Cada año el daño causado por las infracciones cibernéticas parece crecer más grande. Parece como si los hackers siguieran haciéndose más efectivos. Pero los expertos en ciberseguridad Parenty y Domet piensan que hay otra razón por la que las empresas no tienen éxito en frustrar los ciberataques: no entienden realmente sus riesgos cibernéticos, porque se centran únicamente en sus vulnerabilidades tecnológicas y relegan la responsabilidad de gestionar las amenazas completamente a la seguridad y a la IT personal. Y debido a eso, no tienen las defensas correctas.
Un mejor enfoque implica obtener información de una amplia gama de empleados y, especialmente, miembros de la junta directiva y líderes de la empresa. Comienza con la identificación del negocio crítico de la empresa actividades y los riesgos para ellos. En lugar de preguntar cómo podrían atacarse sus sistemas informáticos, por ejemplo, pregunte cómo un ataque podría generar disrupción su cadena de suministro, exponer sus secretos comerciales o hacer que usted no cumpla sus obligaciones clave. A continuación, haga un inventario de los sistemas que soportan esas actividades, examine sus vulnerabilidades e identifique los posibles atacantes.
Esta información, que debe recopilarse en un narrativa de ciberamenaza para cada actividad, le permitirá planificar, priorizar y realizar inversiones en ciberseguridad más orientadas.
Idea en breve
El Desafío
A pesar de los miles de millones gastados en ciberseguridad, el daño causado por las infracciones sigue creciendo, en gran medida porque las empresas no reconocen ni entienden sus riesgos cibernéticos críticos.
El viejo enfoque
Demasiadas empresas se centran únicamente en las vulnerabilidades tecnológicas. La responsabilidad de la ciberseguridad entonces incumbe de forma predeterminada a los especialistas de IT, lo que da lugar a una lista mal priorizada de posibles ataques. La jerga tecnológica domina las discusiones sobre el riesgo, y los líderes y las juntas directivas no pueden participar de manera significativa en ellas.
Una mejor manera
Un enfoque más fructífero es identificar sus actividades empresariales críticas, los riesgos para ellas, los sistemas que los soportan, las vulnerabilidades de esos sistemas y los posibles atacantes. Los líderes y el personal de toda la empresa pueden participar en este proceso, y la responsabilidad general de la ciberseguridad se traslada a altos ejecutivos y juntas directivas.
Durante la última década, los costos y las consecuencias de las infracciones cibernéticas han crecido alarmantemente. Las pérdidas financieras y económicas totales del ataque WannaCry 2017, por ejemplo, se calcularon en $8 mil millones. En 2018, Marriott descubrió que una violación del sistema de reservas de su filial de Starwood había expuesto potencialmente la información personal y de la tarjeta de crédito de 500 millones de huéspedes. Los hackers parecen ser más efectivos. Pero en nuestra experiencia como consultores para clientes de todo el mundo, hemos encontrado otra razón por la que las empresas son tan susceptibles a las amenazas de hackear: no conocen ni entienden sus ciberriesgos críticos, porque están demasiado enfocadas en sus vulnerabilidades tecnológicas.
Cuando los esfuerzos de ciberseguridad se dirigen únicamente a la tecnología, el resultado son líderes de empresas que están mal informados y organizaciones que están mal protegidas. Las discusiones sobre ciberamenazas terminan siendo llenas de jerga tecnológica especializada, y los ejecutivos senior no pueden participar de manera significativa en ellas. La responsabilidad de abordar los riesgos queda relegada por completo al personal de seguridad cibernética y de IT, cuya atención recae principalmente en los sistemas informáticos corporativos. El resultado tiende a ser una larga lista de tareas de mitigación, mal asignadas a las prioridades. Dado que ninguna empresa tiene los recursos necesarios para solucionar todos los problemas de ciberseguridad, las amenazas importantes pueden no ser abordadas.
Un enfoque más fructífero es adoptar la opinión de que la ciberseguridad debe centrarse más en el impacto potencial de las amenazas en el actividades. Digamos que eres ejecutivo de una compañía química. En lugar de preguntar qué ciberataques podrían ser posibles en sus sistemas informáticos, pregunte: ¿Cómo podría un ciberataque generar disrupción su cadena de suministro? ¿O exponer tus secretos comerciales? ¿O hacer que no cumpla con sus obligaciones contractuales? ¿O causar una amenaza a la humanidad? Ese ajuste puede parecer menor, pero cuando los líderes empiezan con actividades cruciales, pueden priorizar mejor el desarrollo de ciberdefensas.
