Las empresas operan con una falsa sensación de ciberresiliencia. Aunque muchas han invertido grandes cantidades de dinero en herramientas de defensa de primera línea para tratar de mantener alejados a los malos actores, han dedicado mucho menos tiempo y esfuerzo a prepararse para lo que ocurre cuando los delincuentes acaban entrando. Y lo harán.
Con el uso cada vez más extendido de la inteligencia artificial entre los malos actores digitales, los hackers están demostrando ser más hábiles que nunca para infiltrarse en las redes empresariales. Mientras tanto, las consecuencias de las brechas son cada vez más graves. Como resultado, las empresas deben cambiar su pensamiento estratégico para hacer hincapié en cómo recuperarse de forma rápida y segura de un incidente cibernético.
Durante décadas, las empresas podían gestionar con confianza entornos informáticos resilientes. En general, eran capaces de salvaguardar suficientemente sus activos tecnológicos de los piratas informáticos simplemente bloqueando los pocos puntos de acceso disponibles. Y suponiendo que una empresa dispusiera de un sistema de recuperación, en caso de interrupción -ya fuera una catástrofe natural u otros sucesos que desconectaran los servicios- no solía tener problemas para volver a ponerse en marcha.
Pero el panorama ha cambiado radicalmente. El auge de la nube ha dejado obsoleto el concepto de perímetro de seguridad. A medida que el número de aplicaciones digitales sigue creciendo, los entornos informáticos son más complejos y de mayor alcance que nunca. Según un estudio del sector, hoy en día los empleados utilizan más de 35 herramientas de software diferentes en su trabajo habitual, lo que les obliga a cambiar de aplicación hasta 1.100 veces al día. Y la IA está dando ahora a los piratas informáticos una gran ventaja sobre las empresas, muchas de las cuales todavía no están seguras de cómo desplegar la IA en su propio arsenal defensivo.
Cerrar la brecha de preparación: cómo garantizar una rápida recuperación tras el inevitable ciberataque
Con una velocidad y escala de los ataques mayor que la capacidad de las empresas para mantener el ritmo, las consecuencias son cada vez peores. Se calcula que el coste medio de una brecha es de unos 5 millones de dólares, por no mencionar el daño potencial a la reputación. Mientras tanto, las organizaciones deben cumplir la normativa legal respecto a protección de datos, lo que está llevando la cuestión de la ciberseguridad al nivel de los consejos de administración.
Frente a estos retos, las empresas deben llevar a cabo operaciones informáticas más resilientes y asegurarse de que están realmente preparadas para un ciberataque. Pero el requisito más importante es crear una estrategia de defensa más sólida centrada en la protección de los datos de backup. Cuando se produce la inevitable brecha, una organización necesita asegurarse de que será capaz de responder con una recuperación de datos rápida, completa y limpia.
Backup no significa automáticamente recuperación
En conjunto, el mercado de la ciberseguridad se ha disparado hasta superar los 200.000 millones de dólares anuales. Pero sólo un pequeño segmento de ese mercado se centra actualmente en la ciberrecuperación.
En el pasado, la recuperación de datos tras una caída de la red o una catástrofe natural era sencilla: las empresas buscaban su backup más reciente y lo usaban como punto de partida para volver a poner en marcha las operaciones. Pero, ¿qué ocurre cuando los piratas informáticos se infiltran en esa copia de seguridad, como ocurre cada vez con más frecuencia? ¿Y cómo saben las empresas si los datos infectados se replican o no en su backup? Estos factores hacen que la ciberrecuperación sea mucho más difícil.
Aunque pueda parecer que los ciberataques ocurren en un instante, la mayoría llevan meses preparándose. Según un estudio de IBM, los ciberdelincuentes permanecen una media de 277 días en los sistemas antes de ser detectados. Y mientras acechan en silencio, los hackers plantan ransomware u otro malware en entornos críticos, incluidos los datos de recuperación.
