Imprudencia o vulnerabilidad

Los continuos incidentes (Telefónica, Macron, la campaña presidencial americana…) ponen de manifiesto que no hay organización inviolable. No cabe duda de que el ataque sufrido ayer tiene todos los ingredientes para convertirse en noticia, pero en la medida en la que las tecnologías de la información estén más presentes, incidentes de este tipo van a ser más habituales, puesto que la ciberseguridad al 100% no existe, al igual que no existe en el mundo físico y nadie está exento de ser víctima de un atraco o de sufrir un accidente con su vehículo.

Lo que sí debe atraer nuestra atención son las capacidades en ciberseguridad de las organizaciones que utilizan sistemas de información (y especialmente en el caso de operadores, ISPs o empresas eléctricas, puesto que, de ellas, dependemos el resto de nosotros para funcionar).

Está bien que las empresas implementen sistemas de gestión (tipo ISO27001), pero lo importante es conocer cómo de robustas son las medidas implementadas, es decir, su nivel de calificación.

Estos ataques de ransomware pueden llegar a afectar, bien por la imprudencia de algún usuario o por alguna vulnerabilidad no parcheada de los equipos (que parece ser el caso), motivo por el cual, la concienciación de los usuarios y la actualización de los equipos son aspectos fundamentales. Ahora bien, una vez que hemos sido “infectados”, solo caben dos opciones: ser capaces de desactivar el ransomware y recuperar el control de nuestro equipo o restaurar la última copia de respaldo que tuviéramos (nunca pagar – si pagas una vez, pagarás más de una).

Pero, como decimos, dado que la seguridad absoluta no existe, la única opción de las organizaciones es estar preparadas para resistir en caso de ataque (concepto conocido como resiliencia), diseñando nuestros sistemas con mecanismos de contención (como, por ejemplo, la segmentación de la red) y de recuperación (lo que incluye las famosas copias de respaldo). Y, por otro lado, implantando una filosofía ágil para la gestión de la seguridad, lo que se fundamenta en tres componentes: detección temprana (algo que parece que ha pasado en Telefónica, solo 200 de más de 15.000 puestos), respuesta rápida (avisando a todos los usuarios para parar la difusión del ataque) y apalancamiento en el incidente (está por ver, las lecciones aprendidas que Telefónica extrae de este suceso).

En conclusión, tanto si somos responsables de una organización, cómo si damos servicios a terceros, la pregunta que debemos hacernos es: ¿estamos preparados para resistir un ciberataque? ¿hasta qué punto? Y para medirlo, debemos acudir a modelos de evaluación de capacidades que califican el nivel de ciberseguridad… en estos casos, si no hay previsión, solo quedará lamentarnos y esperar contar con los recursos suficientes para reflotar nuestra organización, algo que no siempre es posible. Sin duda, estamos ante un nuevo escenario que nos debe hacer reflexionar: ¿Estamos capacitados para operar nuestros sistemas con el nivel de fiabilidad suficiente?