Un CEO con el que trabajamos, Richard Lancaster de CLP, el tercer proveedor de electricidad más grande de Asia, describió el cambio de mentalidad de esta manera: «Inicialmente, vimos los ciberriesgos principalmente como un problema de IT. Con el tiempo nos dimos cuenta de que lo que era realmente vulnerable era nuestra red eléctrica y plantas generadoras. Ahora reconocemos que el ciberriesgo es realmente un riesgo empresarial, y mi trabajo como CEO es administrar el riesgo empresarial». Con esta perspectiva, la responsabilidad pasa de IT a altos ejecutivos y consejos, quienes deben asumir un papel activo y garantizar que los equipos de ciberseguridad se centren en las amenazas adecuadas.
Desarrollo de narrativas de amenazas cibernéticas
Identificar y arreglar los ciberriesgos es un proceso social. Para evaluar con precisión dónde se encuentran los más importantes, debe tener en cuenta los puntos de vista y opiniones de una amplia gama de empleados. Al involucrar a un grupo amplio, construirá una comprensión común de los hechos y detalles críticos desde el principio, lo que le permitirá llegar a un consenso cuando posteriormente necesite gestionar los riesgos.
Los ataques no siempre son sofisticados o técnicamente complejos.
Para ayudar a las empresas a organizar y compartir la información relevante con una amplia audiencia, hemos desarrollado una herramienta que llamamos narrativa de ciberamenaza. Aborda las cuatro partes de la historia de un posible ataque cibernético: una actividad empresarial clave y los riesgos para ella; los sistemas que apoyan esa actividad; los tipos potenciales de ataques y posibles consecuencias; y los adversarios más propensos a llevar a cabo ataques. Esbozar detalles sobre los cuatro ayudará a las empresas a reconocer y priorizar sus riesgos y a preparar acciones correctivas.
Las personas de su grupo de ciberseguridad deben hacerse cargo del desarrollo de cibernarrativas, pero deben solicitar contribuciones de:
- Liderazgo. El CEO, el equipo ejecutivo y otros ejecutivos sénior. Las reuniones con los líderes ejecutivos son críticas, pero no necesitan llevar mucho tiempo; el guión de las entrevistas y las discusiones cuidadosamente hará que sean más eficientes y más fáciles de documentar.
- Operaciones. Personal involucrado día a día en las actividades empresariales centrales.
- Sistemas de IT. Personas responsables de la administración de los sistemas informáticos que apoyan las actividades.
- Especialistas relevantes. Personal con experiencia relacionada con el tipo y las consecuencias de la clase particular de amenaza que está delineando, como empleados legales, relaciones públicas, recursos humanos y seguridad física. Por ejemplo, si una narrativa trata de un ataque que produce una pérdida de datos personales, querría incluir al equipo legal en las discusiones debido a la posibilidad de que se produzca una infracción normativa.
Veamos ahora cada elemento de una narrativa de ciberamenaza, cómo desarrollarla y quién debería participar.
Actividades empresariales críticas y riesgos
Para identificarlos, el equipo de ciberseguridad debe entrevistar a los líderes de la compañía; examinar sus declaraciones escritas de tolerancia al riesgo, como las que se encuentran en los informes anuales; y considerar los objetivos de la empresa, como los objetivos de ingresos o el crecimiento en nuevos mercados. Un objetivo de ingresos, por ejemplo, podría depender del desarrollo de nuevos productos o de la ampliación de la oferta de servicios. Entrar en un nuevo país puede ser esencial para aumentar la base de clientes. Las actividades críticas pueden estar fuera de la organización, relacionarse con operaciones internas o implicar el futuro estratégico de la empresa. Para la empresa química, una actividad crítica podría ser, por ejemplo, la fabricación de resinas de poliéster, un producto especializado en alta demanda.
La importancia de una actividad variará según la industria y la empresa. El servicio de atención al cliente es una actividad de bajo riesgo en algunas industrias, como software de consumo o venta al por menor con descuento. Pero en otros, como la industria del juego, las relaciones con los clientes son primordiales. Los casinos en Macao, por ejemplo, dependen de un pequeño segmento de clientes VIP para más del 54% de sus ingresos brutos combinados de juegos. Los riesgos para la gestión de las relaciones con los clientes también amenazan los resultados de los casinos.
