Ciberseguridad en la empresa: el auge del modelo ‘as a service’

Una noche de domingo suena el móvil. Es el responsable de Operaciones Tecnológicas y Cibersegu-ridad: “Hemos recibido un ataque de ransomware. Pinta muy mal; decenas de servidores han sido o están siendo encriptados y diversas bases de datos críticas son inaccesibles”.

Esta situación la conocen bien muchos responsables de Tecnologías de la Información, que son los verdaderos testigos del nivel de
vulnerabilidad que se vive en las empresas. La exposición a un ciberataque requiere de una estrategia basada en la gestión de riesgo y en la resiliencia y articulada en cinco puntos relevantes:

1. Toda organización está en riesgo: cualquier empresa es una víctima potencial de extorsión. Los atacantes buscarán activos vitales para las organizaciones.

2. Entender la anatomía de los ataques objetivo: es muy importante tener claro qué hacer cuan-
do nos enfrentamos a diferentes tipos de ataques y escenarios. Se debe entender cómo opera cada tipo de amenaza, qué riesgos conlleva y cuáles son las soluciones para cada una de las diferentes fases.

3. Prepararnos, prepararnos y prepararnos: las organizaciones que menos ciberataques sufren son aquellas que han planificado y se han preparado.

4. Mantenernos alerta ante futuras amenazas: los ciberataques evolucionan. Hemos de anticipar posibles nuevos escenarios y pensar en clave de futuro: ¿qué nuevos tipos de ataques podrían afectarnos?

5. Actuar ahora para evitar el pánico después: la mayoría de sectores están experimentando un aumento sostenido de ciberataques. Disponer de procesos de respuesta resulta indispensable. ¿Y por dónde empezar en el caso de las pymes? ¿Están solas ante el peligro? A día de hoy, la visión que prevé modelos de comercialización as a service –como servicio– se encuentra consolidada en entornos de cloud computing. Ya encontramos en el mercado servicios como el CISO as a service, una buena opción para que las pymes puedan construir y gobernar la gestión de su ciberseguridad en base a un modelo de responsabilidad compartida, alineando de base aspectos normativos como la directiva europea Network and Information Systems (NIS). 

La ciberseguridad es uno de los grandes retos para las empresas. En base a estudios recientes, Accenture desvela que el 40% de los incidentes se origina en ataques indirectos contra los eslabones débiles de la cadena de suministro. Por su parte, la empresa Sonatype revela un aumento del 650% de ataques en el ámbito del software y cuantifica en pérdidas de millones de dólares las fugas de datos en IBM.