Por qué las empresas deberían compartir información sobre los ciberataques

Los líderes empresariales actuales están dedicando más recursos a la ciberseguridad, pero parece que tienen menos que mostrar. El motivo de esta desconexión: el paradigma fundamental que impulsa la ciberseguridad no ha cambiado con los tiempos.

La mayoría de las empresas tratan de prevenir los ciberataques centrándose en sus redes internas. Mapean sus redes en detalle, identifican todos los dispositivos de esas redes y tapan las brechas de seguridad para minimizar las vulnerabilidades en el software y el hardware. Utilizan productos basados en firmas para identificar el malware antes de que entre en sus redes. Este enfoque es caro, difícil de implementar y está condenado al fracaso cuando se enfrenta a adversarios sofisticados; es casi imposible identificar y corregir todas las vulnerabilidades, incluso en una mediana empresa. Y los intentos de prevenir los ciberataques de esta manera no se ampliarán con las nuevas tecnologías que las empresas están adoptando, como los dispositivos móviles y la computación en nube.

Piense en el enfoque actual como el de un portero de fútbol que intenta defender su portería dando la espalda a los jugadores del campo y, en cambio, mirando fijamente a la red. El portero espera que, al entender la naturaleza de su red con gran detalle, pueda bloquear los tiros que se le presenten. Puede que tenga suerte de vez en cuando, pero la mayoría de los tiros lo sortearán. Centrarse en las vulnerabilidades es como mirar fijamente a la red; desvía tiempo y energía de la acción en el campo de juego, con un gran coste para el equipo.

Se necesita una estrategia mejor.

Nuestro primer consejo para el portero es que se dé la vuelta y se concentre en los posibles tiros que se dirijan hacia él. Aún mejor, podría estudiar cine de juegos para conocer las tendencias de sus oponentes (por ejemplo, ¿cómo prefieren prepararse para los saques de esquina?) , identifique sus puntos fuertes y débiles (por ejemplo, este delantero prefiere el pie izquierdo para los tiros a portería) y comparta esa información con sus compañeros defensores. El reconocimiento de patrones permitiría al portero anticipar de dónde vendrán los tiros y posicionarse en consecuencia, lo que reduciría en gran medida las posibilidades de que el equipo contrario marque un gol.

La analogía se aplica fácilmente a las empresas; deben ir más allá de la gestión de vulnerabilidades y desarrollar ciberdefensas basadas en las amenazas. Para ello, tienen que desarrollar una comprensión de sus adversarios. A nivel táctico, las empresas se beneficiarán de la captura de datos en cada intento de intrusión y en cada intrusión exitosa en su empresa. Luego, pueden desarrollar indicadores de amenazas, como direcciones IP y marcas horarias, que se pueden utilizar para detectar intrusiones. Al examinar estos datos a lo largo del tiempo, las organizaciones pueden empezar a ver tendencias y patrones, igual que el portero que estudia la película del partido.

Es importante tener en cuenta que muchos ciberataques, especialmente los de ciberespías patrocinados por el estado, no se producen una sola vez. Los adversarios desarrollan planes de campaña para adquirir información específica y los ejecutarán con paciencia durante un período de meses o años. Cuanta más información se pueda recopilar sobre los métodos de un infiltrado, ya sea mediante ataques a su propia empresa o a otra organización, más sólidas serán sus defensas.

La mayoría de las empresas no pueden protegerse de adversarios sofisticados por sí mismas ni pueden captar todas las intrusiones. Compartir los datos sobre las amenazas entre las empresas ofrece una imagen más completa de las tácticas de campaña del adversario, una ventaja predictiva que puede prevenir futuros ataques.

La clave es compartir el tipo de datos correcto. En el fútbol, todos los equipos tienen acceso a la misma película, pero vigilan de cerca sus análisis y su plan de juego. Compartir indicadores de amenazas es como compartir una película de un juego: proporciona datos útiles que, si se analizan correctamente, pueden resultar muy beneficiosos. No llega a revelar información confidencial.

El intercambio de datos tiene desafíos. Se deben establecer los procesos y la infraestructura para compartir los datos sobre ciberamenazas de forma segura y rápida. El elemento clave para establecer estos mecanismos no es técnico, es humano. Las empresas no compartirán información con entidades que no conozcan. Los que trabajan en el mismo sector o región deberían asociarse y establecer conexiones personales. Con la confianza establecida, se pueden poner en marcha procesos automatizados para difundir rápidamente los indicadores de ciberamenazas.

Las relaciones de confianza fomentan un modelo de «vigilancia vecinal» en el que las empresas trabajan juntas para reforzar la seguridad general. Naturalmente, cada empresa tendrá sus propios intereses, pero estos intereses en conjunto benefician a toda la comunidad.

Los ejecutivos de empresa se enfrentan a la realidad de que las ciberdefensas tradicionales no detendrán los ciberataques, independientemente del aumento del gasto o de los recursos adicionales. Nuestros adversarios comparten información sobre nosotros; es hora de que hagamos lo mismo.

Datos bajo asedio
Un HBR Insight Center

• Por qué su CEO representa un riesgo para la seguridad
• Tenga cuidado con la privacidad de las operaciones para mayor comodidad
• Cuatro cosas que el sector privado debe exigir en materia de ciberseguridad
• ¿Su CEO realmente entiende la seguridad de los datos?