Crear un escenario casi real de ciberdelincuencia es una fórmula eficaz para que los empleados sepan cómo actuar.
Los ciberataques son una amenaza real y, a pesar de que las empresas suelen invertir una parte importante de su presupuesto en herramientas de ciberseguridad y protocolos para afrontar este tipo de eventos y sus consecuencias, lo cierto es que muchas de ellas y de sus empleados no tienen claro cómo deben actuar. Los cursos de formación y la teoría se pueden controlar en mayor o menor grado, pero la realidad suele superar lo que se dice en talleres y sesiones formativas. De ahí que la celebración de simulacros periódicos para parte o para toda la organización sea una de las herramientas más eficaces para consolidar las políticas y las actuaciones frente a las acciones de los ciberdelincuentes.
Pocos cuestionarán que la formación y el entrenamiento son fundamentales para saber cómo se debe comportar cada empleados frente a un ataque de estas características. Pero la realidad suele mostrar que, aunque la mayor parte de los trabajadores de las compañías conocen los protocolos de crisis, cuando el incidente ocurre, se dejan llevar por el nerviosismo y muchas veces se olvidan o se pasan por alto las pautas de actuación. Frente a este hecho, destacan aún más los beneficios de poner en práctica lo aprendido mediante la celebración de simulacros lo más reales posibles.
Si bien lo ideal es que la plantilla no sepa que se va a realizar un simulacro de ciberataque, es recomendable que previamente se refuerce el recuerdo de los procedimientos a seguir. Se puede cumplir con este paso mediante talleres periódicos o bien con campañas de comunicación interna a los empleados, alertando de los riesgos que entrañan las actuaciones de los ciberdelincuentes para la empresa y los pasos que deben dar, con mensajes generales y también con contenidos adaptados a la realidad de cada departamento.
Ventajas de los simulacros.
Los simulacros pueden transformarse en una pieza clave dentro de una estrategia de aprendizaje continuo en seguridad cibernética no solo en empresas, sino en todo tipo de organizaciones y también en las Administraciones. Los ataques simulados tienen numerosas ventajas, entre ellas, identificar los puntos débiles y también reforzar los sistemas defensivos. Por otra parte, prepara a los distintos equipos para que estén más concienciados y alerta ante posibles amenazas que se hayan ignorado o subestimado y también les ayuda a responder ante ellas de manera más rápida y eficaz.
De hecho, recientemente el Instituto Nacional de Ciberseguridad (INCIBE) realizó un simulacro a gran escala en León de ransomware, una de las pesadillas cibernéticas de todo tipo de empresas: el temido secuestro de una parte o de toda la red interna, que se cifra impidiendo el acceso a la misma y se libera a cambio de un rescate económico de elevada cuantía. La simulación se organizó con dos equipos, uno de atacantes y otro defensivo, que actuaban en tiempo real. Mientras el primero intentaba acceder a lo más profundo de sus sistemas a través de la detección de vulnerabilidades para intentar causar el mayor daño posible, el segundo neutralizaba los ataques y adoptaba las medidas para mitigar el daño y recuperar los sistemas secuestrados.
Entre los pasos que se dieron para afrontar este ciberataque simulado, destacan la detección, el análisis del alcance, activar el protocolo de contingencias y la adopción de medidas adecuadas para afrontar cada situación. Las copias de seguridad y la posibilidad de duplicar los sistemas internos, de manera que la organización pueda seguir funcionando mientras se aíslan los sistemas atacados, son claves para mitigar el impacto.
La creación de comités de crisis, que tomen el mando mientras dure el ataque y centralicen el proceso de toma de decisiones, es un paso fundamental. Cada organización debe definir en el protocolo de actuación los distintos roles: quiénes son las personas que deben estar en ese comité de crisis. Lo habitual es que lo integren representantes del comité de dirección, del área de comunicación, de la asesoría jurídica, los responsables de las áreas de operaciones y de información, etc.
Este tipo de ensayos son muy frecuentes en las grandes empresas. A posteriori, se realiza una valoración del simulacro y de las actuaciones que se llevaron a cabo para conocer las áreas que necesitan reforzar conocimientos, así como para mejorar los procedimientos y actualizarlos de acuerdo con las nuevas estrategias que despliegan los atacantes. De esta manera, las empresas tienen la oportunidad de detectar posibles brechas y debilidades en sus infraestructuras y en sus software y también cuentan con la posibilidad de mejorar su seguridad y la resiliencia de sus sistemas y protocolos.
Campo de pruebas.
Los ciberataques están a la orden del día. El año pasado, de los más de 83.500 incidentes de ciberseguridad que gestionó INCIBE, más de 22.000 afectaron a empresas privadas y otros 58.000 impactaron directamente en los ciudadanos de a pie. Además, los ciberatacantes trabajan de manera continua para buscar nuevas vulnerabilidades y brechas e innovan permanentemente para encontrar vías de acceso a los sistemas de organizaciones y particulares, siendo la económica su principal motivación.
Conscientes de ello, algunas compañías cuentan con campos de maniobra virtuales para entrenar sus habilidades de respuesta. De esta manera, disponen de una plataforma de formación y un entorno seguro en el que entrenar a sus empleados mediante el uso de diferentes escenarios simulados, donde pueden probar nuevas herramientas o técnicas de prevención, además de contar con una experiencia valiosa para afrontar una amenaza real en su entorno profesional.
Si una empresa cuenta con un entrenamiento adecuado y periódico, estará mejor preparada para enfrentar las consecuencias de un ciberataque y, por tanto, más protegida. Por otra parte, la recuperación será más ágil y podrá retomar su actividad habitual más rápidamente. En definitiva, los simulacros han demostrado ser una herramienta de enorme utilidad para lograr estos objetivos y reforzar los protocolos.
Fuente: IIILA LEY. Consejo General de Economistas. (Ilier Navarro)