Prepararse para lo inevitable

Recopilando información para este articulo tropiezo con un sitio web que me pide autorización y, obviamente, se la doy. Entonces “algo” inmediatamente afecta un ejecutable de mi laptop y, no solo
ya no se conecta al wi-fi, sino que cada 30’ pide reiniciarse. El problema demandó dos días completos de limpieza y reinstalación de programas, pero peor aún, me inutilizó los accesos a mi cuenta bancaria. ¡Otros cinco días de reparación! Es decir, una semana completa de trabajo perdido. Puedo culpar mi propia torpeza, pero la realidad es que TODOS ESTAMOS EXPUESTOS.

En septiembre leíamos con la noticia que a la empresa EQUIFAX (Veraz en Argentina) le robaron 143 millones de datos confidenciales. El ciberataque expuso datos que estaban alojados en la mayor compañía de monitoreo crediticio del mundo. La empresa señaló que los criminales aprovecharon una aplicación en un sitio web para acceder a sus archivos.

Un estudio señala que Argentina está entre los países donde más phishing se recibe. Está 7ma en un ranking encabezado por Brasil. El trabajo, realizado por Kaspersky Software, señala que la mayoría de los ataques fueron desde páginas fraudulentas de bancos (24,1%), de pago (13,94 %) y de compras online (9,49 %). En este tercer trimestre hubo 59 millones de ataques, 13 más que en el segundo.

Las autoridades regulatorias en todo el mundo están cada vez imponiendo procedimientos más estrictos y, sobre todo, requiriendo se reporten las violaciones cibernéticas, incluyendo grandes penalidades por infringir las leyes sobre los datos personales y generando políticas públicas para asegurar el entorno tecnológico. De hecho, 93% de las Pymes de EEUU han reportado algún incidente y la mayoría indicó que perdió dinero o mercados. El 31% ha sufrido pérdidas de reputación, con pérdidas económicas o aumento en la rotación de nuevos empleados y negocios. Un 50% reportó una interrupción del servicio que afectó su posibilidad de operar. No obstante, solo un 3% reportó estar asegurado contra ciber-ataques.

En una revista argentina especializada en estrategias de riesgos de bancos y seguros se afirma “El objetivo es intentar poner en evidencia la creciente fragilidad de las empresas e instituciones frente
a este tipo de amenaza, y abogar por una mayor seriedad en su tratamiento preventivo. Una vez que los hackers hayan dejado una ciudad sin luz, aviones sin volar, bancos sin operar, autos sin control, o semáforos sin sincronización, vamos a recordar que debemos tomar este tema con la debida seriedad. ¿No será el momento de que el Congreso o algún organismo regulador tome cartas en el asunto?”. Coincido totalmente con esta apreciación y nuestro país viene rezagado en esta materia.

Uno tiende a pensar que las violaciones cibernéticas solo afectaran empresas de consumo y financieras, pero basta remontarse a diciembre 2016, cuando piratas informáticos atacaron con éxito una subestación en Ucrania, lo que dejó a la ciudad sin electricidad. El incidente no se considera catastrófico –como el de Equifax- pero los investigadores ahora creen que ese ataque fue una prueba. Según ellos se probó un “malware”, adaptable y escalable. El tema ya cobra, entonces, una magnitud aún más preocupante.

Recordemos que el “WannaCry” paralizó los sistemas de Telefónica y de grandes hospitales ingleses en junio 2017, mientras otros ciber-ataques golpearon simultáneamente a empresas y servicios públicos en Ucrania y Rusia, repitiendo el mecanismo del ataque extorsivo en otros países y afectando a compañías de Italia, Polonia, Alemania, Francia y Estados Unidos. Esto alcanzó inclusive algunas firmas que operan en Argentina, Chile, Colombia y México. Entre ellas la marítima danesa Maersk y el laboratorio farmacéutico Merck.

Ese malware estaba diseñado para interrumpir el funcionamiento de infraestructura crítica. No existe una defensa contra este ataque, una vez que entró, sencillamente funciona. Basado en sus investigaciones el Equipo de Respuesta US-CERT del gobierno americano publicó una alerta oficial, en la cual insta a todas las organizaciones de infraestructura crítica a que evalúen sus sistemas respecto de las vulnerabilidades tecnológicas.

En los últimos años, los ataques cibernéticos han evolucionado, desde identificar sitios y robar información hasta desactivar la red eléctrica de un país. Los expertos tienen opiniones diferentes respecto de la amenaza, pero no diverge tanto en la posibilidad de un evento como en su momento y la magnitud del daño. Según una encuesta realizada en BlackHat, 60% de los encuestados consideraba que en los próximos años tendrá lugar un ataque cibernético contra la infraestructura crítica estadounidense. Sólo el 26% confía que el gobierno y las fuerzas de defensa están equipados y capacitados para responder de forma adecuada. ¿Y por casa como andamos?

El programa de ADMINISTRACION DE RIESGOS deberá actuar con el supuesto que no se puedeprevenir un ataque, pero si se pueden establecer pautas y procedimientos para reducir la interrupción de sistemas y procesos críticos en el menor tiempo posible. Esto implica perfeccionar los planes de continuidad del negocio, la gestión de crisis y las comunicaciones para responder tanto a los clientes como a los socios de la industria y el gobierno.

NADIE ESTA EXCENTO. Estos eventos realmente requieren una educación especializada. Al igual que otros sectores, las empresas de energía enfrentan mayores exposiciones con la cada vez mayor dependencia de contratistas y menos empleados idóneos en seguridad tecnológica. Por ello, la empresa debe prestar atención a los riesgos planteados por personal con información privilegiada, educándolo sobre las mejores prácticas.

Es necesario plantear un PERFIL DE RIESGO CIBERNETICO con distintos enfoques de gestión y diferentes estrategias de mitigación. En estos casos, los escenarios de amenaza cambiaran constantemente, lo que implica contar con una planificación de respuesta a la crisis en escenarios críticos. Lo ideal sería realizar simulacros para analizar sus efectos y asegurar una respuesta rápida, efectiva y confiable además del restablecimiento de las operaciones.

Como en otras industrias, son esenciales las iniciativas para compartir información sobre las amenazas entre las empresas, los servicios públicos y los organismos gubernamentales. Deberían evaluarse y prepararse para estas amenazas, realizar ensayos, planificar para la continuidad del negocio y evaluar los recursos internos a fin de aumentar la seguridad empresarial y decidir si se necesita ayuda complementaria de empresas privadas para hacer tales mejoras lo antes posible.

SI EMPARCHA SUS SISTEMAS, EMPARCHE SUS SEGUROS. Si una empresa toma los recaudos necesarios y actualiza sus equipos de TI aplicando protocolos de mayor seguridad cibernética, los seguros que cubren las operaciones, las cuentas de resultados y los productos suministrados deben también actualizarse. Algunas jurisprudencias están fallando que, si el ataque produce perdidas, el perjuicio directo afectara la póliza respectiva y sus aseguradores repetirán contra la póliza de CiberRiesgos. Si se opera en EEUU y Europa ya se solicita estar asegurado. Falta regulación y legislación, pero lo que es más necesario es ESTAR BIEN ASESORADO PARA ESTAR BIEN ASEGURADO.

Fuente: Prensa Energética
Photo by NeONBRAND on Unsplash

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *