“La dimensión de las pérdidas financieras por un ciberataque está relacionada con cómo se incorpora la ciberseguridad en las operaciones de una empresa”
El exceso de confianza, una puerta abierta para los ciberdelincuentes
El aumento en la frecuencia, severidad e impacto de los ciberataques sufridos tanto por las compañías como por particulares no ha dejado de ocupar titulares en los últimos tiempos. Los riesgos no han dejado de aumentar, en parte, por una mayor integración de las actividades profesionales y cotidianas en los sistemas de información. Desde 2018 estos ataques se han incremento en más de un 30%, según datos de ISACA, y no podemos descartar que este dato se incremente ante la actual situación geopolítica derivada de la invasión de Rusia en Ucrania.
El pasado mes de marzo, el Gobierno elevó al nivel 3 (en una escala de cinco grados) su alerta de ciberseguridad. Además, pretende aprobar una batería de medidas “sin precedentes”, según la ha calificado la ministra de Asuntos Económicos y Transformación Digital, Nadia Calviño, dentro del nuevo Plan Nacional de Ciberseguridad, para el que se destinarán 1.200 millones de euros.
Pese a este evidente incremento de los riesgos hay quiénes se sienten blindados frente a los ciberdelincuentes. Nueve de cada diez directivos españoles consideran que su madurez de datos es superior a la de sus competidores y se sienten totalmente protegidos frente a una posible ciberamenaza, según el informe C-Suite Barometer. Este exceso de confianza podría considerarse una puerta abierta a los ciberdelincuentes.
Reforzar la defensa en nuestra organización
Ante esta situación, y pese a la ausencia de una normativa, es importante que las empresas refuercen sus sistemas de defensa en base a un triple enfoque centrado en la empresa, los departamentos y los sistemas. El primero se basa en un enfoque estratégico, para entender qué información es crítica y puede ser buscada por los ciberdelincuentes y, en su caso, cuál sería el impacto del ataque.
El segundo debe tener en cuenta las limitaciones de recursos para mitigar todas las amenazas y, a través de un enfoque táctico, busca asignar una prioridad para cada riesgo en función de los objetivos del departamento.
Por último, los sistemas requieren de un enfoque operativo para identificar las posibles amenazas a un sistema, sus vulnerabilidades y probabilidad de ser explotadas. A partir de esto, se deberían evaluar los controles de seguridad que operan sobre los sistemas y relacionar su resultado con las amenazas identificadas.
Por su parte, el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) de Estados Unidos propone revisar los controles implementados por una empresa en cada una de las siguientes cinco actividades críticas: la identificación de los sistemas, personas, activos, datos y capacidades; la protección de los sistemas que garantice la prestación de servicios críticos; la detección de los eventos que puedan suponer un ataque o intrusión; la respuesta a un incidente de ciberseguridad detectado y, finalmente, la recuperación en caso de haber sido impactados por un incidente.
Pero si, pese a todo, es atacado, es recomendable seguir unas pautas que comienzan por parar todas las máquinas y desconectarse de Internet con el fin de aislar el virus lo antes posible, junto con la activación del protocolo de respuesta ante incidentes. También es recomendable solicitar la cobertura de la póliza de ciberseguridad, en caso de tenerla, y acudir a las fuerzas y cuerpos de seguridad del estado para realizar una denuncia de los hechos, valorando también el impacto de las pérdidas.
Además, si se ha producido una sustracción de información de datos de carácter personal se debe notificar la brecha de seguridad tanto a los afectados como a la Agencia Española de Protección de Datos en un plazo de 72 horas. Todo esto debe desembocar también en un informe forense sobre cómo se ha producido dicho ataque, así como un plan de acción.
Con todo ello, recibir un ciberataque y, en su caso, la dimensión de las pérdidas financieras del mismo, estarían estrechamente relacionadas con cómo la compañía estaría incorporando dentro de su planificación estratégica y objetivos del negocio, la ciberseguridad como eje transversal en sus operaciones.
Por Luis Hernández, senior manager de Auditoría IT de Mazars
