Las organizaciones de seguridad digital, incluidas aquellas que no se vieron afectadas por el incidente de CrowdStrike, deben resistir la tentación de atribuir el colapso de TI a circunstancias excepcionales 23 de julio de 2024 • , 3 min. de lectura A medida que se asiente el polvo sobre el incidente cibernético causado por CrowdStrike que lanzó una actualización corrupta, muchas empresas realizarán, o deberían, una autopsia exhaustiva sobre cómo el incidente afectó a su negocio y qué se podría hacer de manera diferente en el futuro. Para la mayoría de las infraestructuras críticas y las grandes organizaciones, su plan de resiliencia cibernética probado y comprobado sin duda se habrá puesto en acción. Sin embargo, el incidente, denominado «la mayor interrupción de TI en la historia», probablemente fue algo para lo que ninguna organización, por grande y compatible con el marco cibernético, podría haberse preparado. Parecía un «momento de Armagedón», como lo evidenciaron las interrupciones en los principales aeropuertos el viernes. Una empresa puede prepararse para que sus propios sistemas, o para algunos sistemas de socios clave, no estén disponibles. Sin embargo, cuando un incidente es tan generalizado que, por ejemplo, afecta al control del tráfico aéreo, a los departamentos de transporte del gobierno, a los proveedores de transporte e incluso a los restaurantes del aeropuerto, a las compañías de televisión que podrían advertir a los pasajeros del problema, es probable que la preparación se limite a sus propios sistemas. Afortunadamente, los incidentes de esta escala son poco frecuentes. Lo que el incidente del viernes demuestra es que solo es necesario desconectar un pequeño porcentaje de dispositivos para provocar un incidente global importante. Microsoft confirmó que se vieron afectados 8,5 millones de dispositivos; una estimación conservadora situaría esta cifra entre el 0,5 y el 0,75% del total de dispositivos de PC. Sin embargo, este pequeño porcentaje son los dispositivos que deben mantenerse seguros y en funcionamiento permanente, ya que se encuentran en servicios críticos, por lo que las empresas que los operan implementan actualizaciones y parches de seguridad a medida que están disponibles. No hacerlo podría dar lugar a graves consecuencias y hacer que los expertos en incidentes cibernéticos cuestionen el razonamiento y la competencia de la organización a la hora de gestionar los riesgos de ciberseguridad. Importancia de los planes de ciberresiliencia Un plan de ciberresiliencia detallado y completo puede ayudarle a que su empresa vuelva a funcionar rápidamente. Sin embargo, en circunstancias excepcionales como esta, es posible que su empresa no se ponga en marcha porque otros de los que depende no estén tan preparados o no sean tan rápidos para desplegar los recursos necesarios. Ninguna empresa puede anticipar todos los escenarios y eliminar por completo el riesgo de interrupción de las operaciones comerciales. Dicho esto, es importante que TODAS las empresas adopten un plan de ciberresiliencia y, en ocasiones, lo prueben para asegurarse de que funciona como se espera. El plan incluso se puede probar junto con socios comerciales directos, pero es probable que las pruebas a la escala del incidente de «CrowdStrike Fridays» no sean prácticas. En blogs anteriores, he detallado los elementos básicos de la ciberresiliencia para brindar algunos consejos: aquí hay dos enlaces que pueden brindarle algo de ayuda: #ShieldsUp y estas pautas para ayudar a las pequeñas empresas a mejorar su preparación. El mensaje más importante después del incidente del viernes pasado es no omitir la autopsia ni atribuir el incidente a circunstancias excepcionales. Revisar un incidente y aprender de él mejorará su capacidad para lidiar con incidentes futuros. Esta revisión también debería considerar la cuestión de la dependencia de unos pocos proveedores, las trampas de un entorno tecnológico de monocultivo y los beneficios de implementar la diversidad en la tecnología para reducir el riesgo. Todos los huevos en una canasta Hay varias razones por las que las empresas seleccionan proveedores únicos. Una es, por supuesto, la rentabilidad, las otras probablemente sean un enfoque de panel único y los esfuerzos por evitar múltiples plataformas de gestión e incompatibilidad entre soluciones similares, una al lado de la otra. Puede que sea el momento de que las empresas examinen cómo la coexistencia probada con sus competidores y la selección diversificada de productos podrían reducir el riesgo y beneficiar a los clientes. Esto incluso podría tomar la forma de un requisito de la industria, o una norma. La autopsia también debería ser realizada por aquellos que no se vieron afectados por «CrowdStrike Friday». Usted ha visto la devastación que puede causar un incidente cibernético excepcional, y si bien no lo afectó esta vez, es posible que no tenga tanta suerte la próxima vez. Por lo tanto, tome las lecciones de otros de este incidente para mejorar su propia postura de resiliencia cibernética. Por último, una forma de evitar un incidente de este tipo es no utilizar tecnología tan antigua que no pueda verse afectada por un incidente de este tipo. Durante el fin de semana, alguien me recomendó un artículo sobre que Southwest Airlines no se vio afectada, supuestamente debido al hecho de que utilizan Windows 3.1 y Windows 95, que, en el caso de Windows 3.1, no se ha actualizado durante más de 20 años. No estoy seguro de que existan productos antimalware que aún admitan y protejan esta tecnología arcaica. Es posible que esta estrategia tecnológica antigua no me dé la confianza necesaria para volar con Southwest en un futuro próximo. La tecnología antigua no es la respuesta y no es un plan viable de ciberresiliencia: es un desastre a punto de ocurrir.