El número de actividades empresariales críticas que tiene una empresa y, por lo tanto, el número de narrativas de amenazas cibernéticas que debe desarrollar, también varían de una empresa a otra.
Para evaluar los riesgos de su organización, piense en cómo puede fallar cada actividad clave de una manera que perjudique a su empresa. Por ejemplo, en el caso del fabricante químico, una interrupción de las operaciones de su planta podría impedirle producir resinas, lo que podría reducir sus ingresos. Examine también el riesgo de daños colaterales a sus clientes u otras partes interesadas: por ejemplo, la liberación de sustancias químicas venenosas en el medio ambiente, o la pérdida de información confidencial del cliente, como contraseñas y datos de tarjetas de crédito.
La ciberseguridad es una responsabilidad de la Junta Directiva
Tenga en cuenta que lo que supone un riesgo significativo para una empresa puede no ser para otra. Aunque la interrupción de la producción de resina puede ser perjudicial para una empresa química, puede no ser para otro fabricante químico cuyas resinas no están en demanda, hacer una contribución insignificante a los beneficios, o puede ser producida en plantas alternativas.
Sistemas de soporte
Su empresa no puede montar una ciberdefensa efectiva si no sabe lo que necesita proteger. Por lo tanto, tiene que catalogar sus sistemas informáticos y los servicios y funcionalidades que proporcionan para cada actividad en cuestión. Este proceso debe ser iniciado por los empleados operativos involucrados en la actividad, porque saben qué software utilizan y cuáles serán las consecuencias si esos programas funcionan mal. Los empleados que mantienen los sistemas informáticos también deben participar, ya que tienen una imagen más amplia de la tecnología que soporta este software. Para los ordenadores de uso general, esto normalmente significa personal de IT; para los sistemas de control industrial, significa ingenieros. El inventario debe tener en cuenta las ubicaciones físicas de los sistemas para que el personal de respuesta a incidentes cibernéticos sepa a dónde ir para arreglar las cosas en caso de un ataque.
Aunque existen productos que ayudan a los departamentos de IT a realizar inventarios automatizados de computadoras y software, no pueden identificar qué activos son los más importantes. Al catalogarlos específicamente sobre la base de la actividad empresarial, una empresa puede priorizar la remediación de la vulnerabilidad informática y mejorar las protecciones de manera eficaz.
Tipos de ciberataques y consecuencias
A continuación, el equipo debe describir todos los tipos de ataques que podrían generar disrupción cada actividad crítica, describiendo lo que se requeriría para que los ataques tengan éxito y cuáles podrían ser las posibles consecuencias.
En el nivel más básico, los ciberataques explotan vulnerabilidades en los sistemas informáticos. Los ataques de malware, por ejemplo, utilizan software malicioso para aprovechar los errores de programación en las aplicaciones. (Esta fue la técnica de hackers utilizados en el incidente de WannaCry.) Su personal de ciberseguridad puede y debe identificar los tipos de técnicas que podrían tener como objetivo las vulnerabilidades en sus sistemas informáticos cruciales.
Es importante tener en cuenta que los ataques no siempre son sofisticados o técnicamente complejos. Una vulnerabilidad común a todos los sistemas informáticos es el control casi completo de un administrador sobre la información y las aplicaciones que contiene. Esta energía es necesaria para el correcto funcionamiento y mantenimiento, pero cualquier administrador puede abusar de ella.
¿Cómo podría un ciberataque generar disrupción su cadena de suministro? ¿O exponer tus secretos comerciales?
Un ciberataque puede ejecutarse de innumerables maneras, y no es práctico ni útil enumerarlos todos. Si identifica tipos básicos de ataque, como un hackeo externo que instala malware o un empleado que utiliza indebidamente los privilegios del equipo, eso es suficiente.
Requisitos de ataque.
Comprender lo que un adversario necesita para realizar un ataque cibernético es vital para construir sus defensas. Su grupo de ciberseguridad y el personal operativo involucrado en las actividades críticas pueden identificar los requisitos específicos, pero la mayoría se clasifican en uno de estos tres tipos:
- Conocimiento. Información que el adversario necesita tener, por ejemplo, cómo programar software malicioso o cómo funcionan las presas hidroeléctricas.
