¿Cómo cuidamos la salud de las pymes ante el riesgo del cibercrimen?

Las micro, pequeñas y medianas empresas son el corazón de nuestro país, son ese motor que permite que circule la mitad de su Producto Interno Bruto y que suministra el oxígeno necesario para generar la nada modesta cifra de 70% de empleos formales de nuestra nación… “tic-tac, tic-tac”

Como todo corazón adulto, las pymes deben enfrentar diversos desafíos que podrían colapsarlas y provocarles un infarto: insuficiencia crediticia, falta de aire por la presión fiscal, aturdimiento por las estrictas regulaciones o arritmias tecnológicas son solo algunos ejemplos.

Por si fuera poco, este corazón se ha sometido a un estrés inusitado durante los últimos 2 años, ya que, ante las mencionadas comorbilidades, el virus del COVID le ha puesto en jaque obligándole a una aceleración digital que a más de uno le han generado arritmias. Y es que, si esas pymes desean convertirse en un “atleta digital” de la noche a la mañana después de llevar una vida tecnológica sedentaria, evidentemente su corazón puede enfermarse e incluso sufrir un paro cardiaco. Uno de los principales factores que puede influir en una muerte súbita es la deficiente ciberseguridad que lamentablemente es característica en estas organizaciones.

Las pequeñas y medianas empresas siempre han sido un objetivo para los ciberdelincuentes. Esto se debe a que suelen ser menos conscientes de los riesgos, más vulnerables a los ataques y tienen menos recursos para invertir en ciberseguridad.

En ese sentido, el corazón de nuestro país se enfrenta a un panorama repleto de arterias obstruidas, grupos cibercriminales que actúan a manera de colesterol malo, pero que tristemente no son identificados como amenazas reales en la mayoría de estas empresas. Y es que muchas tienen la falsa percepción de que son demasiado insignificantes para ser un blanco del cibercrimen, sin embargo, según un informe de la firma de ciberseguridad Forcepoint, 96% de empresas sufrieron algún ciberataque en 2021, por lo tanto, por mera estadística una empresa ya sufrió un ciberataque o está siendo atacada en este momento, y la mayoría de las pymes ni siquiera lo saben. Otro dato estremecedor para el corazón es que se ha identificado al ransomware -el tristemente afamado secuestro de datos- como una amenaza que está incrementando dramáticamente su presencia en este sector. Solo en nuestro país, durante el primer trimestre de 2022 se registraron 14,000 ataques de este tipo. Por otro lado, además de ser un objetivo para la ciberdelincuencia, las empresas más pequeñas se han convertido en el camino más corto y fácil de transitar para atacar a organizaciones más grandes.

Y entonces ¿Cómo cuidamos la salud de este corazón ante el riesgo del cibercrimen?

Fundamentalmente, modificando la cultura de seguridad a través de la concientización del personal con el objetivo de abandonar los hábitos que pueden poner a las empresas en riesgo, así como construir una actitud positiva de la incorporación de la ciberseguridad en las actividades cotidianas de la organización. Si se desarrolla un nuevo producto o servicio, se debe considerar la ciberseguridad en su diseño. La ciberseguridad debe ser ese oxígeno y nutriente para operar sin peligro.

Asimismo, las pymes deben valorar su salud en ciberseguridad a través de un check up periódico: un análisis de riesgos. El apetito de riesgo debe ser el termómetro que permita dirigir los esfuerzos de ciberseguridad, los cuales evidentemente deben ser respaldados desde la dirección.

No se debe perder de vista que se debe actuar. Con base en los resultados de estos análisis, se deben fortalecer los controles que pueden ir desde habilitar herramientas tecnológicas hasta la creación y formalización de políticas y procesos. El objetivo es ejecutar las acciones que disminuyan el riesgo de padecer un impacto derivado de un ciberataque, así como mantener un monitoreo de los activos para que en caso de que se concrete un incidente se tenga la capacidad de minimizarlo y recuperar la operación lo más pronto posible, es decir, crear resiliencia y adaptarse ante la adversidad.

Debemos recordar que es un ciclo continuo, las amenazas de hoy no necesariamente serán las de mañana, y por lo tanto los controles que hayamos establecido deben adaptarse.

Finalmente, la ciberseguridad no debe ser vista únicamente como un instrumento para evitar riesgos.  Peter Drucker decía que el emprendedor siempre busca el cambio, responde a él y lo utiliza como una oportunidad. La ciberseguridad también es una gran oportunidad de diferenciarse, las pymes pueden convertirse en un ejemplo de digitalizadores seguros y eso afortunadamente es apreciado en gran medida por sus consumidores.

Provehito in altum
Por: Juan Pablo Carsi

El Director del FBI declaró la  semana pasada que la agencia frustró un ciberataque en junio de 2021 dirigido al Boston Children’s Hospital.

El ataque se adjudicó a un grupo APT respaldado por el gobierno iraní, el cual aprovechó vulnerabilidades de un firewall para acceder a las redes de control ambiental que estaban interconectadas con el hospital.

En este caso, la inteligencia del ecosistema de colaboración de agencias estadounidenses y la oportuna reacción del FBI impidió que existiera una afectación al centro con más de 400 camas, pero debemos recordar que lamentablemente no siempre se ha tenido suerte. El sector salud es de los objetivos más asediados por el cibercrimen y particularmente, la creciente amenaza del ransomware es de las más inquietantes. El emergimiento del IoT en las redes hospitalarias y la ausencia de controles de seguridad desde el diseño de los dispositivos médicos convierten a sus infraestructuras en un suculento vector de ataque para diferentes actores de amenaza.

Es curioso, si bien es evidente que en los centros hospitalarios públicos encontramos importantes carencias y diferencias entre ellos, podemos observar que los hospitales privados, en lo general, se distinguen por sus protocolos de seguridad. Podemos percibir orden, estructura, limpieza, alertas homogéneas, monitores y muchos señalamientos, así como zonas de triage y urgencias donde los procesos de respuesta son destacables. Las personas son constantemente capacitadas, parece que todas esas batas blancas y uniformes azules saben qué hacer en el momento preciso.

Sin embargo, en el grueso de los hospitales no se refleja este mismo panorama en su ciberseguridad, ¿qué se puede hacer? Por supuesto, no existe un tratamiento mágico y todos los centros hospitalarios tienen características particulares, pero un elemento fundamental en su estrategia debe ser seleccionar el framework adecuado que les guíe de la mejor manera en la definición de su postura de seguridad basada en su tamaño, complejidad y nivel de riesgo. El NIST CSF es una referencia socorrida en muchas industrias y puede ofrecer a los hospitales orientación sobre cómo protegerse de ciberataques y al mismo tiempo cumplir con regulaciones como HIPAA. Un recurso útil para las organizaciones que desean implementar el NIST CSF es Healthcare Sector Cybersecurity Framework Implementation Guide que se desarrolló a priori para apoyar a organizaciones del sector salud.

Otro instrumento clave que nunca debe faltar es el análisis de riesgos, que a manera de ecografía permitirá diagnosticar qué le duele a la infraestructura del hospital y cómo comenzar a tratar, o al menos paliar sus dolores. Este check-up debe realizarse periódicamente, de manera que podamos monitorear cualquier síntoma que denote la posibilidad de que ese riesgo se materialice.

Para reflexionar: el sector salud es estratégico para los estados y considerado como una infraestructura crítica, ¿hacemos lo adecuado, no solo como profesionales sino como sociedad, para protegerlo?

Como decía  Séneca: “Parte de la curación está en la voluntad de sanar.”

Provehito in altum
Por: Juan Pablo Carsi