De hecho, el 93% de los ataques de ransomware se dirigen ahora a los repositorios de copias de seguridad. Mientras tanto, la mayoría de las organizaciones conservan los datos durante una media de sólo 45 días, lo que significa que a menudo hay una gran brecha de tiempo entre sus datos limpios y los potencialmente infectados.
Cuando los hackers están listos para atacar, es cuando suelen hacerse notar. Naturalmente, la empresa se apresura a recuperar su información. Pero hacerlo puede desatar el ransomware al acecho e infectar ampliamente el entorno de producción. Ahora, el malhechor está en todas partes. Y la situación acaba de empeorar.
Por todo ello, invertir en mejores herramientas de recuperación y asegurarse de que los datos de las copias de seguridad son seguros es ahora tan importante como la defensa de primera línea.
Invertir en ciberrecuperación e integrarla
Así pues, ¿cuáles son las herramientas y procesos adecuados para responder eficazmente a un ataque y recuperarse de él?
Históricamente, las empresas que querían un lugar seguro al que restaurarse después de un ataque han construido su propio “sitio oscuro”, algo caro incluso para las organizaciones más adelantadas a nivel técnico. La alternativa más habitual era esconder los datos de las copias de seguridad en algún lugar de su entorno en la nube y esperar lo mejor. Pero ahora, las empresas pueden invertir en plataformas subyacentes que facilitan y abaratan la creación de entornos de backup seguros y su puesta a prueba. Así, en caso de incidente, las empresas pueden volver a estar funcionando rápidamente.
Mientras tanto, las empresas que se tomen en serio la protección de sus datos de copia de seguridad deberían adoptar lo que se denomina la estrategia «3, 2, 1». Según este plan, las empresas almacenan tres copias de sus datos. Al menos dos de esos repositorios deben guardarse en ubicaciones separadas. De esos dos, uno debe ser «air gapped», es decir, separado y seguro en la nube, en un centro offline al que sólo pueda acceder un puñado de empleados con credenciales.
De este modo, cuando el CISO determine que se está produciendo un ciberataque y dé la voz de alarma, los equipos encargados de la recuperación dispondrán de un entorno seguro en el que realizar las copias de seguridad. Este repositorio limpio también es valioso a efectos de validación, sobre todo cuando el equipo lleva a cabo una auditoría, que suele ser una revisión semestral de todos los sistemas informáticos para detectar cualquier anomalía y garantizar que la empresa cumple todas las normativas de ciberseguridad.
Sin embargo, con demasiada frecuencia, la persona o el equipo responsable de la recuperación no se entera hasta mucho después de que se descubra una brecha. Esto se debe a que las organizaciones todavía tienden a considerar que la seguridad es competencia del CISO, mientras que el backup y la recuperación de datos se dejan en manos de los equipos de TI que trabajan bajo las órdenes del CIO. Por lo tanto, es posible que el equipo de recuperación no se entere de la filtración lo antes posible.
En el entorno actual, los equipos de seguridad y recuperación no pueden operar en silos separados. Además de realizar cambios organizativos para garantizar la comunicación y la colaboración, las empresas pueden adoptar herramientas de recuperación modernas que se integren con tecnologías adyacentes importantes, como los sistemas de gestión de la información de seguridad (SIM) y de orquestación, automatización y respuesta de la seguridad (SOAR), que permiten a las empresas alertar a los equipos de recuperación en cuanto se detecta una actividad sospechosa en el entorno de producción.
La IA está cambiando las reglas del juego. Mientras las empresas estudian la tecnología, los hackers la utilizan para amplificar sus tácticas, ya de por sí muy exitosas. El panorama de amenazas es simplemente demasiado grave para aplicar la misma estrategia de backup de datos que podría haber bastado hace una década. La recuperación debe convertirse ahora en una consideración de seguridad tan importante dentro de las empresas como la protección frente a las brechas y su detección.
Al conectar el equipo y la tecnología de recuperación con el resto del aparato de seguridad, las empresas podrán ponerse en marcha tras los incidentes cibernéticos mucho más rápido, lo que les permitirá garantizar que los entornos de backup permanezcan protegidos de la continua avalancha de ataques digitales.
Eso es verdadera resiliencia.