T-Systems-Claim-Logo
Buscar
Gente de negocio debatiendo una estrategia de ciberrecuperación

Por qué las empresas necesitan una estrategia de ciberrecuperación

Descubre cómo una sólida estrategia de ciberrecuperación puede ayudar a las empresas a volver rápidamente a la normalidad tras un ataque

19-jun-2024Dheeraj Rawal

El trasfondo

A medida que los ataques se convierten en algo habitual, los CISO suelen tener la difícil tarea de mantener a las organizaciones fuera de los titulares. Ninguna solución ofrece una protección del 100 %. Por lo tanto, deben enfocarse en desarrollar la resiliencia y la recuperación cibernéticas para ayudar a las empresas a recuperarse tras un ataque. Una recuperación rápida minimiza las interrupciones, reduce las pérdidas económicas y garantiza la continuidad de la empresa. ¿Cómo pueden las empresas recuperarse más rápido? Descúbrelo aquí.

La cruda realidad de los ciberataques

Las empresas trabajan hoy en escenarios de alto riesgo. Numerosos factores pueden afectar a una empresa, desde un conflicto geopolítico hasta un incidente de seguridad. El número de iniciativas de transformación digital se ha disparado. Más del 90 % de las empresas alojan datos en la nube.1 El inconveniente de la digitalización acelerada es la creciente frecuencia y magnitud de los ataques. Actualmente, se producen unos 4.000 ataques diarios y una empresa sufre un ataque de ransomware cada 14 segundos.2 Las empresas deben reforzar sus medidas de ciberseguridad para protegerse de las ciberamenazas.

O hackeado o despistado

Las empresas deben estar preparadas para lo peor en todo momento. Como dijo el ex director del FBI, Robert Mueller: «Solo hay dos tipos de empresas: las que ya han sido hackeadas y las que lo serán».3 Desgraciadamente, esta afirmación sigue siendo cierta hoy en día. A medida que la amenaza se extiende como la pólvora, la posibilidad de que se produzca una violación de datos o un ataque informático se ha convertido en algo casi inevitable.

Las empresas necesitan ciberresiliencia

Según un informe de Gartner, para 2025 alrededor del 75 % de las empresas habrán enfrentado uno o más ataques que habrán provocado interrupciones en sus actividades y tiempos de inactividad.4 Las medidas de seguridad preventivas son cruciales, pero ninguna solución garantiza una protección del 100 %, especialmente ante métodos de ataque cada vez más sofisticados. Las empresas necesitan detectar rápidamente las ciberamenazas y recuperarse más rápido de los ataques. Combatir amenazas avanzadas y desconocidas con recursos limitados no es realista. Es esencial fortalecer la ciberresiliencia para minimizar interrupciones y asegurar la continuidad del negocio. El desarrollo de la ciberresiliencia requiere un enfoque estratégico. En este blog exploramos cómo las empresas pueden comenzar este proceso.

Ciberrecuperación como última línea de defensa

Experto en software de ciberseguridad

Un elemento clave en la creación de ciberresiliencia es la ciberrecuperación, un enfoque reactivo tras un incidente. Los planes de ciberrecuperación son como los planes de recuperación de desastres, cuyo objetivo es restablecer las infraestructuras de TI y los datos tras interrupciones debidas a acontecimientos inesperados (sucesos políticos, catástrofes naturales, guerras, etc.). Las soluciones de ciberrecuperación se ocupan exclusivamente de los ciberincidentes.

Recuperar sistemas, datos y procesos tras un ciberataque o una filtración de datos es absolutamente crucial para cualquier empresa. Las medidas de recuperación eficientes pueden reducir significativamente el impacto de un ataque y ahorrar costos. En 2023, el costo promedio de recuperación para las empresas fue de 1,85 millones de USD.5

Aumentan las pérdidas financieras

Las pérdidas financieras debidas a los ataques aumentan día a día. Solo en 2023, los pagos por ransomware superaron los 1.000 millones de USD.6 De todos los incidentes de seguridad, el 24 % estaban relacionados con el ransomware. Sin embargo, pagar el rescate no garantiza la recuperación completa de los datos. Según un informe de Gartner, solo se recupera el 65 % de los datos en promedio después del pago.7 Además, los atacantes de ransomware exigen el pago en bitcoins, cuyas transacciones son públicas, lo que aumenta la probabilidad de futuros ataques, ya que los delincuentes saben que la empresa afectada está dispuesta a pagar un rescate. 

Necesidad de una estrategia a largo plazo

Por lo tanto, como estrategia proactiva, las empresas deben usar una solución de ciberrecuperación que les proporcione una ventaja. Las empresas con prácticas de copia de seguridad de datos gastaron alrededor de 375.000 USD en la recuperación, mientras que aquellas sin copias de seguridad pagaron un rescate promedio de 750.000 USD.

