Por: Conrad Prince Ex Director Adjunto de GCHQ

El riesgo cibernético es un desafío para las empresas, grandes y pequeñas, y están creciendo significativamente en escala e impacto. Para las juntas de todos los sectores, esto debe abordarse como un riesgo de máxima prioridad. A nivel de la junta, mientras impulsa el crecimiento, se espera que el C-Suite anticipe y gestione el riesgo de seguridad cibernética como una prioridad clave.

El crimen cibernético es un gran negocio. Los ataques de ransomware, en los que las empresas quedan "bloqueadas" de sus sistemas informáticos a menos que paguen a los atacantes por una "clave", han crecido drásticamente, casi duplicándose en la primera mitad de 2021, mientras que el rescate promedio pagado aumentó en un 82%. JBS, la empresa de procesamiento de carne más grande del mundo, admitió haber pagado un rescate de $11 millones para recuperar el acceso a sus datos y sistemas.

Las empresas de todo el mundo, de todos los tamaños y tipos, son el objetivo de los ataques criminales de ransomware. Estos ataques no solo retienen los datos de una empresa para rescatarlos, sino que a menudo provocan que las operaciones comerciales se detengan. Y la recuperación lleva tiempo y puede ser muy costosa y disruptiva para el negocio.

EL RIESGO CIBERNÉTICO ES UN DESAFÍO PARA LAS EMPRESAS, GRANDES Y PEQUEÑAS

Las víctimas de alto perfil de ransomware en lo que va de 2021 incluyen Colonial Pipeline, el oleoducto de combustible más grande de los Estados Unidos, que tuvo que cesar sus operaciones por un período; la empresa noruega de tecnología energética Volue, a la que se pidió un rescate, lo que provocó el cierre de las instalaciones de agua y tratamiento de agua que afectó al 85 % de la población noruega; y Transnet, el operador portuario sudafricano fue atacado por ransomware, lo que provocó interrupciones y demoras en varios de los puertos más activos de Sudáfrica. Un informe afirma que casi la mitad de los hospitales de EE. UU. desconectaron sus redes en los seis meses hasta agosto de 2021 debido al ransomware, ya sea tomando medidas proactivas para evitar una infracción o porque se vieron obligados a hacerlo por una infección de malware grave.

"En realidad, las medianas empresas tienen las mismas probabilidades de ser atacadas que las grandes corporaciones. Los casos de los medios de comunicación de alto perfil fomentan una actitud de 'eso no nos pasará a nosotros', lo que corre el riesgo de aumentar la vulnerabilidad".

Sheila Pancholi, socia y líder nacional de aseguramiento de riesgos tecnológicos en RSM UK, fue citada en el Informe de seguridad cibernética de la economía real de RSM UK

Pancholi continúa: “A diferencia de las grandes organizaciones que tienen departamentos dedicados a la seguridad cibernética, las organizaciones medianas lamentablemente se encuentran en una situación en la que reaccionan al delito cibernético solo después de haber sido objeto de un ataque. Esto puede ser costoso y disruptivo para las operaciones comerciales. Para muchas empresas más pequeñas, simplemente podría paralizar el negocio”.

Una tendencia preocupante es que los delincuentes ahora están comenzando a lanzar ataques cibernéticos con un grado de complejidad que alguna vez estuvo reservado a los actores estatales. El ataque de ransomware a la empresa de software Kaseya en julio de 2021 es un ejemplo. Este fue el llamado "ataque de la cadena de suministro", utilizando una falla previamente desconocida en la tecnología de Kaseya, infectó a los clientes de la compañía y a cientos de sus clientes, evadiendo las defensas tradicionales como el software antivirus. La banda criminal responsable exigió un rescate récord de 70 millones de dólares.

Los estados de todo el mundo también están utilizando la cibernética, principalmente para espiar, incluido el espionaje industrial y el robo de propiedad intelectual. Un informe reciente muestra que las operaciones cibernéticas de los estados nacionales se han duplicado desde 2017, con un tercio de estos ataques aparentemente dirigidos a empresas. Uno de los ejemplos recientes de más alto perfil fue el ataque ruso a la empresa tecnológica estadounidense SolarWinds, que explotó vulnerabilidades en productos tecnológicos confiables para violar las defensas de miles de organizaciones.

Es probable que las empresas involucradas en investigación de vanguardia, incluida la investigación en salud, tecnología, defensa y seguridad, sean objetivos de ataques cibernéticos estatales, al igual que las empresas que son proveedores del gobierno y podrían usarse como una puerta trasera para alcanzar los objetivos del gobierno.

En realidad, las empresas del mercado intermedio tienen las mismas probabilidades de ser atacadas que las grandes corporaciones.

LA SEGURIDAD CIBERNÉTICA COMIENZA EN LA PARTE SUPERIOR

Las juntas deben centrarse en lo cibernético como una prioridad clave. Muchos lo son, pero la imagen aún es mixta en diferentes sectores. El punto de partida es que la Junta reconozca la cibernética como un riesgo, desarrolle una buena comprensión de lo que necesitan proteger y cuánto riesgo están dispuestos a asumir.

