El riesgo cibernético nunca es nulo, y la falta de inversión puede ser un error crítico.
El pasado fin de semana, los viajeros de toda Europa se vieron atrapados en largas colas y se enfrentaron a la cancelación de vuelos debido a la caída de los sistemas aeroportuarios. Un ataque de ransomware contra una plataforma de facturación aeroportuaria muy utilizada interrumpió los sistemas automatizados de facturación y embarque en algunos de los aeropuertos más transitados de Londres, Berlín y Bruselas. Las aerolíneas se vieron obligadas a volver a los procesos manuales, y en memorandos internos se indicaba que era necesario reconstruir personalmente miles de sistemas dañados.
Casi al mismo tiempo, surgieron informes de que un importante fabricante de automóviles del Reino Unido sufrió un ataque que lo obligó a detener la producción, y que podría tener que absorber cientos de millones en costos mientras los proveedores y los funcionarios del gobierno se apresuran a gestionar el impacto más amplio.
Ambos incidentes ponen de relieve una dolorosa realidad: el ransomware se ha convertido en un riesgo operativo diario para las organizaciones de todos los sectores. La cuestión ya no es si se producirá un ataque, sino cuándo.
El coste humano y económico de las perturbaciones cibernéticas
Para los pasajeros y el personal de las aerolíneas, estos incidentes aeroportuarios significaron horas de confusión y retrasos en los viajes; para los trabajadores de las fábricas, las interrupciones se tradujeron en turnos y salarios perdidos. Para ambos equipos directivos, el mensaje es claro: los incidentes cibernéticos son riesgos operativos a nivel empresarial. Un solo fallo de software o una interrupción del servicio de un proveedor pueden propagarse por todos los sectores y geografías en cuestión de horas.
Estas interrupciones no solo perjudican a la empresa que es atacada directamente, sino que tienen un efecto dominó. Las aerolíneas asociadas, los proveedores e incluso los gobiernos se ven obligados a intervenir para contener las consecuencias.
La ciberseguridad protege los ingresos y la reputación
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) confirmó que el incidente del aeropuerto fue un ataque de ransomware, uno de una oleada creciente que cuesta a las empresas miles de millones de dólares al año en todo el mundo.
Solo en el sector de la aviación, los ataques han aumentado un 600 % año tras año. Y, sin embargo, demasiadas organizaciones siguen considerando la ciberseguridad como un centro de costes en lugar de como una protección para los ingresos y la continuidad.
Los ejecutivos suelen describir dos tipos de líderes: los que ya han sufrido un ataque de ransomware y los que lo sufrirán. Con demasiada frecuencia, las inversiones significativas solo se realizan después de pasar por el momento «¡ay!» de gastar millones en recuperar el funcionamiento normal.
Los ejecutivos con experiencia entienden que el gasto en ciberseguridad no consiste en prevenir todos los ataques posibles. Se trata de garantizar que, cuando se produzca una brecha (no si se produce), las operaciones puedan recuperarse rápidamente sin daños financieros catastróficos. Ahí es donde entra en juego la la gestión del riesgo cibernético el debate. En lugar de tratar el riesgo de forma aislada, las organizaciones líderes:
- Centralice las evaluaciones entre proveedores, operaciones e infraestructura de TI para ver los riesgos en un solo lugar.
- Supervisar y alertar continuamente sobre el cumplimiento de los proveedores, el estado operativo, posibles infracciones y vulnerabilidades técnicas.
- Alinearse con los marcos normativos, como las normas cibernéticas de la SEC, DORA, NIS2, etc., para estar siempre preparados para las auditorías.
- Cuantificar el riesgo cibernético en términos financieros para priorizar las inversiones y garantizar la aceptación por parte de los ejecutivos.
- Estandarizar los flujos de trabajo de remediación con plantillas y guías, lo que permite a los equipos actuar con rapidez.
- Amplíe la visibilidad a terceros para descubrir la concentración y los riesgos ocultos de la cadena de suministro.
