¿Cómo recuperarte de un ciberataque? La clave está en la educación

La capacidad de recuperarte de un trauma y salir fortalecido es lo que los psicólogos llaman resiliencia. Cuando lo aplicamos a la ciberseguridad es fácil entender que implica aprender lecciones de los ataques ya sufridos para que la compañía sea cada vez más inaccesible para los hackers. La clave de este concepto es que implica un cambio de mentalidad: pasamos de plantearnos la posibilidad de sufrir un ciberataque a tener la seguridad de que ocurrirá.

Es decir, “ya hemos entendido que los ciberataques son inevitables y la ciber-resiliencia nos ayuda a plantear qué hacer cuando sucedan: nos preparamos mejor para afrontarlos”, explica Alberto Hernández, director general de INCIBE. Además, este cambio de mentalidad afecta también a la forma en que se percibe la inversión del dinero. Si hablamos de la posibilidad de sufrir un ciberataque, el dinero dedicado a la protección de la compañía es un gasto; si hablamos de algo que sucederá con certeza, ese mismo dinero se convierte en una inversión.

Los participantes en un desayuno informativo organizado la semana pasada por EL PAÍS RETINA y patrocinado por Accenture coinciden en que la coordinación internacional y de equipos dentro de las compañías es indispensable para adquirir esta ciber-resiliencia. “La ciberseguridad es una cuestión internacional: no tiene fronteras y la colaboración es imprescindible porque muchos ataques que suceden en nuestro país vienen de otros países”, sostiene Hernández. “Uno de cada tres ataques internacionales tiene éxito”, apunta Xabier Mitxelena, responsable de ciberseguridad de Accenture para España, Portugal e Israel. Además, en este ecosistema, la comunicación es clave. “Las grandes organizaciones y el país tienen que tener un gran interlocutor para compartir información durante las crisis”, añade Mitxelena.

Esa es una forma de gestionar las crisis una vez que se ha producido el ataque. Pero, dado que los ataques informáticos son imposibles de evitar, otra de las claves en la que los participantes se mostraron de acuerdo fue en la necesidad de concienciar a los trabajadores de las compañías, a las pymes y a los usuarios. “Es fundamental el cambio cultural que tiene que producirse en las organizaciones. No solo es cuestión de dinero”, asegura Rosa Kariger, directora global de ciberseguridad del grupo Iberdrola. “También me preocupa en qué situación estamos dejando a las pymes: no tienen recursos y además no están concienciadas. Un Wannacry en las pymes podría parar el país y hacer mucho más daño que el virus que atacó a las grandes compañías”, añade Alejandro Villar, director de ciberseguridad y riesgo tecnológico de Repsol.

• ¿Qué hacemos entonces?

Uno de los puntos a tener en cuenta es que las cuestiones de seguridad son reactivas, es decir, somos conscientes de la gravedad del asunto cuando nos atacan, no antes. Por eso, es importante dejar de castigar el fracaso y entender que nos sirve de aprendizaje. “Es importante hacer simulacros, ensayar es una asignatura pendiente”, explica Juan Cobo, CISO global de Ferrovial. Y la historia lo demuestra. Tras el ataque Wannacry se supo que menos del 20% de las empresas se habían enfrentado a un ransomware y la inmensa mayoría de las que fueron infectadas no habían hecho los ejercicios de parcheo necesarios. “Es necesario saber cómo está pensando el atacante y qué quiere de mí”, añade Xabier Mitxelena, responsable de ciberseguridad de Accenture para España, Portugal e Israel. “El 80% de los ataques que se sufren son aleatorios pero el otro 20% restante está pensado y orientado a tu compañía por X motivos”.

Otra de las propuestas que se puso sobre la mesa fue la necesidad de obligar a los fabricantes a incorporar servicios de seguridad en sus productos. Ahora, si compras un ordenador, instalar un antivirus y actualizarlo es responsabilidad del usuario pero si ya trajera esa configuración predeterminada, se podrían evitar grandes contagios. “Un producto por defecto tiene que venir con la seguridad necesaria. Y luego podemos añadir los refuerzos que queramos. Esta podría ser una forma de ayudar a las pymes, dándoles el producto hecho”, propone Kariger. Y lo compara con la seguridad en los coches: “los automóviles ya tienen que venir de fábrica con el sistema ABS instalado, no podemos esperar a que el conductor se haga cargo de eso”, explica. Y Hernández, de INCIBE, recalca que “seguimos necesitando educación: “los conductores tienen que saber utilizar los sistemas de seguridad de un coche y responsabilizarse de mantenerlos. Igual con la ciberseguridad”.

¿Y cómo hacemos todo esto? Tirando de talento y mejora de procesos. “A pesar de la fuga de cerebros de la crisis española, seguimos teniendo mucho talento, mucha capacidad de generar industria”, asegura Mitxelena. Y Juan Cobo, de Ferrovial, está de acuerdo a medias: “Hay mucho talento en España, pero está mal pagado y se acaba yendo. Por ahora, nos apoyamos mucho en terceros, que sí que tienen ese talento. Pero eso es un error. Muchos de los ataques comienzan con los empleados, que no instalan actualizaciones o descuidan los sistemas operativos. Por eso la concienciación es tan importante”.

Desde un punto de vista más práctico y tirando de inteligencia artificial, Villar, de Repsol, propone automatizar tareas donde ahora mismo falla el ser humano. Kariger, por su parte, apuesta por la formación de los trabajadores: “Más que contratar a un ejército de hackers, es mejor trabajar la formación en ciberseguridad de los técnicos que ya tenemos, fomentar el talento interno y el trabajo transversal. La tecnología ya la tenemos, es necesario el talento y la formación”.