Preparándose para un ciberataque en Black Swan

Las principales instituciones, como los bancos, tienen un largo historial de creación de sistemas redundantes para sobrevivir a los ciberataques. Pero a medida que los ciberataques graves afectan a las empresas, los gobiernos, los servicios públicos y los hospitales con mayor regularidad, queda cada vez más claro que las organizaciones ahora necesitan dos manuales: uno que ya tienen para las ciberamenazas comunes, como el malware, la suplantación de identidad y los ataques de denegación de servicio, y uno nuevo que cubra algo aún peor. Deben prepararse para las cibercrisis que podrían paralizar no solo sus propias operaciones, sino también extenderse por su industria y otros.

Para adelantarse a los cambiantes desafíos cibernéticos actuales, las empresas deben tomar prestados los manuales que se utilizan para otros tipos de desastres, los llamados eventos del «cisne negro», que pueden ocurrir repentinamente, con ramificaciones inesperadamente generalizadas. Sin embargo, si bien los ciberataques graves son cada vez más comunes, casi la mitad de las empresas ni siquiera han identificado los ciberescenarios que podrían afectarlas, según un encuesta reciente realizada de Marsh, la empresa hermana de Oliver Wyman. Una cuarta parte ni siquiera trata los ciberriesgos como riesgos corporativos importantes.

Esto significa que las empresas tienen que dedicar tiempo a examinar los tipos de cibercrisis a las que podrían enfrentarse, por muy poco probables que sean. Al igual que otros desastres, los ciberataques pueden producirse tan repentinamente como una catastrófica tormenta de 100 años. Pero también pueden surgir lentamente al principio, como una pandemia que se acumula y se propaga sistemáticamente a lo largo del tiempo antes de convertirse en una crisis en toda regla, cuando ya es demasiado tarde para evitarlos. Como resultado, las empresas deben tener planes para mitigar las ciberamenazas extremas y detectar los peligros cibernéticos emergentes y lentos.

Centro Insight

• El futuro de la ciberseguridad

  Patrocinado por KPMG

  Explorar los riesgos y las soluciones.

Entonces, las empresas tienen que analizar si pueden contener las ciberamenazas o si pueden propagarse como un contagio en su industria y quizás más allá. Algunas organizaciones ya han desarrollado planes de respaldo y contención extremos, como prepararse para operar sin conexión. Algunos incluso están adoptando operar sin conexión como enfoque preferido. Hace poco, Singapur decidió cortar el acceso a Internet a casi todos sus ordenadores, tres años después de que los hacktivistas paralizaran los sitios web del gobierno mediante una serie de ciberataques. Los proveedores de atención médica y los hospitales infectados por ataques de ransomware en los Estados Unidos y Alemania están desconectando parcialmente los sistemas críticos y se preparan para volver al lápiz y el papel en caso de que un incidente perjudique sus operaciones digitales.

Debido a la naturaleza interconectada de muchas operaciones actuales, la mayoría de las empresas tendrán que ir más allá para prepararse para los ciberataques que podrían tener un efecto dominó en todo el sector, como la creación de coaliciones con la competencia, los reguladores y las asociaciones industriales. Al trabajar juntas, las partes interesadas del sector pueden establecer canales y mecanismos predefinidos que garanticen una respuesta rápida y eficaz.

Por ejemplo, algunos bancos están uniendo sus fuerzas con las de la competencia para intervenir como sustitutos en caso de una cibercrisis, porque entienden que las ramificaciones de un ataque a sus sistemas podrían ir mucho más allá de su propio negocio. Podría producirse una crisis económica si, de repente, los bancos no pudieran dar acceso a sus cuentas a millones de empresas y personas, lo que les impidiera pagar los salarios y las facturas.

Otras organizaciones líderes están estudiando la posibilidad de establecer «fondos comunes cibernéticos», similares a los fondos que se reservan para ayudar en las secuelas de ataques terroristas o desastres naturales. Estos fondos podrían minimizar las réplicas de los ciberataques que se precipitan en cascada hasta el punto de convertirse en crisis cibernéticas totales que acaben con más de un sector.

Otro paso clave podría ser crear equipos «SWAT» para todo el sector o entre sectores para supervisar y abordar las ciberamenazas más comunes con regularidad. Estos equipos examinarían qué ciberriesgos deberían cubrirse como mínimo y en qué medida. Identificarían los puntos desencadenantes que pueden evitar cibercrisis en toda regla: ¿Qué tipos de datos y servicios se pueden perder durante un par de horas? ¿Qué pérdidas llevarían rápidamente a una cibercrisis?

Estos mismos equipos SWAT también podrían realizar autopsias de ciberataques entre industrias, de modo que las ciberdefensas de las industrias se fortalezcan con el tiempo. Estos equipos no solo identificarían las mejores prácticas, sino que ayudarían a las empresas a incorporar las lecciones aprendidas de los ataques anteriores en sus sistemas.

Una cosa es segura: las ramificaciones de los ciberataques no harán más que extenderse y su nivel de sofisticación no hará más que crecer. En respuesta a la publicación de correos electrónicos confidenciales del Comité Nacional Demócrata para influir en las elecciones presidenciales de los Estados Unidos, por ejemplo, la Casa Blanca publicó recientemente su primer manual de respuesta a emergencias para un ciberataque importante. Si bien ese hackeo se considera de bajo nivel, el gobierno se prepara para ciberamenazas de mayor grado a la infraestructura, la estabilidad y la vida humana.

Los tiempos extremos requieren medidas extremas. Las ciberamenazas que muchas empresas antes consideraban impensables ahora se producen a diario. Las organizaciones deberían seguir el ejemplo de la creciente sensación de alarma de los gobiernos y empezar a forjar los lazos necesarios para crear un segundo manual centrado en evitar las cibercrisis.