- Herramientas y equipos. Qué dispositivos necesita un adversario, no solo ayuda para hackear como crackers de contraseñas y analizadores de red, sino también hardware como portátiles y transmisores de radio.
- Posición. Donde un adversario necesita estar, por ejemplo, ¿necesita estar físicamente al lado de un edificio o tener estatus de empleado o contratista en la organización?
Un banco del sudeste asiático con el que trabajamos había sufrido previamente un ciberataque que resultó en un fraude masivo de tarjetas de débito. La investigación reveló que los hackers tenían que haber conocido el formato de los códigos de autorización Visa y Mastercard y cómo configurar un terminal de tarjeta de crédito. Entre las herramientas que necesitaban figuraban varias terminales y una base de datos de números de cuenta de tarjetas de débito. También tenían que estar en las cercanías locales para coordinar con los comerciantes que eran cómplices del fraude, pero no necesariamente tenían que trabajar en el banco o entrar físicamente en el edificio del banco.
Consecuencias de ataque.
El liderazgo ejecutivo y la alta dirección están bien posicionados para identificar las consecuencias de las interrupciones en las actividades empresariales clave y deben guiar a su grupo de ciberseguridad en esta tarea. El personal de operaciones y sistemas puede señalar consecuencias adicionales; especialistas de otros departamentos, como legal, finanzas y cumplimiento, pueden detectar posibles daños colaterales. Un simple conjunto de «¿Y si…?» preguntas harán que las conversaciones con todos estos jugadores sean fructíferas. Por ejemplo, ¿qué pasaría con la prestación de atención si los registros de pacientes de un hospital ya no fueran accesibles debido a un ataque de ransomware? Para el Servicio Nacional de Salud de Inglaterra después de WannaCry, la respuesta fue la cancelación de miles de citas y operaciones.
Algunas consecuencias van más allá de los costos financieros directos. El ciberataque NotPetya de 2017 interrumpió las operaciones en numerosas grandes compañías de todo el mundo, causando pérdidas totales estimadas de hasta $300 millones en AP Moller-Maersk y $400 millones en FedEx. El gigante farmacéutico Merck estimó el impacto de NotPetya en su negocio en $870 millones debido tanto a los costos directos como a la pérdida de ingresos. Además, el cierre dio lugar a bajos inventarios de una vacuna Merck que previene ciertos tipos de cáncer.
Ciberadversarios
¿Quién va a buscarte? Identificar a los posibles autores, así como sus motivaciones y capacidades, le ayudará a evaluar la probabilidad de un ataque y desarrollar los controles necesarios para frustrarlo. Sus adversarios podrían ser países, organizaciones criminales, competidores, empleados descontentos, terroristas o grupos de defensa. No subestimes su sofisticación: las herramientas avanzadas de piratería están ampliamente disponibles para muchos.
Los líderes de la empresa y el personal de operaciones involucrado en actividades empresariales críticas son los mejores para identificar posibles adversarios, porque están más familiarizados con lo que podría motivar a los atacantes y lo que podrían ganar. Un buen lugar para empezar es preguntar qué tiene su empresa que podría ser de valor para otra persona. Por ejemplo, un competidor podría estar interesado en su I+D y sus secretos comerciales, mientras que una organización criminal estaría más interesada en robar registros financieros de clientes para vender en el mercado negro.
Kotryna Zukauskaite
Las empresas también deben considerar el contexto comercial más amplio de los posibles adversarios. Los gerentes de casino en Macao habían decidido no cifrar las conexiones de red que utilizaban para transmitir los datos de sus clientes VIP a un centro de operaciones centralizado. No se ha determinado la necesidad de hacerlo. Pero cuando pedimos a los gerentes de casino que pensaran quién podría ganar de un ataque, se dieron cuenta de que la red de telecomunicaciones en sí era propiedad de un conglomerado que incluía el competidor más grande del casino.
