Lamentablemente hoy sobran casos de ciberataques contra empresas y organizaciones en todo el mundo, aunque no siempre se dan a conocer los detalles. Por ejemplo, en febrero de 2023 el proveedor italiano de servicios de agua, energía y gas ACEA sufrió un grave incidente de ciberseguridad con objetivos netamente financieros que puso en peligro infraestructuras críticas. Pese a que logró contener y mitigar el ataque, el mismo provocó una violación significativa de los datos, la interrupción del servicio y riesgos potenciales para la seguridad pública.
En enero del presente año el Centro Hospitalario de la Universidad de Nantes (Francia) sufrió un ciberataque que provocó interrupciones temporales en su sitio web y en los servicios de turnos en línea. Esto devino en un serio problema de salud en casos graves y urgentes. Y en el mismo mes el aeropuerto de Beirut (Líbano) fue víctima de un ciberataque dirigido contra el sistema de visualización de información de vuelo y el sistema de gestión de equipajes; el ataque interrumpió las operaciones y obligó a inspeccionar manualmente los equipajes con perros policía con sus consecuentes demoras, pérdidas de conexiones, pérdida de pasajes y perdida de dinero de las compañías de vuelo.
Frente a este panorama es más importante que nunca que las empresas estén preparadas y se anticipen antes de que ocurran los incidentes de ciberseguridad. No pueden darse el lujo de tener posturas reactivas en torno a este tema. Por el contrario, deben ser proactivas para tratar de evitar los ataques o para sobreponerse ante estos hechos lo más rápido posible.
Ciberseguridad industrial
Las estrategias de ciberseguridad hoy no solo protegen la información y los activos de una empresa, sino que también tienen un impacto directo sobre el bienestar de las personas y las sociedades, especialmente en industrias en donde un ciberataque puede tener consecuencias ambientales importantes e incluso puede dar lugar a serios riesgos para las vidas de las personas. Por ejemplo, en el sector del petróleo puede haber un derramamiento o puede explotar un pozo porque fallan los sistemas de control, se corta la luz y fallan los sistemas de suministro, todo ello como producto de un hackeo. De la misma forma, en una planta de generación de energía eléctrica, un corte de luz derivado de ciberataque puede hacer que toda una ciudad se quede sin energía, impactando de forma directa en adultos mayores que no puedan usar el ascensor, se eche a perder la comida en las heladeras, los usuarios se queden sin agua potable, sin mencionar las pérdidas millonarias económicas de los locales comerciales.
En la actualidad es muy fácil que una pequeña falla o descuido genere un “efecto mariposa” a nivel de ciberseguridad, que luego tenga consecuencias enormes. Los incidentes de ciberseguridad ocurren más frecuentemente de lo que creemos, aunque a veces estas noticias no salen a la luz. ¿Por qué razón? Porque estos incidentes ponen en juego el prestigio y la imagen de marca de las compañías, ya que cuando una empresa no logra proteger los datos de sus clientes o proveedores, o bien expone su información corporativa sensible, puede recibir un golpe tremendo a su reputación de cara al mercado y a las partes interesadas. ¿Depositaría su dinero en un banco que es inseguro? Además de perder prestigio, inevitablemente la compañía tendrá pérdidas monetarias, ya que si sufre un incidente y el evento se conoce, caerá el valor de sus acciones en el mercado.
Por otro lado, en el caso de un eventual hackeo de una línea de tensión de una compañía que genera de electricidad, dejando esa línea fuera de operación, el costo que deberá enfrentar la compañía será triple: por un lado tendrá las pérdidas derivadas del tiempo de inactividad (durante el cual deberá pagar salarios sin generar ingresos); por otra parte tendrá que enfrentar las pérdidas derivadas del tiempo de resolución del problema; y además deberá abonar los eventuales juicios de los usuarios por estar fuera de servicio.
El panorama
En un relevamiento del Foro Económico Mundial (FEM) de 2024 el 29% de las organizaciones encuestadas informaron que habían sido afectadas materialmente por un incidente de ciberseguridad en los últimos 12 meses. Según el reporte el riesgo del ecosistema cibernético está volviéndose más problemático, ya que el 41% de las organizaciones que sufrieron un incidente material en los últimos 12 meses dijo que fue causado por un tercero; además el 54% tiene un nivel insuficiente de comprensión de las vulnerabilidades cibernéticas en su cadena de suministro.