Enmarcar la ciberseguridad desde la perspectiva de la gestión de riesgos la transforma de un coste reactivo en una salvaguarda proactiva de la continuidad del negocio y los ingresos.
Planificación ante catástrofes y riesgos de terceros
Ambos incidentes subrayan la importancia de la planificación ante catástrofes, especialmente en el panorama empresarial interconectado actual. Las consecuencias de la desconexión de un solo proveedor pueden extenderse por sectores enteros, como se observó en el caso de algunos importantes proveedores de servicios sanitarios cuando un procesador de pagos crítico fue objeto de un ataque.
Creación de manuales de estrategias para fallos catastróficos de proveedores, realizar simulacrosy designar funciones a nivel ejecutivo para la toma de decisiones son pasos esenciales para la resiliencia. Las empresas que ya han pensado en sus escenarios hipotéticos han sido capaces de reaccionar más rápidamente cuando sus socios críticos han sufrido interrupciones en el servicio.
Riesgo de concentración de la cadena de suministro a la vista
El ataque automovilístico también ilustra un riesgo diferente pero relacionado: la concentración de la cadena de suministro. Al depender la producción de un modelo de suministro justo a tiempo, una sola interrupción amenazó rápidamente a cientos de pequeñas empresas. Del mismo modo, la dependencia de las aerolíneas de un software de facturación dominante significó que un ataque de ransomware se propagó casi instantáneamente a través de las fronteras.
Las organizaciones que diversifican su base de proveedores, mapean sus dependencias e invierten en tecnologías de visibilidad están mejor posicionadas para resistir este tipo de impactos sistémicos. El riesgo de concentración, ya sea geográfico, tecnológico o específico de un proveedor, es cada vez más una de las vulnerabilidades más ignoradas en la resiliencia cibernética.
Pasar de ser un centro de costes a un facilitador de la continuidad
Lo que une los incidentes del aeropuerto y del sector automovilístico es la brecha de percepción en torno a la ciberseguridad y la gestión de riesgos. Con demasiada frecuencia, estas funciones se aislan en el ámbito de las tecnologías de la información y se consideran meros gastos generales. En realidad, son facilitadores de la continuidad de los ingresos, la confianza en la marca y la fidelidad de los clientes.
Las organizaciones que mejor resisten los ataques de ransomware son aquellas que ya han replanteado la seguridad y el riesgo como parte de la protección del valor empresarial. Consideran la resiliencia como una ventaja competitiva, no como una póliza de seguro opcional. Esto cobra aún más importancia a medida que las compañías de seguros cibernéticos han ido eliminando cada vez más la cobertura contra el ransomware de sus pólizas o han excluido determinados eventos para evitar pagos.
La llamada de atención para todos los sectores
Aeropuertos paralizados, fabricantes que congelan sus líneas de producción, proveedores de servicios sanitarios incapaces de tramitar reclamaciones... Los ejemplos se multiplican. Los ciberataques no son crisis aisladas. Son riesgos sistémicos que exigen respuestas sistémicas.
Los líderes no pueden permitirse preguntar si sus organizaciones se enfrentarán a un ataque. La única pregunta es si estarán preparados para recuperarse sin perder el ritmo.
Ahí es donde entran en juego las plataformas modernas de gestión de riesgos y cumplimiento normativo. Al centralizar las evaluaciones de riesgos informáticos y cibernéticos, supervisar continuamente a los proveedores críticos, cuantificar las amenazas en términos financieros y automatizar los flujos de trabajo de respuesta, las organizaciones pueden pasar de una gestión reactiva a una resiliencia proactiva. La capacidad de ver los riesgos de concentración en toda la cadena de suministro, alinearse con las normativas globales y recuperarse rápidamente cuando se producen incidentes ya no es opcional, sino que es lo que diferencia a quienes resisten de quienes tienen dificultades. Descubra las ventajas de una gestión eficaz de los riesgos cibernéticos hoy mismo.
