LA aerolínea United Airlines, el periódico Daily Mail, Dow Jones&Co o más recientemente la operadora de telecomunicaciones británica Talk Talk son algunas de las compañías que han sufrido ciberataques en el mes de octubre. Si se amplía el calendario, nos encontramos con algunos de los casos más mediáticos de: la App Store de Apple, la plataforma de juego de Microsoft Xbox, Lenovo, Uber, Ryanair y, por supuesto, el famosísimo ataque contra la página web de contactos Ashley Madison. Y, sin embargo, estos son sólo la punta del iceberg. La realidad apunta a cientos de ataques cada día en todo el mundo. Que se conviertan o no en noticia, y que consigan o no sus objetivos, depende en gran parte de las estrategias de preparación y respuesta adoptadas por las compañías.

Si algo nos han enseñado todos los ataques es que nadie está a salvo. Puede que sólo lleguen a las portadas los ataques contra grandes corporaciones, pero los cibercriminales están igual de interesados en los datos bancarios de los clientes de una pequeña pyme o de los usuarios domésticos. Es imprescindible que las compañías españolas, sea cual sea su tamaño y su actividad, comiencen a tomar conciencia de la realidad, que no es otra que los más de 36.000 ciberataques registrados en los primeros ocho meses de 2015 en nuestro país según cifras del Incibe. La conciencia de que esto nos puede pasar a cualquiera, adoptar medidas de protección, la vigilancia continua y el ensayo de diversos escenarios son la única receta para dar una respuesta rápida y efectiva. Los ciberejercicios permiten comprobar si las medidas de defensa, los procesos, capacidades y recursos definidos dentro de la organización actúan de manera adecuada y coordinada ante un ciberataque. Son también una manera de determinar qué áreas deben reforzar sus procesos, tanto humanos como técnicos, para conseguir respuestas más ágiles y competentes. No se deben olvidar los planes de comunicación interna y externa, pues la confianza y nuestra reputación se pueden deteriorar en muy poco tiempo.

La ciberinteligencia, es decir, la búsqueda y análisis de información de las compañías en los mundos real y el digital, permite que las empresas puedan obtener indicios de posibles ciberataques, de manera que puedan tomar medidas proactivas para minimizar y responder. Mediante herramientas y procedimientos de ciberinteligencia se podría localizar información de coordinación de ciberataques; la venta o publicación de vulnerabilidades, credenciales o secretos robados; el uso ilícito de marca; ataques contra la reputación de sus directivos; etcétera.

Pero la ciberinteligencia sólo funciona si somos capaces de realizar su correcta aplicación a las medidas de protección y realizamos una lectura del estado de la empresa en tiempo real, lo que requiere una monitorización 24x7. El uso de herramientas específicas en busca de patrones de comportamiento inusuales o sospechosos permite identificar daños potenciales con poca diferencia temporal entre el momento en el que se desarrollan y el instante en que entran en juego. Es posible, incluso, adelantarse a las acciones de los ciberdelincuentes, minimizando el acceso a información sensible. Si, como ocurre la mayor parte de las veces, el ataque tiene éxito, la monitorización continua no sólo puede darnos información sobre el tipo de ataque y las herramientas que se están utilizando para llevarlo a cabo, sino también datos sobre su evolución futura o el objetivo final del ataque (venta de datos, ataque reputacional, etcétera).

Curiosamente, uno de los elementos de los que las compañías se olvidan a veces es el factor humano. Concentrados en conseguir las últimas tecnologías de protección y respuesta, no es inusual descuidar la formación de los profesionales, que se convierten así en el eslabón más débil. Planes de capacitación continuos, así como el desarrollo e implementación de políticas de prevención y protección permitirán asegurar que la implicación de la plantilla es total. Reforzados con entrenamientos y simulacros, las habilidades de los profesionales ante una situación crítica permitirán no sólo reaccionar más rápidamente, sino también hacerlo de forma ordenada, racional y consistente.

Sólo la práctica lleva a la perfección, por lo que, una vez establecido un plan de prevención y mitigación del ciber riesgo, y otro de gestión de crisis, será necesario destinar recursos y tiempo a su perfeccionamiento. Ciberinteligencia, protección avanzada, monitorización 24x7, concienciación, ciberejercicios y comunicación son seis elementos clave que cualquier empresa debe dominar si quiere enfrentarse a una realidad en la que las ciberamenazas son cada vez más frecuentes. Y, no lo olvidemos, nadie está libre de peligro.