El reporte indica que a escala global hay una creciente inequidad cibernética entre las organizaciones que son ciberresilientes, y aquellas que no lo son. Solo el 30% mantiene una ciberresiliencia mínima viable. Y si bien las grandes organizaciones demostraron avances notables en este plano, las pymes mostraron un descenso significativo. El número de pymes que dice que carece de ciberresiliencia para cumplir con sus requisitos operativos críticos es más del doble que el de las más grandes organizaciones. En este contexto, el 90% de los líderes cibernéticos creen que esta inequidad requiere de medidas urgentes.
Por otra parte, la escasez de talento y de ciber-habilidades sigue aumentando a un ritmo alarmante. En la encuesta del FEM más de la mitad de las organizaciones más pequeñas por ingresos dijo que no tienen o no están seguras de tener las habilidades que necesitan para cumplir sus objetivos cibernéticos; sólo el 15% son optimistas respecto a la mejora significativa de las habilidades cibernéticas y de la educación en los próximos dos años. Y el 52% de las organizaciones públicas afirma que la falta de recursos y habilidades es su mayor desafío al diseñar una estrategia para la ciberresiliencia.
Cómo anticiparse
Las estrategias proactivas que las empresas deberían tomar involucran tanto a las tecnológicas específicas de monitoreo, prevención y recuperación ante desastres, como a la capacitación de empleados en ciberseguridad y a las auditorías regulares de los sistemas de información que sostienen la producción.
Inculcar la conciencia sobre ciberseguridad es un factor clave. De hecho, la capacitación y concientización del personal en ciberseguridad puede ser la primera línea de defensa contra los ciberataques y es fundamental que los empleados conozcan los riesgos involucrados, las acciones que hay que evitar y cuáles pueden ser las eventuales señales de alerta. Este trabajo de concientización debe ser permanente (por lo menos dos veces al año). Y luego hay que efectuar una prueba de phishing para evaluar cuán útil resultó ese trabajo.
Otro condimento clave de las estrategias de ciberseguridad es el ethical hacking. Hoy las compañías deben contratar expertos (hackers –“de sombrero blanco” o hackers éticos, que muchas veces trabajan en empresas de ciberseguridad) para que realicen tests de penetración y les permitan conocer las vulnerabilidades de sus sistemas y procesos productivos, antes de que éstas sean aprovechadas por los ciberdelincuentes.
Otro aspecto importante es programar las aplicaciones de la empresa teniendo en cuenta la ciberseguridad desde el comienzo. Es decir: antes de construir las aplicaciones, debemos realizar un análisis de riesgo y de factibilidad de estas, desde el punto de vista de la seguridad de la información. (ciberseguridad)
La idea es que el análisis de la seguridad de la aplicación ocurra desde el inicio, antes de empezar la codificación. Esto es uno de los aspectos de lo que prevén las prácticas modernas de DevSecOps.
Por otra parte, hay una serie de controles que las compañías deberían ejecutar para evitar los ciberataques. En este sentido existen varios frameworks o certificaciones (como la ISO 27001) que definen qué deben hacer las empresas durante el año en materia de ciberseguridad para proteger sus activos y mejorar sus procesos.
En Baufest somos expertos en ciberseguridad y ayudamos a las empresas con un servicio de ciberseguridad que incluye el diseño de planes integrales y escalables. Mediante nuestro servicio de seguridad informática, reforzamos las operaciones al acompañar en los procesos de implementación, administración y aseguramiento de la infraestructura tecnológica, tanto en entornos on-premise como cloud, también garantizamos el desarrollo de software seguro y robusto y brindamos servicios de capacitación y concientización en ciberseguridad. Además, ofrecemos un sistema de gestión de la seguridad de la información y brindamos servicios de ethical hacking y ethical phishing. De esta manera, acompañamos a las organizaciones de principio a fin para que estén los más protegidas posible.