Julian Meyrick es socio gerente y vicepresidente de Security Strategy Risk & Compliance en IBM.
Pompeo D’Urso es un experto global en ciberseguridad y respuesta a incidentes. Anteriormente trabajó en IBM, donde brindó capacitación ejecutiva en el Centro de Comando de Seguridad de la empresa.
REFERENCIAS
1. “IRIS 20/20 Xtreme Information Risk Insights Study,” PDF file (Leesburg, Virginia: Cyentia Institute, 2020), www.cyentia.com.
2. R. Safi, G.J. Browne, and A.J. Naini, “Mis-Spending on Information Security Measures: Theory and Experimental Evidence,” International Journal of Information Management 57 (April 2021): 1-46.