A medida que se asienta el polvo sobre el ciberincidente causado por CrowdStrike al publicar una actualización corrupta, muchas empresas llevarán a cabo, o deberían llevar a cabo, una autopsia exhaustiva sobre cómo afectó el incidente a su negocio y qué se podría hacer de manera diferente en el futuro.
Para la mayoría de las infraestructuras críticas y grandes organizaciones, su plan de ciberresiliencia probado y comprobado sin duda se habrá puesto en marcha. Sin embargo, el incidente, apodado “el mayor apagón informático de la historia”, fue probablemente algo para lo que ninguna organización, por grande que fuera y por mucho que cumpliera el marco cibernético, podría haberse preparado. Parecía un “momento Armagedón”, como demostraron las interrupciones en los principales aeropuertos el viernes.
Una empresa puede prepararse para que sus propios sistemas, o los de algunos socios clave, no estén disponibles. Sin embargo, cuando un incidente es tan generalizado que, por ejemplo, afecta al control del tráfico aéreo, a los departamentos de transporte gubernamentales, a los proveedores de transporte e, incluso, a los restaurantes del aeropuerto hasta las empresas de televisión que podrían avisar a los pasajeros del problema, es probable que la preparación se limite a sus propios sistemas. Afortunadamente, los incidentes de esta magnitud son poco frecuentes.
Lo que sí demuestra el incidente del viernes es que solo es necesario desconectar un pequeño porcentaje de dispositivos para provocar un incidente global de grandes dimensiones. Microsoft confirmó que 8,5 millones de dispositivos se vieron afectados, una estimación conservadora situaría esta cifra entre el 0,5 y el 0,75% del total de dispositivos PC.
Este pequeño porcentaje, sin embargo, son los dispositivos que necesitan mantenerse seguros y siempre operativos, están en servicios críticos, razón por la cual las empresas que los operan despliegan actualizaciones y parches de seguridad a medida que están disponibles. No hacerlo podría acarrear graves consecuencias y llevar a los expertos en ciberincidentes a cuestionar el razonamiento y la competencia de la organización en la gestión de los riesgos de ciberseguridad.
Importancia de los planes de ciberresiliencia
Un plan de ciberresiliencia detallado y exhaustivo puede ayudar a que su empresa vuelva a funcionar rápidamente. Aun así, en circunstancias excepcionales como esta, puede que su empresa no vuelva a estar operativa debido a que otras personas de las que depende su negocio no estén tan preparadas o no sean tan rápidas a la hora de desplegar los recursos necesarios. Ninguna empresa puede prever todos los escenarios y eliminar por completo el riesgo de interrupción del funcionamiento de su negocio.
Dicho esto, es importante que TODAS las empresas adopten un plan de ciberresiliencia y lo pongan a prueba de vez en cuando para asegurarse de que funciona como se espera. El plan puede probarse incluso con socios comerciales directos, aunque es probable que no resulte práctico realizar pruebas de la magnitud del incidente del “viernes de CrowdStrike”. En blogs anteriores he detallado los elementos básicos de la ciberresiliencia para ofrecer algunos consejos: aquí tienes dos enlaces que pueden servirte de ayuda: #ShieldsUp y estas directrices para ayudar a las pequeñas empresas a mejorar su preparación.
El mensaje más importante tras el incidente del pasado viernes es no saltarse la autopsia ni achacar el incidente a circunstancias excepcionales. Revisar un incidente y aprender de él mejorará su capacidad para hacer frente a futuros incidentes. Esta revisión también debe tener en cuenta el problema de la dependencia de unos pocos proveedores, las trampas de un entorno tecnológico de monocultivo y los beneficios de la aplicación de la diversidad en la tecnología para reducir el riesgo.
Todos los huevos en la misma cesta
Hay varias razones por las que las empresas eligen un único proveedor. Una de ellas es, por supuesto, la rentabilidad, las otras son probablemente un enfoque de un solo proveedor y los esfuerzos para evitar múltiples plataformas de gestión y la incompatibilidad entre soluciones similares, una al lado de la otra. Puede que haya llegado el momento de que las empresas examinen cómo una coexistencia probada con sus competidores y una selección diversificada de productos podrían reducir el riesgo y beneficiar a los clientes. Esto podría incluso adoptar la forma de un requisito del sector, o de una norma.
La autopsia también deberían llevarla a cabo quienes no se hayan visto afectados por el “viernes de CrowdStrike”. Han visto la devastación que puede causar un ciberincidente excepcional y, aunque esta vez no les haya afectado, puede que la próxima vez no tengan tanta suerte. Por lo tanto, aproveche lo que otros han aprendido de este incidente para mejorar su propia postura de ciberresiliencia.
Por último, una forma de evitar un incidente de este tipo es no utilizar tecnología tan antigua que pueda verse afectada por un incidente de este tipo. Durante el fin de semana, alguien me destacó un artículo sobre la no afectación de Southwest Airlines, supuestamente debido al hecho de que utilizan Windows 3.1 y Windows 95, que, en el caso de Windows 3.1, no se ha actualizado desde hace más de 20 años. No estoy seguro de que haya ningún producto anti-malware que todavía soporte y proteja esta tecnología arcaica. Es posible que esta estrategia de tecnología antigua no me dé la confianza necesaria para volar con Southwest en un futuro próximo. La vieja tecnología no es la respuesta, y no es un plan viable de ciberresiliencia; es un desastre a punto de ocurrir.