Las claves
nuevo
Generado con IA
España se sitúa como la séptima nación más afectada del mundo por ransomware, con un aumento del 61% en incidentes en el tercer trimestre de 2024.
Los CISOs de grandes compañías destacan la importancia de protocolos claros, monitorización continua y evitar la improvisación ante ciberataques.
La comunicación interna y externa, la formación de equipos altamente cualificados y la correcta asignación de roles son claves para gestionar crisis de ciberseguridad.
Las herramientas tecnológicas como SIEM, firewalls y políticas de confianza cero son esenciales, pero sólo funcionan si se apoyan en una sólida cultura de ciberseguridad.
La metáfora del Efecto Mariposa, por la cual el simple aleteo de este insecto puede desencadenar un terremoto en la otra punta del mundo, está más vigente que nunca. Porque, trasladada a nuestros días, viene a teorizar sobre una sociedad líquida, frágil, volátil e interconectada que podría derrumbarse, si adaptamos también la jerga, con un solo clic de ratón.
Y es que, hemos delegado nuestro bienestar y seguridad a intangibles como la reputación y la confianza. Lo que en el mundo corporativo y del marketing se conoce como marca. Da igual la hoja de servicios y el poder de innovación; un simple error o una mala jugada ajena pueden echar por tierra el trabajo de años e incluso ‘cerrar las persianas’ de los negocios.
En este escenario, la principal amenaza -y temor- de las empresas, muy subidas ya a la ola de la transformación digital, es el ciberataque. Y está justificado; si atendemos a uno de los más letales, el ransomware -basado en el secuestro de datos y equipos digitales-, España es ya la séptima geografía más afectada del mundo, según un estudio de Thales. La compañía especializada en ciberseguridad contó hasta 79 incidentes de este tipo en el tercer trimestre de 2024, un 61% más que en el segundo tramo del año. Mientras, la media global crece a un ritmo del 29,7%.
Por otra parte, las organizaciones conviven con el muy manido dicho, pero no por ello menos cierto, de que prácticamente todas las compañías han sido ya ‘ciberatacadas’ de algún modo u otro. Y las que no, es porque no lo saben.
Ejemplos mediáticos recientes dan cuenta de la virulencia del cibercrimen; el Ayuntamiento de Elche se enfrentaba hace pocos meses a “daños muy graves” tras ver parada su actividad, y grandes firmas privadas también sufrían brechas de datos.
El escenario pinta mal, pero hay una buena noticia: cada vez hay más talento y conciencia de la ciberseguridad -aunque siempre se piden más esfuerzos-, que se significan en la figura del CISO y de sus equipos. Además, se ha generado una percepción de comunidad y cultura por las cuales la compartición de información y casos de éxito ayuda a generar un ecosistema digital más seguro.
De hecho, los altos directivos de ciberseguridad de los gigantes corporativos Abertis, ING, Plenitude y Cesce han compartido su ‘libreto’ de buenas prácticas en una simulación de crisis con DISRUPTORES – EL ESPAÑOL a fin de seguir creando un caldo de cultivo que siga promoviendo la función de seguridad como un aspecto vital de cualquier compañía y administración pública actuales.
Protocolos
Antes de la llegada del ‘grave’ incidente, cabría matizar que leyendo estas líneas puede dar la sensación de que sólo cuando cunde el pánico, las alarmas se encienden y se detecta una intrusión grave en los equipos informáticos que amenaza con echar abajo la actividad y derivar en pérdidas económicas, es cuando los equipos de ciberseguridad justifican su nómina.
Pero nada más lejos de la realidad: estos realizan una labor diaria incansable basada en diseñar productos y servicios seguros por defecto, formar a la fuerza laboral e innovar y reportar a los comités ejecutivos, entre otras muchas y esenciales tareas.
Es más, poniéndonos ya en escena, la actuación ante el incidente está totalmente protocolada, estudiada y ejercitada previamente. Así, “la principal medida es evitar la improvisación”, asevera Enrique Cervantes, CISO de Cesce.
La compañía de seguros por cuenta propia y del Estado opta por probar todos los planes de respuesta y continuidad con anterioridad. “Luego, cada incidente será único y se resolverá de una manera concreta, pero debe haber clara una matriz para la toma de decisiones y la priorización a la vuelta a la normalidad”.
"La principal medida es evitar la improvisación"
Una premisa que comparten todos estos directivos y que en el caso de ING pasa, según cuenta su CISO, Gustavo Lozano, por realizar una monitorización continua que permita la anticipación a la crisis. “Gracias a ello, podemos detectar rápidamente cualquier amenaza, y siguiendo nuestros protocolos, activar una respuesta para mitigar el impacto”.
No obstante, si el ataque sigue persistiendo, también hay pautas a seguir predefinidas. “En Plenitude -reseña su responsable de ciberseguridad, Jesús Abascal-, nos adelantamos a los diferentes escenarios para ser ágiles y estructurados”. La energética, con su estrategia, si llega el caso, contiene el ataque, erradica la amenaza o el malware, corta las conexiones sospechosas y, finalmente, restaura los servicios o activos afectados.
