La entrada en funcionamiento final de la Ley General de Protección de Datos en mayo ha robado todos los titulares de los últimos meses, situando la ciberseguridad en el primer puesto de la lista de prioridades de TI de la empresa. La amenaza de multas masivas por incumplimiento (hasta 20 millones de euros o el 4% del volumen de ventas mundiales) ha llamado sin duda la atención de los responsables de la toma de decisiones de C-suite.
La actividad maliciosa no sólo se centra en el robo de datos, también una caída de los sistemas de la empresa también es increíblemente costosa en más de un sentido. El ataque de rescate de WannaCry en 2017 que paralizó varios hospitales del Reino Unido nunca robó ningún dato, pero sí provocó la cancelación de miles de operaciones de pacientes y la recuperación costó millones de libras.
Unas semanas más tarde, las empresas y el gobierno ucraniano quedaron paralizados cuando el virus Petya se dirigió a industrias clave. La recuperación duró varios días, y de nuevo costó millones de dólares. Los analistas sospechan que la infección puede haber sido perpetrada incluso por un Estado nacional extranjero, dado el nivel de sofisticación del ataque.
Obviamente, estos incidentes fueron causados por partes externas, pero los procesos internos y el diseño del sistema son una gran parte del problema. La realidad es que el tiempo de inactividad tiene un impacto masivo, y lo mejor que se puede hacer es adquirir una gran resiliencia cibernética.
Entendiendo la resilienciacibernética
En el nivel más básico, la resiliencia cibernética puede resumirse con el acrónimo "CIA" (siglas en inglés) - confidencialidad, integridad y disponibilidad (1). Los que actualmente discuten sobre el aspecto confidencial de la tríada de la CIA, principalmente porque está más íntimamente relacionada con las tendencias de la ciberdelincuencia.
Centrarse en un solo aspecto de la tríada de la CIA crea desequilibrios, reduciendo la eficacia de la estrategia de resiliencia cibernética de una organización. La disponibilidad y la integridad son tan importantes como la confidencialidad.
Los peligros del tiempo de inactividad
En la era de la gratificación instantánea, los clientes esperan poder acceder a sus servicios en línea cuando y donde quieran. Sus competidores nunca están a más de un clic de distancia, y el tiempo de inactividad puede ser el único incentivo que necesitan para hacer el salto.
Recuerde que el 64% de los consumidores y el 80% de los compradores empresariales esperan que su organización responda a sus consultas en tiempo real (2). Si sus sistemas no funcionan, no podrá satisfacer las expectativas (y necesidades) de la gran mayoría de sus clientes.
IDC una vez intentó calcular el costo del tiempo de inactividad del negocio. Según sus estimaciones, la organización media pierde 100.000 dólares por hora, aunque esa cifra puede llegar a 1,6 millones de dólares en algunos casos (3). Cualquiera que sea la causa de la interrupción - crimen, accidente o fallo del sistema - estas cifras son insostenibles.
Resilienciacibernética - simple e inexcusable
Con la llegada de los servicios distribuidos en la nube, gran parte del riesgo asociado a los centros de datos localizados ha sido mitigado. Colocar elementos clave de infraestructura en Amazon AWS o Microsoft Azure permite a su empresa distribuir la carga informática a través de la red global de servidores del proveedor. La resiliencia cibernética es mucho más fácil de lograr con las herramientas de estas plataformas (si se gestionan correctamente), reduciendo drásticamente (o incluso negando) el efecto de un ataque cibernético localizado o una interrupción del servicio.
Lo mismo ocurre con los servicios alojados que se ejecutan en la nube. Construido sobre un conjunto de tecnologías similares, la resiliencia cibernética se ofrece como estándar gracias a la naturaleza distribuida de la arquitectura de la aplicación y el almacenamiento de datos.
Los ataques cibernéticos, el malware y las interrupciones causadas por errores humanos representan una amenaza significativa para su empresa, y es por ello lograr que su empresa tenga una gran resiliencia cibernética deba ser una gran prioridad en su estrategia de computación para el año 2018. Para contrarrestar estos desafíos, su Director Técnico y su Director de Sistemas deben considerar seriamente:
- • Reestructuración de la infraestructura utilizandoserviciosen la nube y coparticipación para mejorar la disponibilidad.
- • Implementeservicios y aplicaciones de tercerosbasadosen la nube para evitarinterrupcioneslocalizadas, mitigarataquescibernéticosselectivos, mantener la integridad de los datos a través de centros de datosdistribuidos y reducir el gasto de capital.
- • Adoptar la seguridadcomomodelo de servicio para anticiparse a las vulnerabilidadesmásrecientes y evitar los problemascausados por la escasez de personal cualificado.
- • Desafiar el pensamientoconvencional - la resiliencia es la otracara de la seguridad y ambasdeben ser abordadasconjuntamente.
Las soluciones a la falta de resiliencia ya existen, y son mucho más rentables que las opciones tradicionales, gestionadas internamente y basadas en infraestructuras compartidas
Después de todo, hacer las mismas cosas de la misma manera que siempre ha hecho, deja a su empresa vulnerable a las amenazas emergentes.
Para obtener más información sobre cómo mejorar la resiliencia cibernética con las soluciones y servicios de seguridad de Advantio, póngase en contacto con nosotros.
Fuentes a las que se hacereferenciaenesteartículo
(1) https://www.techrepublic.com/blog/it-security/the-cia-triad/
(2) https://www.salesforce.com/blog/2017/07/customers-expectations-in-age-of-the-customer.html
(3) https://www.anexio.com/media/ANEXIO-DRaaS-Data-Sheet.pdf