Incluso los clientes podrían ser ciberadversarios. Los ejecutivos de AMSC, desarrollador de software para el control de turbinas eólicas, quedaron sorprendidos cuando Sinovel, uno de sus mayores clientes, canceló repentinamente todos los pagos de contratos actuales y futuros, por valor de unos 800 millones de dólares. Una investigación reveló que Sinovel había logrado robar el software de AMSC y desplegarlo con más de mil turbinas nuevas. Como resultado de este robo de propiedad intelectual, AMSC reportó una pérdida de más de $186 millones en el ejercicio fiscal 2010. Las pérdidas totales de la compañía por el robo ascendieron a 550 millones de dólares, sólo una fracción de los cuales se ha recuperado. El plan también costó a los accionistas de AMSC 1.000 millones de dólares en capital y obligó a la organización a despojarse de 700 puestos de trabajo, más de la mitad de su fuerza laboral global. Las operaciones de la compañía aún no han devuelto la rentabilidad de AMSC.
A veces, la industria de una empresa o la forma en que una empresa lleva a cabo sus negocios provoca un ataque. Los grupos medioambientales podrían dirigirse a empresas con un mal historial de contaminación. Edward Snowden, un ex contratista de la NSA, robó información de la agencia para exponer programas de vigilancia que había negado públicamente. Acciones como despidos o cierres de plantas también pueden motivar a los empleados a tomar represalias haciendo un uso indebido de sus privilegios informáticos. Y siempre habrá individuos al azar con una agenda personal que perseguir o una reputación que mejorar.
Su empresa puede sufrir consecuencias de un ataque incluso si no es el objetivo directo. La infraestructura, por ejemplo, es cada vez más objeto de ciberataques. Considere los ataques a la infraestructura eléctrica en Ivano-Frankivsk en 2015. Si, como se sospecha, Rusia estaba detrás de los incidentes, probablemente sus motivaciones no tuvieron nada que ver con las propias compañías eléctricas, o con sus clientes, que sufrieron como resultado de interrupciones en el suministro de energía. Las compañías probablemente fueron atacadas simplemente porque están ubicadas en Ucrania, un país con el que Rusia tiene una relación hostil. Al evaluar quién podría querer generar disrupción sus sistemas, debe mirar más allá de su empresa hacia el mundo comercial y político más amplio en el que opera.
Una crisis que podría haberse evitado
Veamos ahora en profundidad un ataque cibernético y cómo los cuatro elementos de la narrativa de ciberamenaza podrían haber capturado información relevante que hubiera permitido a la organización involucrada evitarla.
La comarca de Maroochy es un destino turístico a unos cien kilómetros al norte de Brisbane, Australia. La zona es de excepcional belleza natural y significado ecológico, con largas playas blancas y bosques tropicales tropicales con arroyos y cascadas.
A la vuelta del milenio, el sistema de agua y alcantarillado de la comarca fue supervisado por Maroochy Water Services, que recogía, trató y eliminó 35 millones de litros de aguas residuales diariamente. A finales de enero de 2000, el sistema que administraba sus estaciones de bombeo de aguas residuales comenzó a perder el control sobre las bombas y emitir falsas alarmas. En el momento en que un vendedor concluyó que los ordenadores del sistema estaban bajo ataque, las aguas residuales en bruto habían retrocedido de las estaciones y fluían por toda la comarca, incluso en el campo de golf de campeonato de la PGA de lo que anteriormente había sido un complejo Hyatt Regency de cinco estrellas. En los parques locales, las vías navegables apestaban y se volvieron negras, y la vida marina murió. El hedor era horrible. Los ataques continuaron durante tres meses, hasta que la policía detuvo al autor después de una persecución en coche cerca de una de las estaciones de bombeo.
La retrospectiva hace que sea fácil ver lo que salió mal, pero vamos a reconstruir lo que podría haber sido una narrativa de ciberamenaza para la utilidad.
Narrativa de amenaza cibernética de Maroochy
En 2000 un ciberataque al sistema local de agua y alcantarillado causó estragos en la Comarca australiana de Maroochy. Si las officciales de la utilidad que gestiona el sistema hubieran creado una narrativa en la que se esbozaban los cuatro elementos de un posible ataque, habrían estado mejor posicionados para evitarlo.
| ELEMENTO | EJEMPLO |
| Actividad empresarial crítica y riesgos |
|
| Sistemas de soporte |
|
| Tipos de ciberataques y consecuencias |
|
| Ciberadversario | Insider descontentos |
Para la organización, el tratamiento de las aguas residuales era una actividad empresarial crítica. Los sistemas de Maroochy tenían 142 estaciones de bombeo de aguas residuales a la instalación de tratamiento. Debido a las variaciones de elevación en la comarca, si las bombas funcionaban mal, había una buena posibilidad de que las aguas residuales volvieran a los prístinos parques y áreas turísticas de la zona.