“Ante un incidente grave, lo primero es asegurar la contención: aislar el impacto, proteger los sistemas críticos y garantizar la continuidad operativa”, dice Olga Forné, CISO de Abertis. “La experiencia demuestra que la clave, aparte de la velocidad, es la claridad de criterio. Saber qué detener, preservar y qué activar en cada minuto. Este equilibrio es fundamental”.
La directiva del operador de gestión de autopistas aporta, por añadido, otro imperativo que, según ella, muchas veces no se menciona: “Durante un ataque, la comunicación es tan importante como la tecnología. Mantener alineados a negocio, TIC y liderazgo evita decisiones precipitadas, minimiza errores y acelera la recuperación”.
Habilidades
Esta declaración pone de manifiesto el desarrollo que ha experimentado el CISO; de un rol puramente técnico y solitario a ser el traductor de los lenguajes que ‘habla’ cada departamento, tal y como prosigue Forné. “Hay que afianzar que las resoluciones se aplican con información y propósito y con una comunicación clara hacia las áreas operativas, de dirección y negocio. Los CISOs nos hemos convertido en un puente entre la resiliencia técnica y la confianza de la empresa y social”.
Estas habilidades son las que Cervantes, de Cesce, denomina soft skills. “Reportar a la alta dirección ya no es una opción, tenemos que hacerlo de forma periódica, cuando no, formar parte de la misma”. Algo que se cumple a la perfección en ING, donde Lozano forma parte del grupo de portavoces oficiales del banco, y de su comité de crisis, y ha recibido mucha formación en este sentido, siempre apoyado por el equipo de comunicación.
"Durante un ataque, la comunicación es tan importante como la tecnología"
“Tenemos que estar muy preparados”, reflexiona. “Dada la importancia de la seguridad, en los últimos años los CISOs estamos mucho más presentes en medios y foros”, subraya Lozano.
“Desde hace tiempo, defiendo que nuestra figura es clave tanto a nivel interno como externo: clientes, socios y medios de comunicación”, expresa Abascal, de Plenitude. “Y son entornos que no siempre nos resultan naturales. Por ello, es necesario mejorar continuamente las habilidades, tener claridad en los mensajes y gestionar las expectativas”.
Equipo
La dimensión de liderazgo revela, tal y como indica Forné, de Abertis, uno de los activos más trascendentales durante la crisis de ciberseguridad: el componente humano. Los CISOs no están solos, ni mucho menos, en estos momentos, sino que cuentan con un grupo de preparados expertos en sus departamentos.
Por añadido, en estas situaciones tienen que involucrar a todas y cada una de las personas que componen la empresa. Pero no contar con un equipo altamente cualificado es como “construir una muralla y esperar que nadie la escale”, expresa Abascal. “Se trata de un sistema de engranajes al servicio de la compañía”.
Su importancia es capital, pero a veces cuenta con barreras “difíciles de explicar”, según Cervantes. Y es que, normalmente el peso de los diferentes departamentos en las compañías es directamente proporcional a los presupuestos que manejan.
Pero “la ciberseguridad es una anomalía”, indica. “Los equipos sólo manejan entre un 4% y un 10% de las partidas para TI. Muy poco. Así que, nuestra importancia sólo se puede explicar por el agente externo y retador de las amenazas constantes con impactos críticos”.
“Dada la importancia de la seguridad, en los últimos años los CISOs estamos mucho más presentes en medios y foros”
Sean cuales sean los recursos humanos con los que cuenta cada empresa, hay que ponerse manos a la obra. “Tienes que conocer al equipo, sus fortalezas, estilos de reacción y capacidades bajo presión. No todas las personas funcionan igual en una crisis y asignar los roles adecuados marca la diferencia”, analiza Forné.
Más si el incidente persiste durante varios días, por lo que hay que organizar turnos de trabajo para garantizar el descanso y evitar la sobrecarga, explica Lozano. “La fatiga es un riesgo tan real como el propio ataque”, añade Forné. Sin embargo, hay que tener en cuenta que no se puede bajar la guardia hasta que no se neutralice el ataque, puntualiza Abascal.
Tecnología
El ciberataque sigue su curso, y para cerrar el círculo falta hablar del otro gran eslabón de la cadena de la ciberseguridad, la tecnología. Una de las que más aporta, según Abascal, de Plenitude, es el SIEM, “ya que proporciona visibilidad de lo que está ocurriendo, cómo comenzó y su evolución. Por sí misma no puede deshacer el ataque, debe ir complementada de firewalls y EDR/XDR, así como una segmentación adecuada de la red, copias de seguridad aisladas y una política de refuerzo sólida”.
Huelga hablar de los estándares de confianza cero (zero trust, en inglés),
"No contar con un equipo altamente cualificado es como construir una muralla y esperar que nadie la escale"
Una afirmación con la que está muy de acuerdo Forné, de Abertis. “Las herramientas ayudan, pero sólo funcionan si se apoyan en criterio, disciplina, y, sobre todo, cultura”.
Toca aprender
Con esta receta, aportada por estos CISOs de grandes compañías, podemos concluir que el ciberataque se ha resuelto con éxito y, por fortuna, no ha tenido un impacto especial ni en su actividad ni en el negocio.
Ahora toca, concuerdan todos, aprender y realizar una revisión tranquila de lo que funcionó, lo mejorable y lo descartable. “Mirar hacia adelante sólo es posible cuando se aprende y cierra bien el capítulo anterior”.