Por: Roberth Chávez Jara, Gerente de Ciber Riesgo, Banco Pichincha.
Los datos sobre ciber-incidentes siguen siendo alarmantes: el número de ciberataques se ha duplicado desde el inicio de la pandemia de COVID-19, y el riesgo de pérdida es extremadamente alto, ascendiendo a casi USD 2.5 mil millones de dólares[1]. Estos datos revelen que la mayoría de las empresas aún deben fortalecer enfoques preventivos para gestionar los riesgos asociados con ciberseguridad, y abordar escenarios de ataque más comunes o responder ante las tácticas empleadas por los actores de amenazas del momento. Además, es necesario desarrollar capacidades preventivas que permitan identificar y descubrir (en realidad adelantarse) nuevos “issues” o problemas de ciberseguridad relacionados con el entorno tecnológico de las empresas, tanto desde una perspectiva interna como externa.
La prevención en ciberseguridad y seguridad de información es un elemento importante que ayuda a la construcción y el mantenimiento de la confianza digital de una organización al proteger los datos, preservar la reputación de la marca, garantizar el cumplimiento normativo y fomentar relaciones comerciales sólidas y seguras.
Cualquier medida preventiva es la mejor opción cuando hablamos de ciberseguridad, debido al potencial para evitar que “algo”, que puede convertirse en un evento se vuelva un incidente para la organización. Sin embargo, dichas medidas tienen sentido si abordan el escenario de riesgo específico, me refiero al hecho de tratar de proteger un libro con un antivirus. Si bien el antivirus es una herramienta de ciberseguridad útil, puede no ser efectivo si el libro no está expuesto a amenazas digitales.
Las medidas preventivas deben ser adaptadas a los escenarios de riesgos específicos de las organizaciones e implican también un análisis costo-beneficio para determinar qué medidas de seguridad son efectivas para mitigar los riegos identificados, dado que las medidas se relacionan directamente con el presupuesto asignado al departamento responsable de la ciberseguridad y/o seguridad de información en las empresas.
En términos generales, un plan de prevención en ciberseguridad actúa como una barrera que protege a una organización de posibles ataques, impidiendo que estos afecten a las empresas y sean imperceptibles para clientes, colaboradores y proveedores. Un plan preventivo efectivo debe cumplir con ciertos aspectos:
- Sea oportuno, es decir debe estar activo y en funcionamiento antes de que los eventos ocurran.
- Automatizados, evitando que el factor humano incorpore potenciales fallas en su ejecución
- Tenga continuidad, operando de forma constante es decir asegurando que funcione las 24 horas del día, los 7 días de la semana, los 365 días del año, para proporcionar una protección ininterrumpida.
Además, la adopción de un marco de referencia mundialmente aceptado como NIST por ejemplo, permite adoptar un enfoque práctico y pertinente en la era de la transformación digital. Este marco permite incorporar la ciberseguridad desde el inicio de la concepción de iniciativas y los procesos empresariales. NIST abarca una amplia gama de aspectos, desde la identificación de activos de información importantes para el cumplimiento de los objetivos del negocio hasta la estrategia de recuperación en caso de incidentes, pasando por su protección y las capacidades para detectar eventos relacionados con dichos activos.
Es común observar que muchas empresas, al enfrentarse a situaciones relacionadas con la ciberseguridad, pasan directamente de un estado de «normalidad» a uno de «crisis», sin considerar la posibilidad de transitar primero por un estado intermedio de «alerta». Este estado de «Alerta» implica estar en un estado de preparación y vigilancia constante debido a la detección de amenazas potenciales o la identificación de actividades anómalas en el entorno de ciberseguridad de la organización. Este nivel de alerta puede ser activado por la detección de intrusiones, intentos de acceso no autorizado, actividad sospechosa en la red o incluso advertencias provenientes de organismos de seguridad cibernética. Adoptar este enfoque preventivo permite a las organizaciones anticiparse a posibles amenazas y activar mecanismos de protección adecuados para mitigar los riesgos antes de que se conviertan en crisis.
Para llegar a un estado de alerta, implica en primer lugar, saber cuándo hemos llegado al mismo, y las métricas como los Indicadores Claves de Riesgo (KRI, por sus siglas en inglés Key Risk Indicator) son básicos para determinar si estamos a las puertas de un inminente ataque. Por ejemplo: el aumento repentino en el número de solicitudes a una aplicación en periodos de tiempo cortos o el incremento en vulnerabilidades, entre otros; podrían ser elementos que nos ayuden a determinar si estamos en un estado de alerta y requiere que los planes de detección se afinen mucho más con el objetivo de que nada relevante pueda pasar por debajo del radar.
El estado de alerta en ciberseguridad se vincula estrechamente con la prevención, ya que permite a la organización tomar medidas proactivas para fortalecer sus defensas y estar preparada para enfrentar posibles amenazas. Al monitorear de manera constante su infraestructura tecnológica, la empresa puede identificar y responder rápidamente a cualquier actividad sospechosa que pueda indicar un posible ataque.
Cuando se enfrenta a un posible incidente de ciberseguridad, el principal mecanismo es la detección y contención. Esta acción evita la propagación del incidente en el resto del ecosistema tecnológico de las organizaciones. Las empresas deben estar en la capacidad de bloquear las acciones maliciosas relacionadas con un ataque o, al menos, aislar los elementos involucrados para asegurar que el resto de la infraestructura no sea afectada y mantener la continuidad de las operaciones del negocio.
[1] Artículo IMF: Rising Cyber Threats Pose Serious Concerns for Financial Stability (imf.org)