El pasado viernes 12 de mayo, el mundo empresarial se estremecía a medida que los medios de comunicación iban haciéndose eco de un ataque de malware a gran escala y de cobertura internacional.

Aprovechando una reciente vulnerabilidad del sistema operativo y de errores humanos, un malware (software dañino) se propagaba a gran velocidad en multitud de empresas, alcanzando más de 200.000 infecciones en 150 países.

Entre las víctimas destacan el Servicio Nacional de Salud británico (NHS), varias fábricas de Nissan y Renault, la empresa de logística FedEx y algunas grandes corporaciones españolas como Iberdrola, Gas Natural o Telefónica.

Una vez realizada la infección, este ransomware cifraba los archivos del equipo infectado para pedir un rescate económico.

Lo que resulta importante tener en cuenta es que, a pesar del enorme efecto mediático que tuvo, este suceso no tuvo nada de especial. En palabras de Enrique Dans, referente nacional en tecnología y profesor universitario de IE Business School, “es un virus vulgar, con un mecanismo de infección aleatorio y nada sofisticado, que utiliza una vulnerabilidad publicada hace tiempo”.

Y precisamente el hecho de que se trate de un suceso sin ninguna particularidad destacable es su principal problema. Porque nada impide que no vuelva a producirse en el futuro, y todo apunta a que no será la última vez que ocurra algo similar.

Por lo tanto, la infección masiva de WannaCry del pasado 12 de mayo no deja de ser un magnífico ejemplo de por qué es necesario replantearse los planes de continuidad de negocio (BCP) y el papel que tiene la ciberseguridad en los mismos.

Abordar un plan de continuidad de negocio es fundamental para que una organización realice una reflexión profunda de los problemas que puede tener (análisis de riesgos) y establezca las medidas necesarias (políticas, procedimientos) para dar una respuesta eficaz ante desastres o fallos críticos.

Y de forma más concreta, ¿qué acciones debería tomar una empresa para mejorar su resiliencia operativa, desde el punto de vista de seguridad informática?

1. Asegurarse de disponer de copias de seguridad de su información, y que dichas copias se hallan enmarcadas en un plan de continuidad adecuado. Porque de nada sirve tener backups si nunca se prueba su restauración para saber que funcionan y si no se está seguro de su disponibilidad. Se trata de un aspecto básico en los Sistemas de Información, y los directivos deben ser extremadamente rigurosos sobre este aspecto. No puede haber excusas.
2.  Asegurar un estado actualizado de su software, especialmente en lo que respecta al sistema operativo. Esto incluye una política adecuada de actualizaciones de seguridad para prevenir vulnerabilidades como la explotada por WannaCry.
3. Disponer de software antivirus y antimalware en todos los puestos de trabajo, para reducir las probabilidades de una infección
4. Formar y concienciar a los trabajadores que nunca deben abrir archivos adjuntos ni hacer clic en enlaces de correos sospechosos, ya sea por el remitente, el asunto del mensaje, el texto o el nombre del propio archivo.
5. Idealmente, es aconsejable también disponer de planes de contingencia (Disaster Recovery) que permita a la empresa disponer de soluciones para minimizar los tiempos de recuperación ante casos similares

Gran parte de las propuestas que se exponen en este artículo deben promoverse desde los departamentos de Sistemas de Información (o Informática) de las organizaciones, pero en realidad no deben surgir de ahí. Deben ser el resultado de una reflexión estratégica de la Alta Dirección, como parte de un conjunto de medidas diseñadas para asegurar que la empresa siempre esté funcionando.

Porque la tecnología ha alcanzado una presencia tal en las empresas que su indisponibilidad resulta catastrófica para poder mantenerse en funcionamiento. Desde esa perspectiva, la gestión de la continuidad de los Sistemas de Información y las medidas de ciberseguridad deben dejar de ser una preocupación única de los Directores de Informática, para pasar a ser un aspecto clave a tratar en los Consejos de Administración de cualquier negocio que se precie.

Verificar que disponemos de las medidas preventivas y reacticas que aseguren que los procesos seguirán funcionando no es una cuestión de innovación tecnológica, sino un aspecto estratégico de cualquier compañía. Algo demasiado importante como para dejarlo en manos de un único departamento.

Para más información sobre el ataque WannaCry, puedes consultar nuestro post en ValoraData.

Perfil del autor

Toni Dorta

Entradas relacionadas

• Toni Dorta

  https://www.grupovalora.es/author/tonidorta/

  La continuidad de los negocios a partir del 2020