La urgencia de contar con una estrategia de ciberseguridad ágil y efectiva

Los más recientes acontecimientos de brechas de seguridad en el mundo demuestran que el riesgo de sufrir un ciberataque ya no es hipotético; nos encontramos en una realidad en la que la disrupción digital en las empresas puede verse vulnerada fácilmente si no cuentan con una estrategia de ciberseguridad de respuesta rápida, afectando su estructura productiva, incluyendo a los sectores industriales.

El reciente caso del ataque de ransomware producido a la cervecera japonesa Asahi pone en alerta a los entornos hiperconectados que sustentan las operaciones de cadenas de suministros, demostrando la vulnerabilidad crítica de los sistemas intermedios en un entorno en el que la dependencia tecnológica soporta muchas operaciones de cadenas de suministro. El ataque afectó a los sistemas de gestión de pedidos, logística y atención a clientes de la cervecera; teniendo que recurrir a procedimientos manuales para reactivar su red de distribución en forma parcial.

“En este contexto es importante recordar constantemente que un ciberataque no se trata solo de una afectación a los sistemas; su impacto puede paralizar líneas de producción, interrumpir entregas y perjudicar la reputación corporativa; por ellos se insta continuamente a las empresas a implementar mecanismos y estrategias de respuesta rápida bien diseñadas que satisfagan la resiliencia cibernética” indica Arturo Huesca, Consultor de Ciberseguridad en A3Sec, firma internacional especializada en ciberseguridad.

Otros casos similares ocurren con gran frecuencia en otras industrias. Por ejemplo, una de las tiendas en la industria de la moda sufrió una filtración de datos tras la vulneración de un proveedor de marketing, exponiendo información de sus clientes como datos personales. Mientras que un actor de la industria alimenticia  fue víctima de un ciberataque que expuso los datos personales de 4546 empleados y miembros de la cooperativa; este incidente interrumpió las operaciones en varias plantas de manufactura y se realizó a través de ingeniería social.

En este sentido, la amenaza generalizada de ransomware continuará afectando a las empresas a medida que los ataques sean más sofisticados. México no se escapa de esta tendencia; ya que se encuentra entre los principales cinco países de Latinoamérica que son objetivo de sufrir un ciberataque; de acuerdo con un análisis realizado por Checkpoint, el cual revela que durante el primer semestre de este año, las empresas de la región sufrieron un promedio de 2716 ataques semanales. Tan solo el año pasado, el país sufrió el 23% de los ataques registrados en América Latina.

“Cuando las empresas se enfrentan de manera repentina a un ciberataque, se requiere actuar de inmediato y de manera coordinada, para evaluar primordialmente el alcance de la brecha, contener la amenaza y ejecutar ágilmente la respuesta al incidente; procurando minimizar los posibles daños, así que el tiempo es un factor esencial”, considera Arturo Huesca.

Para ayudar a hacer frente a estas amenazas persistentes, con base en su experiencia A3Sec nos comparte la base de una estrategia sustentada en una seguridad multicapa que incluya la formación de los colaboradores y copias de seguridad periódicas de los datos, entre otros aspectos para minimizar el impacto de un ciberataque y restaurar operaciones de manera ágil.

1. Alineación y capacitación

Resulta fundamental fomentar la alineación de las empresas respecto a las medidas de preparación y los procedimientos de respuesta a incidentes. La estrategia debe incluir capacitación y ejercicios continuos en todos los grupos a los que les corresponda sostener una respuesta coherente y coordinada durante  un ciberataque y de manera posterior.

Por lo tanto  realizar evaluaciones y simulacros de respuesta a incidentes regularmente es un principio básico en toda estrategia.

2. Detección temprana y activación automática

Identificar la intrusión en cuanto comience el ataque implica un monitoreo continuo 24/7 con detección basada en anomalías, correlación automática de eventos y sistema de alerta inmediata a equipos de respuesta.

Un filtrado robusto del correo electrónico para mitigar el phishing también forma parte de una detección temprana. Es recomendable el uso de herramientas como EDR (detección y respuesta a amenazas) y controles de acceso estrictos. Además es importante priorizar la seguridad de las API, con evaluaciones de seguridad periódicas y la implementación del acceso con privilegios mínimos para proteger los recursos.

3. Contención segmentada y aislamiento selectivo

La segmentación previa de una red es un principio básico de ciberseguridad que permite aislar los sistemas para proteger los activos digitales y evitar la propagación durante un ataque y minimizar el daño. Es importante  aislar las amenazas potenciales y limitar los privilegios mínimos necesarios.

Una vez ocurrido un ataque es necesario aislar los segmentos de la red afectados,  bloquear los accesos sospechosos, y cortar los movimiento internos (lateralidad) para limitar el alcance del incidente.

4. Respuesta y gestión de vulnerabilidades

Implementar un programa de gestión de vulnerabilidades y riesgos puede marcar la diferencia al momento de un ataque. De igual manera contar con un manual de respuesta ante incidentes es una forma ágil de gestionar los riesgos, ya que ofrece al equipo una guía sobre el tipo de ataque y nivel de gravedad, así como los siguientes pasos para aplicar rápidamente los parches necesarios; además de contemplar las alertas que se deben compartir internamente, así como a clientes o público afectado.

De forma paralela es recomendable contar con planes de emergencia offline  ya definidos para la cadena de valor, como ocurrió en el caso de la cervecera que se atendieron los pedidos de forma manual.

5. Recuperación y aprendizaje continuo

Tener un plan de recuperación proactiva de copias de seguridad es fundamental, lo que requiere primero contener la amenaza y seguir el protocolo para recuperación de acceso mediante la gestión de identidades.

Antes de restaurar los datos se necesita asegurar que el entorno sea seguro y que las copias de seguridad estén libres de malware, para ayudar a mitigar el riesgo empresarial. Por lo tanto, la restauración de los sistemas deberá realizarse con una integridad comprobada, realizando pruebas de validación y simulacros regulares, además de fortalecer los controles de acceso

Los casos citados al inicio, no son situaciones poco probables de ocurrir, se trata de un aprendizaje continuo de lo que puede suceder cuando no se dispone de una estrategia sólida que se evalúe constantemente. Reevaluar las capacidades de respuesta de una organización ante este tipo de incidentes, puede hacer la diferencia entre volver a la operación en horas o en días.

Sobre A3Sec:

A3Sec empresa especializada en servicios de operación unificada de ciberseguridad, que consisten en la gestión integral de la seguridad del entorno digital de nuestros clientes, mediante la monitorización continua de cada activo digital, la prevención, detección y respuesta a posibles amenazas de ciberseguridad. Nos enfocamos en controlar de forma proactiva y reactiva las amenazas conocidas, emergentes y desconocidas de ciberseguridad.

Utilizando tecnologías de punta como el big data, la hiperautomatización y la inteligencia artificial, junto a la aplicación de una estrategia personalizada y mejora continua, nos enfocamos en evolucionar los modelos de ciberseguridad de las organizaciones constantemente para acelerar los negocios, mejorando la postura de ciberseguridad y reduciendo el Dwell time.