Los riesgos ocultos de un ciberataque

Un cambio radical está teniendo lugar en la gestión de riesgos cibernéticos. La idea de que los ciberataques son cada vez más probables, y quizás inevitables, está afianzándose entre ejecutivos y miembros de las juntas directivas.

Los líderes empresariales se están dando cuenta de que hemos interconectado el mundo con tecnologías diseñadas para compartir información, no para protegerla. Como resultado, muchas organizaciones están empezando a adoptar lo que Deloitte llama un enfoque “Secure Vigilant Resilient” ante los riesgos cibernéticos. Esta óptica empresarial permite un correcto balance entre las inversiones en ciberseguridad con esfuerzos para desarrollar una mayor visibilidad de las posibles amenazas, y la capacidad de responder de una forma más rápida y efectiva a los sucesos ocasionados por un ciber-incidente.

Con el fin de priorizar apropiadamente, las organizaciones deben entender los tipos de ciber-riesgos a los que se pueden enfrentar y han de ser capaces de medir las probabilidades de que puedan ocurrir. Asimismo, necesitan entender las consecuencias de estos riesgos en caso de afección.

Hay muchas maneras en las que un ciberataque pueden afectar una organización, y el impacto dependerá directamente de la naturaleza y severidad de dicho ataque. Existen 14 factores de impacto (ver estudio) que los líderes empresariales deben considerar cuando se preparan para posibles ciber-incidentes.

Algunos nos son más familiares, como los asociados con filtraciones de datos. Sin embargo, otros son de un alcance mayor e intangibles, siendo más difíciles de cuantificar y a menudo ocultos de la luz pública.

Comprender los ciber-riegos por los que puede ser afectada una organización, requieren conocimiento del modelo de negocio, procesos de operaciones, tendencias, niveles de madurez, y vulnerabilidades específicas de la organización que generalmente también son extrapolables al conjunto de su industria y sector.

Podemos dividir en tres fases el proceso de respuesta ante estos 14 factores de impacto que pueden afectar a una empresa, fases que suelen superponerse y prolongarse en el tiempo dependiendo del tipo de ciberataque.

1.      Clasificación del incidente. Esta fase tiene lugar los días o semanas siguientes al descubrimiento del ciberataque. Durante esta fase los líderes de la organización tienen que tomar decisiones y acciones en el corto plazo, incluyendo la comunicación con agentes externos y la formulación de estrategias para la continuidad de las operaciones. Esta fase incluye un análisis exhaustivo de lo ocurrido, pasos inmediatos para detenerlo y una revisión urgente de los controles de seguridad para ponerle remedio lo antes posible.

2.      Gestión del impacto. Esta fase tiene lugar durante las semanas o meses después del impacto, con el fin de reducir y abordar las consecuencias directas del incidente. El flujo de trabajo puede variar dependiendo de la naturaleza del ataque, pero es probable que tenga que incluir esfuerzos para fortalecer la infraestructura interna y ajustar los procesos de operaciones; reducir el riesgo para clientes, proveedores y socios; llevar a cabo procesos de ciber-auditorías e implementar los descubrimientos que estas nos proporcionen.

3.      Recuperación empresarial. Es la última fase del proceso y puede durar meses o incluso años. Los esfuerzos se centran en reparar los daños ocasionados al negocio y prevenir que un suceso similar pueda volver a ocurrir en el futuro. La recuperación de las actividades de las empresas también es variable, pero puede incluir la reconstrucción o el rediseño de los procesos de negocio, sistemas, aplicaciones, u otros activos; el desarrollo de estrategias para la reconstrucción de la reputación corporativa, fuentes de ingresos y ventaja competitiva; inversiones en la mejora de la seguridad, sistemas de detección, o capacidad de preparación – todo encaminado a una única meta, salir de la crisis más fortalecido.

En nuestro estudio “Los riesgos ocultos de un ciberataque” se analizan tanto los posibles riegos a los que se puede enfrentar una empresa, como los costes que supone para la empresa la afección de una ciber-crisis, algunos pueden serte más familiares (la punta del iceberg) pero te sorprenderá conocer el alcance real y las posibles consecuencias de una amenaza de este tipo (la base del iceberg).