Cuatro estrategias de ciberseguridad para pequeñas y medianas empresas

En marzo del año pasado, la IA sufrió un ciberataque sofisticado y muy dirigido que explotaba una vulnerabilidad de día cero en varias empresas. La IA detectó, investigó y contuvo el ataque, y el sistema descubrió que se trataba de una amenaza completamente nueva. Dos semanas después, esta campaña se atribuyó públicamente a un actor de un estado-nación chino conocido como APT41. Entre las organizaciones amenazadas por el ataque había gobiernos, entidades, infraestructuras críticas y grandes empresas, pero también, sorprendentemente, medianas empresas.

Hemos entrado en una nueva era de ciberamenazas. Si se midiera como país, la ciberdelincuencia sería la tercera economía más grande del mundo después de EE. UU. y China. A menudo se considera que las medianas empresas son un punto débil para los ciberdelincuentes. Entre los ciberdelincuentes existe la idea errónea de que las medianas empresas hacen muy poco para reforzar su ciberseguridad, lo que las convierte en un objetivo atractivo. Como en el caso del APT41, suelen ser atacados como vía hacia objetivos de mayor valor, sistemas críticos e información altamente clasificada. La mayoría tiene previsto realizar, o ya ha empezado a realizar, los cambios organizativos radicales e impulsados por la tecnología que definen la transformación digital, y una mayoría cada vez mayor afirma que estos ajustes pronto serán esenciales para su competitividad.

Sin embargo, el ciberdesafío al que se enfrentan las medianas empresas es multifacético. De hecho, carecen de recursos y se ven particularmente afectados por la escasez mundial de ciberhabilidades. Los equipos de seguridad pequeños o inexistentes tienen la tarea de defender a la empresa de toda la gama de ciberamenazas (desde campañas sofisticadas, novedosas y segmentadas hasta ataques rápidos de aplastamiento y captura), al tiempo que gestionan una fuerza laboral cada vez más distribuida y una infraestructura digital compleja. El desafío va más allá de los recursos adecuados: las amenazas a las que se enfrentan estas organizaciones son demasiado rápidas o sigilosas como para que las personas las enfrenten y el número de nuevas vías para que los piratas informáticos entren está aumentando a un ritmo demasiado rápido como para que los equipos de seguridad las supervisen.

No podemos detener las infracciones

El reciente Ataque al oleoducto colonial demostró el perjudicial efecto dominó de las medidas de mano dura adoptadas para frenar el ransomware. Para contener la brecha, los operadores cerraron 5.500 millas de oleoductos, que transportan el 45% del suministro de combustible de la costa este. El incidente se produjo poco después de un ataque de ransomware en Scripps Health, un importante sistema de salud de San Diego, que llevó a la suspensión del acceso a su portal y sitio web en línea para pacientes. La red de Scripps no estuvo en pleno funcionamiento durante semanas después del suceso.

Este tipo de perturbaciones son intolerables para las medianas empresas. No solo es potencialmente perjudicial para las relaciones con los clientes y para la reputación general de la organización, sino que el coste puede ser enorme. En el caso de los ataques de ransomware, el coste de recuperación tras un cierre suele ser 10 veces superior a la cantidad exigida por los atacantes en concepto de rescate.

Las soluciones de seguridad tradicionales intentan impedir que los atacantes penetren en el sistema mediante la identificación de las amenazas en función de los ataques históricos. Clasifican los ataques conocidos como «malos» y los protegen contra ellos sobre esta base, lo que se conoce comúnmente como enfoque de «reglas y firmas». Sin embargo, lo que hemos aprendido en la última década es que simplemente intentar impedir que los atacantes entren en los sistemas es inútil; eso solo funcionará para los ataques de bajo nivel. No funciona para los ataques avanzados a los que se enfrentan ahora estas empresas.

En cambio, los líderes empresariales deben contener los ataques rápidamente y minimizar las interrupciones para que la organización no se vea afectada negativamente. Aceptar que los ataques llegarán no es aceptar el fracaso. Es la realidad de ser una empresa móvil, global e interconectada.

Una vez que las medianas empresas acepten que es probable que sus sistemas sean penetrados, deberían emplear las siguientes estrategias para responder de forma eficaz.

Monitor y objetivo: Una vez que un atacante se ha hecho un hueco en la organización, es vital que el equipo de seguridad supervise continuamente el comportamiento anormal para detectar las migas de pan de los ataques emergentes. Siempre hay un período en el que el atacante tiene un punto de apoyo inicial y está pensando en qué movimiento hacer a continuación; este período puede utilizarse en beneficio de la empresa.

Espere siempre una infracción: Las empresas deberían poner a prueba sus capacidades actuales y tener un plan de acción para cuando pase lo peor. Deberían controlar constantemente si los mecanismos existentes advierten lo suficiente y son capaces de mantener a raya las amenazas el tiempo suficiente para que la empresa actúe. ¿En qué momento del ataque se alerta al equipo de seguridad? ¿Las defensas ralentizan al atacante y dan al equipo la oportunidad de contraatacar? La segregación de las redes dificultará que el atacante se mueva lateralmente a buen ritmo.

Cree una cultura de seguridad: Los líderes empresariales deben expresar la importancia de la ciberseguridad en toda la organización y todos los departamentos deben saber que la ciberseguridad es importante para ellos. La Junta debe recibir información periódica sobre la ciberseguridad y los proveedores de seguridad deben participar en este proceso. Lo ideal sería que el CISO formara parte del equipo de alta dirección. De lo contrario, el personal clave del equipo de seguridad debería informar periódicamente al equipo de dirección sobre la respuesta de la empresa a las ciberamenazas.

Examine su cadena de suministro: Los atacantes recurren a proveedores o vendedores externos más pequeños para encontrar vulnerabilidades y entrar en el corazón de los sistemas críticos. Basta con echar un vistazo al ataque de SolarWinds para ver los daños que se pueden producir. Las vulnerabilidades de los proveedores son las vulnerabilidades de todos. ¿Qué tan sólida es la seguridad del proveedor? ¿Tienen certificaciones externas que comprueban que se toman la seguridad en serio?

En lo que respecta a la ciberseguridad, debemos aceptar la vulnerabilidad, pero ya no podemos tolerar la victimización. La única manera de eliminar el riesgo por completo es desconectar su empresa de Internet. Con la tecnología adecuada, los ciberataques deberían detectarse muchas veces antes de que se acerquen a cifrar archivos y a extorsionar a los líderes empresariales. Las medianas empresas deben optar por una ciberdefensa sofisticada y, al mismo tiempo, entender que la «entrada» para los atacantes nunca es estática (varía a medida que las vulnerabilidades cambian y las técnicas evolucionan) y deben adoptar las tecnologías que intervienen para detener los ataques invasores.