Kyndryl tiene las claves para luchar contra los ciberataques que trastornan a las empresas, como es el caso de los sufridos por Air Europa a principios de octubre y Vodafone esta misma semana. Son solo dos de los muchos ejemplos de grandes empresas españolas, a través de ellas mismas o de compañías colaboradoras, que han sufrido graves ciberataques con los que han quedado expuestos los datos personales y bancarios de sus clientes y usuarios. Ni son las primeras, ni serán las últimas. Los ciberdelitos aumentaron en España un 72% en 2022. Se contabilizaron un total de 375.506 delitos realizados a través de internet o con «herramientas tecnológicas, sistemas informáticos y métodos digitales de transmisión».
Todas las empresas los sufren. Si, además, están en la lista de las compañías de sectores estratégicos, los reglamentos y directivas europeas, y sus transposiciones españolas, indican que estos eventos protagonizados por el cibercrimen deben ser comunicados. Para empezar a los organismos competentes que luchan por mantenernos ciberseguros, como son el Incibe y la Agencia Española de Protección de Datos (AEPD), y después se deben a sus clientes y deben comunicarles si se han visto afectados, por ejemplo, por una brecha de datos personales o bancarios, que les pueden provocar graves perjuicios.
Por muy didáctica que haya sido con la ciberseguridad, ninguna empresa está a salvo de que un empleado haga click en un enlace dañino por error o despiste
Y según la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su disposición adicional segunda, las empresas están obligadas a realizar una «publicidad activa y el acceso a la información pública» cuando los datos comprometidos por un ciberataque, «contenga datos personales». Pese a esta obligación, las empresas españolas son reacias a hacer público que han sufrido cualquier ciberataque, incluidos los que afectan a los datos de clientes y usuarios, porque les puede el miedo al riesgo reputacional y el consiguiente desprestigio.
Las sociedad cada vez es más digital, y más madura con las cuestiones relativas a la ciberseguridad, y más comprensivas. Prefieren saber, estar informados, que no saber qué ciberriesgos les pueden afectar. Además, con la publicidad de estos, de las ciberamenazas y ciberataques, se aumenta y afianza la conciencia colectiva, lo que puede revertir los muchos errores humanos que terminan abriendo la puerta a los ciberdelincuentes. Por muy didáctica que haya sido con la ciberseguridad, ninguna empresa está a salvo de que un empleado haga click en un enlace dañino por error o despiste. Los ciberriesgos también se pueden evitar con información pública.
CLAVES DE KYNDRYL CONTRA LA CIBERDELINCUENCIA
Según datos de la última encuesta de Kyndryl en el ámbito de la ciberseguridad, el 88% de los líderes empresariales afirma que su organización está bien preparada para gestionar y recuperarse de cualquier situación adversa, ciberataque o amenaza que perturbe sus activos informáticos. Según Miguel Ángel Ordóñez, líder de seguridad y resiliencia de Kyndryl para España y Portugal, las respuestas quizás pecan de un exceso de confianza ya que el 92% de los encuestados afirma que su organización ha experimentado situaciones adversas en los dos últimos años.
Para Ordóñez, la forma en que las organizaciones gestionan los riesgos cibernéticos está bajo su control hasta cierto punto. «Por ello, es importante tener en cuenta las mejores estrategias para que las empresas puedan adoptarlas y trazar una buena ruta hacia la ciberresiliencia, respaldando así la continuidad del negocio».
Implicar a la empresa desde el principio y romper los silos es sin duda una de las estrategias clave hacia la ciberresiliencia. Las organizaciones de TI operan con demasiada frecuencia de forma aislada del resto de la empresa y la forma más segura de que una estrategia de ciberresistencia tenga éxito es romper este silo. Es importante invitar a la mesa a personas que no pertenezcan al departamento de TI y anclar las conversaciones sobre ciberseguridad en la misión de la organización, haciendo que esta forme parte de la cultura organizativa«, indica.
Por otro lado, muchas organizaciones se enfrentan al reto de una huella de TI cada vez mayor y compleja. Es importante identificar y mapear los activos informáticos críticos que sostendrán y moverán los objetivos empresariales. Estos activos serán prioritarios de proteger y, en el peor de los casos, recuperar tras un evento adverso. Además, es fundamental evolucionar hacia un paradigma de confianza cero y contar con una norma de denegación por defecto para garantizar que a los sistemas sólo puedan acceder quienes lo necesiten, según el experto de Kyndryl.
Implicar a la empresa desde el principio y romper los silos es sin duda una de las
estrategias clave hacia la ciberresiliencia
Las organizaciones que busquen ser cada vez más ciberseguras, y según Ordóñez también deben establecer un plan de gestión de crisis, y, cuando sea necesario, ponerlo en práctica. A veces, los acontecimientos adversos son inevitables. «El error humano, por ejemplo, es la causa más común de interrupciones informáticas. Definir las funciones y responsabilidades de los equipos, establecer un proceso de comunicación, documentar los procesos y mejorar la transparencia suele ayudar a reducir el impacto de un acontecimiento adverso», explica. Una vez creado el plan, es importante ponerlo a prueba con regularidad.
En contrapartida, los objetivos empresariales no son estáticos y pueden cambiar, así como el parque informático se vuelve más complejo y fuerzas externas como la normativa pueden exigir diferentes cambios. Para garantizar la eficacia de una estrategia de ciberresiliencia, esta debe formar parte de un debate continuo. Además, a medida que la transformación digital y la hiperconvergencia crean puertas de entrada involuntarias para los riesgos cibernéticos, vulnerabilidades, ataques y fallos, se hace rápidamente necesaria una férrea pero flexible estrategia de ciberseguridad en continua adaptación.
Una estrategia de ciberresiliencia ayuda a las empresas e instituciones a reducir los riesgos, el impacto financiero y los daños a la reputación
También es clave, tal y como indican desde Kyndryl, desplegar un plan de recuperación ante ciberincidentes robusto. Una estrategia de ciberresiliencia ayuda a las empresas e instituciones a reducir los riesgos, el impacto financiero y los daños a la reputación. Así, las empresas pueden seguir el ritmo de la rápida evolución del entorno digital y de las ciberamenazas cada vez más sofisticadas, al tiempo que garantizan una rápida recuperación en caso de ataque.
Por último, Ordóñez considera «esencial no esperar a que sea demasiado tarde. Mantener informados a los directivos de la empresa y a sus respectivos consejos de administración sobre los ciberataques y otros riesgos informáticos, incluidos los planes para mitigarlos, puede ayudar a impulsar la alineación organizativa descendente y los cambios necesarios para garantizar que los sistemas cibernéticos puedan seguir funcionando durante los eventos adversos.