Los sistemas informáticos de apoyo para las bombas incluían un sistema central de gestión de operaciones y el equipo de control dentro de las estaciones de bombeo. Desde el sistema central, los operadores podían activar o desactivar estaciones de bombeo individuales y cambiar las tasas de bombeo. Las estaciones de bombeo también podrían gestionarse localmente utilizando equipos que pudieran manipular también el sistema central.
Estos sistemas de soporte tenían dos vulnerabilidades de ciberseguridad. La primera era que cualquiera podía configurar una conexión de red con el equipo; y la segunda era que una vez conectado, no se necesitaba una contraseña para iniciar sesión.
Para tener éxito, un atacante potencial necesitaría comprender cómo funcionaba el equipo, lo que podría obtenerse a través de la experiencia o leyendo los manuales, y la frecuencia de radio utilizada para comunicarse con el equipo, que era fácil de encontrar en la documentación de la empresa. El atacante necesitaría varios equipos (incluido uno que fuera la misma variedad que los utilizados en las estaciones de bombeo), cables de red y equipos de radio bidireccionales. Y para conectarse a los sistemas de control de una estación de bombeo individual, él o ella necesitaría estar dentro del rango de radio, pero no necesitaría irrumpir físicamente en una estación de bombeo.
Los grupos medioambientales podrían dirigirse a empresas con un mal historial de contaminación.
El ciberadversario en este caso resultó ser un ex empleado del proveedor que proporcionó el equipo de control de la estación de bombeo. Después de un período polémico en el vendedor, había solicitado dos veces para un trabajo en Maroochy Water Services, pero no fue contratado. Como resultado, se descontento y resentido y quería vengarse de ambas compañías. Había robado una de las computadoras de la estación de bombeo, y como sabía cómo funcionaba el sistema de control, pudo utilizarlo y equipo de radio para comunicarse con las estaciones de bombeo individuales. Luego los manipuló para hacerse cargo del sistema central de gestión de operaciones y causar estragos.
Si los ejecutivos de Maroochy Water Services hubieran trabajado con su personal para desarrollar una narrativa para el tratamiento de aguas residuales, habrían descubierto y entendido los riesgos significativos que enfrentan. Si bien podemos suponer que habrían reconocido que el tratamiento de aguas residuales era una actividad crítica, la investigación y análisis implicados en la creación de una narrativa les habría dado a ellos y a su personal de seguridad de IT una idea clara de cómo los ciberataques podrían socavar los sistemas informáticos de apoyo y causar las bombas y otros equipos de tratamiento de aguas residuales fallan. Y habrían tenido una idea de lo que se necesitaría para que los ciberataques tuvieran éxito y quién podría estar detrás de ellos.
También habrían tenido una base para mitigar esos riesgos. Los miembros del personal de seguridad de IT de Maroochy Water Services habrían sabido las dos vulnerabilidades que debían abordarse para prevenir la crisis de las aguas residuales, y podrían haberlas explicado a los ejecutivos y a la junta directiva en una frase libre de jerga: «Para evitar un ataque cibernético a nuestras estaciones de bombeo, necesitamos requieren que las personas inicien sesión en los ordenadores de estación y restrinjan quién puede conectarse a sus redes».
CONCLUSIÓN
La identificación de los ciberriesgos es un proceso continuo: a medida que su negocio evoluciona y a medida que cambien los sistemas informáticos subyacentes, se enfrentará a nuevas vulnerabilidades. Para detectarlos, su empresa debe tener puntos de control bien definidos dentro de sus procesos de gestión de cambios en los que evalúa el ciberriesgo.
Pero identificar las vulnerabilidades cibernéticas más importantes de su empresa es solo el primer paso. Saber cuáles son los riesgos le permitirá priorizar ataques potenciales, identificar controles que ayudarán a prevenirlos y crear y, si es necesario, ejecutar un plan de remediación práctico. Una buena administración digital requiere trasladar los riesgos empresariales y los líderes empresariales al centro de todas estas conversaciones.