Ciberseguridad: ¿por qué el modelo tradicional y transaccional ya no funciona?

por Manlio De Benedetto, Director Senior de Ingeniería de Ventas EMEA en Cohesity

Según estimaciones recientes, hay aproximadamente 1,3 millones de ataques de ransomware por día en todo el mundo y a las organizaciones les lleva en promedio más de 270 días identificar completamente un incidente y recuperarse de él. Aún más alarmante es que el costo promedio de una filtración de datos global en 2023 ha aumentado a casi 4,5 millones de dólares. 

Este es un breve resumen del alcance de las consecuencias negativas que enfrentan las organizaciones con este tipo de amenazas. Por tanto, no se trata sólo de gestionar las repercusiones derivadas de verse afectado, una situación grave en sí misma, sino también las ligadas al tiempo empleado por la organización para identificar el problema, descubrir la causa raíz, restaurar completamente los sistemas y garantizar que esa violación no se repite.

Estos últimos aspectos son tan centrales como los primeros, pero menos interiorizados por las empresas, incluso por las grandes organizaciones. Algunos de ellos han gastado millones de dólares en ciberseguridad, pero han sido atacados en los últimos años y han tardado meses en volver a la normalidad. Como señalamos a menudo: ya no basta con levantar barreras cada vez más altas, porque los ciberdelincuentes lamentablemente encontrarán la manera de traspasarlas. 

Evidencia confirmada también por el informe del Foro Económico Mundial (WEF) “Perspectivas globales sobre ciberseguridad 2023” editado por Accenture, que muestra que las amenazas están empeorando, y “el 86% de las empresas líderes y el 93% de los directivos informáticos dicen que la inestabilidad geopolítica global probablemente aumentará”. "Conducirá a un evento cibernético catastrófico en los próximos dos años".

Además, una investigación reciente de la Universidad de Stanford afirma que aproximadamente el 88% de todas las filtraciones de datos son causadas por un empleado que hace clic en un enlace de un correo electrónico o descarga un archivo adjunto. Las empresas e instituciones invierten mucho en formar a sus equipos sobre la centralidad de la seguridad informática, pero migran gran parte de sus flujos de trabajo a la nube y siguen utilizando el trabajo remoto; migraciones en las que los piratas informáticos dependen en gran medida para interceptar los clics de los usuarios y violar sus identidades.

A esto se suma que entre los peores centros de operaciones de seguridad (SOC), se encuentran sobre todo aquellos que tienen que tratar con organizaciones con un gran número de personas y muchos productos. Quienes paradójicamente también han invertido mucho para reducir la probabilidad, y sobre todo el impacto, de un ataque. 

De la defensa a la resiliencia.

Todo esto confirma que el modelo tradicional y transaccional que implica la compra de productos adicionales año tras año conduce cada vez más sólo a una saturación de alertas, a más infraestructuras que gestionar, a más fricciones entre usuarios, a una superficie de ataque mayor y más compleja, etc. . Por tanto a una menor manejabilidad, agilidad y reactividad.

Para contrarrestar estos riesgos es necesario pasar de un enfoque clásico de ciberseguridad a uno de ciberresiliencia. Esto significa reconsiderar las expectativas sobre si la organización sufrirá 

o menos un ataque aceptar que ahora es una alta probabilidad, no una posibilidad. Para llevar al extremo, ya no se trata de "si sucederá" sino de "cuándo sucederá". 

Adquirido este cambio de perspectiva, se debe definir un nuevo conjunto de prioridades partiendo de una premisa: la atención de los equipos de seguridad debe centrarse en la respuesta y recuperación con el objetivo de alcanzar un Objetivo de Tiempo de Recuperación (RTO) igual a cero, respecto al promedio de más de 270 días.

Más allá de la copia de seguridad de archivos

Por supuesto, las copias de seguridad son esenciales cuando los sistemas que deben investigarse para encontrar la causa raíz de la infracción están cifrados o eliminados. En particular, se trata de crear una “sala limpia” que le permita adoptar un enfoque más quirúrgico para la recuperación y, por lo tanto, identificar, aislar e investigar los sistemas comprometidos en un entorno seguro, brindando a los SOC la valiosa ventaja del tiempo durante toda la secuencia de tiempo. El accidente. 

Yo agregaría que el software innovador de administración de datos, como DataProtect de Cohesity, admite la creación de instancias casi instantáneas de estas instantáneas de un momento dado y la orquestación a través de API que le permiten administrar flujos complejos de operaciones de respuesta y recuperación. Estas soluciones también vienen con algunas características de seguridad operativa para clasificar datos, buscar indicadores de compromiso e identificar vulnerabilidades en la propia plataforma de gestión de datos.

Por tanto, está claro que ya no basta con simplemente realizar copias de seguridad de los archivos, las organizaciones deben pensar primero en cómo restaurar las comunicaciones, los sistemas de seguridad y los sistemas de gestión de identidades y accesos, o más bien deben definir una estrategia de continuidad corporativa. Al mismo tiempo, deben investigar a fondo el ataque para saber si la copia de seguridad también está comprometida o no. Si es así, pulsar el botón "copia de seguridad" sólo trae consigo el peligro de sufrir otro ataque y, en consecuencia, retrasar aún más el tiempo necesario para que los servicios críticos vuelvan a la normalidad.

En otras palabras, las empresas deben empezar a pensar en la ciberseguridad también en términos de estrategia de copia de seguridad, cuánta copia de seguridad es necesaria para el proceso de respuesta después de un ataque de ransomware y cómo utilizar la nube para aislar sistemas, crear "salas blancas" y utilizar datos de flujo de trabajo. automatización para permitir una recuperación más rápida.

¡Suscríbete a nuestro boletín!

Ciberseguridad: ¿por qué el modelo tradicional y transaccional ya no funciona?