Además, deben obtener una evaluación independiente de su perfil de riesgo cibernético y la efectividad de sus protecciones de seguridad cibernética actuales. En base a esto, las empresas deben financiar programas de mejora cibernética y asegurarse de tener acceso a las habilidades cibernéticas que necesitan, incluido el asesoramiento de expertos independientes a nivel de la Junta, si es necesario. Cada vez más, las empresas consideran la cibernética como un problema de resiliencia y ponen en marcha planes para garantizar la mínima interrupción de las operaciones cuando ocurre un ataque, en lugar de asumir que nunca se logrará.

EL RIESGO DE LA CADENA DE SUMINISTRO

Comprender la cadena de suministro es fundamental, ya que esta es cada vez más una ruta preferida por los atacantes. La organización de seguridad cibernética de la UE ha pronosticado que los ataques cibernéticos a la cadena de suministro se cuadriplicarán durante 2021. Obtener garantías de la seguridad de la cadena de suministro es difícil, pero es importante que los estándares cibernéticos sean una parte central de los acuerdos comerciales con los proveedores. Lo mismo se aplica a la Nube. La migración a la nube puede generar eficiencias significativas, pero es esencial que las juntas comprendan que la subcontratación de servicios a proveedores de la nube no significa que hayan subcontratado el riesgo.

Desde la perspectiva del mercado medio, Pancholi dice: “A medida que se introducen nuevas tecnologías, como las aplicaciones web, no se prueban de manera efectiva y la seguridad se convierte en una idea de último momento en lugar de que los desarrolladores adopten el concepto de seguridad por diseño. La mayor interconectividad y los puntos finales brindan más oportunidades para que los ciberdelincuentes intercepten sistemas o identifiquen puntos débiles que pueden explotarse”.

INTERVENCIÓN GUBERNAMENTAL

Ser capaz de demostrar altos estándares cibernéticos es cada vez más importante a medida que los gobiernos de todo el mundo intensifican la regulación de privacidad de datos y cibernéticos, y adoptan nuevas medidas para abordar el desafío cibernético.

La Administración del Ciberespacio de China ha respondido a las preocupaciones sobre los ataques a la infraestructura de información crítica con nuevas regulaciones que requieren que las organizaciones tengan un plan de crisis, realicen simulacros de crisis e informen incidentes. La nueva legislación en Australia otorga a las agencias criminales nuevos poderes significativos para interrumpir las sospechas de actividades cibercriminales. En Europa, la UE presentó una nueva estrategia de ciberseguridad de la UE a finales de 2020, y el Reino Unido anunciará una nueva estrategia cibernética antes de finales de este año.

Desde que asumió el cargo en enero, el presidente Biden de EE. UU. ha hecho de la seguridad cibernética una parte importante del esfuerzo de su administración, con un programa de gran alcance respaldado por una inversión de $ 2 mil millones. Las medidas anunciadas hasta ahora incluyen la introducción de nuevos requisitos de seguridad cibernética para las agencias gubernamentales, la imposición de sanciones a Rusia por sus actividades de espionaje cibernético y el desarrollo de estándares de seguridad cibernética para infraestructura crítica.

Biden también ha enfatizado la importancia de las asociaciones público-privadas. Celebró una cumbre de alto perfil en agosto de 2021 con las principales empresas tecnológicas, bancos y proveedores de infraestructura crítica de EE. UU. Posteriormente, varios participantes anunciaron compromisos de financiación por un total de más de $ 30 mil millones para mejorar la seguridad cibernética y brindar capacitación para impulsar la fuerza laboral de seguridad cibernética.

¿QUÉ LE DEPARA EL FUTURO A LA SEGURIDAD CIBERNÉTICA EN EL MERCADO MEDIO?

El sector privado, en particular las empresas del sector en crecimiento que están emergiendo en su expansión como objetivos potencialmente bien financiados para los ataques, tendrán que ver cada vez más la amenaza cibernética como real.

Según Pancholi, “Las empresas que están manejando este desafío de manera más efectiva son aquellas con un liderazgo totalmente comprometido. Los ejecutivos y miembros del C-Suite deben implementar nuevas tecnologías innovadoras junto con procesos sólidos de gestión de riesgos. Incorporar una cultura de seguridad en las empresas es la mejor protección contra la amenaza cibernética, y esto debe comenzar desde arriba”.

A nivel de la junta, mientras impulsa el crecimiento, se espera que el C-Suite anticipe y gestione el riesgo de seguridad cibernética como una prioridad clave.

Conrad Prince es el exdirector adjunto de GCHQ, la agencia de seguridad e inteligencia cibernética del gobierno del Reino Unido, y es asesor principal de una variedad de organizaciones estatales y del sector privado.