Los líderes empresariales deben adoptar un enfoque de ciberseguridad basado en el riesgo




por Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000

El pasado 7 de mayo de 2021 un ataque de ransomware vulneró a Colonial Pipeline, una de las compañías de oleoductos más importantes de Estados Unidos, provocando la interrupción del suministro de nafta, diesel y otros productos refinados para un tramo de aproximadamente 8,850 kilómetros. De acuerdo con el FBI, el responsable de este ataque es el ransomware DARKSIDE.

Desde su aparición inicial en agosto de 2020, los creadores del ransomware DARKSIDE y sus afiliados han lanzado una ola de delitos a nivel mundial que ha afectado a organizaciones en más de 15 países y múltiples industrias verticales.

¿Estamos preparados para otro ciberataque de esta magnitud?, ¿qué podemos hacer para enfrentarlos de forma efectiva?

En principio, debemos adoptar un enfoque de ciberseguridad basado en el riesgo, que cierre la brecha entre las ciberamenazas y las organizaciones y que permita que toda empresa conozca los riesgos más importantes para organización.

El ataque a Colonial Pipeline había sido anunciado de diferentes maneras. Hace solo cuatro años el grupo cibercriminal ruso conocido como Sandworm derribó la red eléctrica de Ucrania. Un año después, el ataque de ransomware NotPetya le costó a Maersk y a FedEx $300 millones de dólares cada uno. Entonces no podemos dejar de pensar que habrá más ataques tipo Colonial Pipeline contra otras infraestructuras críticas y negocios importantes.

Lo que este incidente realmente demuestra es la urgente necesidad de que los líderes empresariales tengan una conversación con sus directores de seguridad de la información sobre el riesgo cibernético en términos que puedan comprender.

El riesgo cibernético debe considerarse y tratarse de la misma manera que cualquier otro riesgo operativo. Las amenazas cibernéticas no son hipotéticas, son riesgos inminentes y muy reales para las empresas. Sin embargo, sin comprender que el riesgo es un problema de negocios, y no solo técnico, es probable que los propietarios y operadores de infraestructura crítica no concentren sus recursos en las áreas correctas.

¿Cuáles fueron algunos de los errores de Colonial Pilpeline de los que podemos aprender?

  • Los líderes empresariales y de ciberseguridad no mantuvieron una conversación detallada sobre los riesgos cibernéticos y el posible impacto financiero y operativo.
  • Una conversación de riesgo, informada por la inteligencia de amenazas del mundo real, habría convertido el escenario del ransomware en una prioridad máxima.
  • Los directivos tenían demasiados datos de alerta y no tenían forma de priorizar sus flujos de trabajo y automatizar las respuestas.
  • El Departamento de Seguridad Nacional, de Estados Unidos, emitió una alerta de ransomware para el sector energético solo dos meses antes del ataque a Colonial Pipeline. Esta inteligencia de amenazas debería haber incentivado el desarrollo de esfuerzos de cuantificación de riesgos, así como respuestas orquestadas y automatizadas.

Un enfoque de ciberseguridad basado en el riesgo tiene en cuenta al adversario. Pensar como un ciberatacante lo obliga a analizar y evaluar escenarios para los que deba prepararse, así como los riesgos a considerar que pueden requerir una nueva inversión.

Los cibercriminales no solo están cambiando el panorama de amenazas y las partes que son relevantes para su negocio, sino que también están cambiando los controles, las aplicaciones y el tipo de datos presentes en su entorno. Un enfoque basado en el riesgo mueve el esfuerzo de cuantificación del riesgo cibernético más allá de las evaluaciones tradicionales.

La comunidad de ciberseguridad necesita encontrar una manera de exponer a los líderes empresariales y las agencias gubernamentales a las consecuencias y los posibles impactos a largo plazo de las amenazas cibernéticas.

Necesitamos demostrar que, desde una perspectiva de inversión, es hora de que todos los líderes adopten la importancia de la gestión de riesgos. Las medidas reactivas no serán suficientes y los planes manuales de gestión de riesgos obsoletos no resistirán la prueba del tiempo.

Para mayor información, visite: https://www.silikn.com/