El viernes 19 de julio del 2024 se convirtió en una fecha que será recordada por muchos, no por un desastre natural o una crisis económica, sino por un colapso digital que paralizó a millones de usuarios en todo el mundo. Una actualización defectuosa de la plataforma de ciberseguridad CrowdStrike provocó un apagón masivo en Microsoft Azure, afectando a millones de dispositivos en todo el planeta. Este incidente dejó al descubierto no sólo la fragilidad de los sistemas interconectados, sino también la importancia de estar preparados para lo inesperado.
Este evento de alcance global dejó un mal sabor de boca en muchas empresas, que se dieron cuenta de lo mal preparadas que estaban para responder ante una crisis de tal magnitud. Pero más allá de las consecuencias inmediatas, lo que realmente destaca de esta situación es la oportunidad que brinda para aprender y mejorar las estrategias de recuperación de incidentes de ciberseguridad.
Los CISOs (Chief Information Security Officers) alrededor del mundo han enfocado durante mucho tiempo sus esfuerzos en la detección y protección de amenazas, utilizando tecnologías avanzadas como soluciones XDR y firewalls de siguiente generación. Sin embargo, el apagón provocado por CrowdStrike les recordó la importancia de también centrarse en la recuperación. No basta con detectar y bloquear ataques; es crucial tener un plan robusto para recuperarse después de un desastre.
Reconsiderar las estrategias
Este apagón digital ha empujado a muchas organizaciones a replantear sus estrategias de recuperación. Una de las lecciones más importantes es la necesidad de realizar simulacros y pruebas constantes de los planes de contingencia. Y es que no sirve de mucho tener protocolos documentados si, en el momento de la verdad, no se siguen al pie de la letra. Las empresas deben asegurarse de que sus empleados estén capacitados y preparados para actuar según lo previsto en situaciones de crisis, cualquiera que sea su origan.
Por otro lado, la revisión de los acuerdos con proveedores de hardware y software es un aspecto que ha cobrado mayor relevancia en los últimos años. Confiar en un sólo proveedor puede ser un enorme riesgo. Es fundamental diversificar y contar con varias opciones que puedan respaldar a la empresa en caso de un fallo. La clave aquí es no poner todos los huevos en una sola canasta, especialmente cuando se trata de recuperación.
Asimismo, las empresas están comenzando a evaluar de manera más rigurosa a sus proveedores, especialmente aquellos que forman parte de la cadena de suministro de TI. Los incidentes de ciberseguridad en los últimos años han demostrado que la cadena de suministro es uno de los principales vectores de ataque. Por lo tanto, es imprescindible que las organizaciones verifiquen y auditen regularmente a sus proveedores para asegurarse de que cumplen con los controles de seguridad necesarios.
En este sentido, no todos los proveedores deben ser evaluados con el mismo rigor. Es importante clasificarlos de acuerdo con su criticidad y aplicarles los controles de seguridad correspondientes. Los proveedores críticos deben cumplir con todos los controles de seguridad, mientras que aquellos de menor importancia pueden estar sujetos a requisitos menos estrictos. Esta segmentación permite una gestión más eficiente y enfocada de los recursos de seguridad.
Compromiso y comunicación
La alta dirección, incluyendo el consejo de administración y los líderes ejecutivos (C-Level), juega un papel crucial en la gestión de riesgos y en la implementación de planes de recuperación. Si no hay un compromiso firme por parte de la alta dirección, es difícil que se logren avances significativos en la preparación y recuperación ante incidentes. Es vital que estos líderes estén conscientes de los riesgos y apoyen las medidas necesarias para mitigarlos.
Un aspecto que a menudo se pasa por alto es la comunicación durante una crisis. Este incidente demostró lo esencial que es manejar adecuadamente la comunicación tanto hacia el interior de la empresa como hacia el exterior. Los clientes y proveedores deben ser informados de manera clara y oportuna para mantener la confianza y evitar situaciones de pánico. Una comunicación bien manejada puede ser la diferencia entre una crisis controlada y una pérdida masiva de reputación.
Además, la experiencia vivida con el incidente de CrowdStrike subraya la importancia de aprender de los errores del pasado. Las empresas deben revisar incidentes anteriores y analizar cómo respondieron. Este análisis les permite definir una línea base de conocimiento que puede ser invaluable para enfrentar futuros eventos. Aprender de la experiencia es la clave para mejorar continuamente y estar mejor preparados para lo inesperado.
En México, como en muchos otros países, aún no se le ha dado la importancia suficiente a la recuperación de desastres en el ámbito de la ciberseguridad. A lo largo de los años, se ha invertido en detectar y protegerse contra incidentes, pero no en recuperarse de ellos. Este evento global debería servir como un recordatorio urgente de la necesidad de desarrollar y fortalecer los planes de recuperación.
Sin duda, el incidente de ciberseguridad de CrowdStrike nos ha dejado lecciones valiosas. Las empresas deben aprender a prepararse no solo para detectar y protegerse contra amenazas, sino también para recuperarse rápidamente cuando las cosas salen mal.
La diversificación de proveedores, la evaluación rigurosa de la cadena de suministro, la comunicación efectiva y el apoyo de la alta dirección son componentes clave para una estrategia de recuperación exitosa. Al final, lo que realmente importa es la rapidez con las que las organizaciones deben recuperarse y seguir operando después de una interrupción, cualquiera que sea la causa que la detone.
