El impacto de un ciberataque se mide por el tiempo que un atacante permanece en los sistemas de una empresa sin ser advertido. Cuanto más tiempo permanezca en un entorno, mayor será el acceso a los sistemas críticos. Por ello, la clave para contener los ataques es la rapidez de respuesta ante el incidente. Unas pocas horas bastan para que el daño de una brecha detectada y solucionada pase de un simple reinicio del sistema operativo a una pérdida de ingresos de seis cifras.

A pesar de que estos datos se publican cada año, la mayoría de las organizaciones siguen tardando meses en identificar y contener un ataque. Este tiempo -llamado tiempo de permanencia- era de 280 días en 2020. Solo en Brasil, el coste medio de cada violación de datos era de 1,4 millones de dólares (unos 7 millones de reales en la actualidad). Las empresas que fueron capaces de detectar y contener una brecha en menos de 200 días, por otro lado, gastaron una media de 1 millón de dólares menos. Los datos proceden de un informe de IBM y el Ponemon Institute.

¿Por qué pasan desapercibidas las infracciones?

En una situación ideal, una empresa contaría con un equipo dedicado a la detección y respuesta cibernéticas para supervisar y responder a cualquier alerta. Este equipo evaluaría inmediatamente el estado actual de la amenaza y trabajaría a partir de un conjunto de políticas para tomar las medidas adecuadas en función de la naturaleza y el estado del ataque. Existirían protocolos de respuesta claros para incidentes de gravedad alta, media y baja. El personal de respuesta a incidentes dispondría de inteligencia sobre amenazas y sabría con precisión qué hacer de antemano.

Pero la realidad en las empresas dista mucho de eso. El equipo responsable de TI suele encargarse del mantenimiento de la tecnología de seguridad adquirida, pero no de la vigilancia y la respuesta. No hay un plan de protección establecido y difundido por toda la organización. Y cuando lo hay, falta formación y comunicación sobre el papel de cada uno en la ejecución de este plan.

¿Cómo reducir el tiempo de respuesta a las amenazas?

Hay directrices generales que son buenas para todas las empresas. Se sabe que es importante invertir en herramientas de automatización de la seguridad y en soluciones integrales de ciberseguridad. También, implementar programas de formación para todos los empleados para combatir las estafas de phishing y otras tácticas comunes de los hackers. Pero no es suficiente.

Aumentar el nivel de protección requiere un socio de inteligencia de seguridad. Con él, la organización puede tener previsibilidad. Basándose en la inteligencia, la postura ya no es reactiva, sino proactiva. Esto es anterior a la protección. Porque los riesgos se buscan y se anticipan.

En la práctica, un socio de ciberinteligencia no esperará a que se produzca el ataque. Buscará, dentro del sistema de la empresa o en Internet, publicaciones de información sensible, ciberespionaje, mal comportamiento en el entorno virtual de personas vinculadas a la corporación, referencias fraudulentas y malintencionadas a la marca en sitios web falsos, fuga de información confidencial, como tarjetas de crédito de clientes y socios, entre otras amenazas.

Casi el 40% del coste total medio de una violación de datos se deriva de la pérdida de negocio, incluido el aumento de la rotación de clientes y la pérdida de ingresos debido al tiempo de inactividad del sistema. Además, cerca del 61% del coste se origina en el primer año, alrededor del 24% en los siguientes 12 a 24 meses y el 15% final más de dos años después. El coste de no protegerse es cada vez mayor. Por lo tanto, para las empresas que quieran operar en un mundo hiperconectado, la protección debe formar parte de la estrategia, garantizando la confidencialidad de la información y facilitando los negocios.

Por Dirceu Lippi