Tener copias de seguridad puede reducir el costo de rescate en un 50 %. Un plan de respuesta bien estructurado permite una recuperación más rápida y puede ahorrar hasta 1 millón de USD.9 Las empresas con planes de copia de seguridad y recuperación sufren un impacto financiero un 96 % menor en ataques de ransomware.10 A continuación veremos cómo crear copias de seguridad de datos como parte de una estrategia de recuperación.

Las copias de seguridad son la base de la recuperación

Las copias de seguridad de los datos ofrecen a las empresas una red de seguridad en caso de ataque, ya que pueden volver al estado anterior al ataque una vez restaurados los datos. Por eso, crear copias de seguridad requiere una estrategia adecuada. Hoy en día, los atacantes saben que las empresas crean copias de seguridad como plan de contingencia y, por lo tanto, atacan primero la infraestructura relacionada. Por ejemplo, los ataques modernos de ransomware no solo cifran los sistemas, sino que también pueden dirigirse al almacenamiento de copias de seguridad. Casi el 97 % de los ataques de ransomware tienen como objetivo los sistemas de copia de seguridad.11 Además, el tiempo para lanzar un ataque y pedir rescate se ha reducido de meses a días, subrayando la necesidad urgente de una infraestructura de copia de seguridad segura.

Cómo desarrollar una estrategia para asegurar la infraestructura

Las empresas deben replantearse sus métodos tradicionales de copia de seguridad para desarrollar un plan de ciberrecuperación seguro. Cómo proceder correctamente:

  1. Crea una infraestructura de almacenamiento de copias de seguridad que idealmente debe estar protegida contra ataques graves mediante múltiples capas de seguridad.
  2. Asegúrate de que se guarden varias copias de las copias de seguridad en distintas ubicaciones, idealmente siguiendo la regla 3:2:1 para las copias de seguridad de datos. Una copia debe servir como copia de seguridad principal in situ; la segunda debe estar en otra ubicación, por ejemplo en la nube; y la tercera debe ser una copia offline en un soporte externo. Las copias de seguridad múltiples sirven como plan de contingencia y garantizan la disponibilidad de los datos durante la fase de recuperación.
  3. Las copias de seguridad también deben tener capacidades de inteligencia artificial (IA) para reconocer patrones anormales y notificar a los equipos de administración o de seguridad cuando estos se produzcan.
  4. Las empresas también deberían considerar la posibilidad de crear copias de seguridad inalterables que nadie pueda modificar o borrar. Las copias de seguridad inalterables pueden ayudar a restaurar datos anteriores al ataque que no se hayan visto afectados por infecciones o malware. Pueden crearse redes con arquitectura de «air-gap» para aislar las infraestructuras críticas de las redes inseguras o en riesgo.

Mayor optimización de las copias de seguridad

Las copias de seguridad creadas deben optimizarse para que puedan usarse mejor en caso de un incidente de seguridad. Los planes regulares de copias de seguridad, la priorización de los datos críticos y la reducción de los requisitos de almacenamiento de las copias de seguridad mediante la deduplicación y la compresión lo garantizan. Los equipos de ciberseguridad e infraestructuras también deben crear un entorno de recuperación aislado (Isolated Recovery Environment, IRE). Se trata de un entorno seguro e independiente que se usa específicamente para la recuperación de sistemas, aplicaciones y datos críticos. Sin embargo, crear una arquitectura IRE puede ser un proyecto largo y costoso.

Lo que debes tener en cuenta antes de restaurar

Equipo de seguridad rechazando ciberataques en laptops

Antes de la recuperación, los equipos de seguridad deben comprender la propagación del ataque, la naturaleza de la amenaza y los sistemas afectados antes de iniciar la recuperación. Después de esta evaluación, la prioridad es contener el ataque. En el caso del ransomware es crucial evitar que el cifrado continúe. El aislamiento de los recursos o redes afectados es esencial. En este caso, la segmentación puede ayudar a contener la propagación del ataque al aislar las redes comprometidas. Una vez identificado el sitio de recuperación que no se ha visto afectado por el ataque, los datos deben trasladarse e integrarse en el entorno de producción para restablecer las operaciones. Es fundamental asegurarse de que las herramientas de seguridad funcionen correctamente con los datos integrados para evitar más fallos antes de la sincronización final.

Cada hora cuenta

Las empresas deben identificar y restaurar primero los servicios esenciales para el negocio. Los demás servicios y aplicaciones deben priorizarse según su importancia. Las plantillas de automatización deben usarse para restaurar rápidamente los datos y reconstruir los servidores. El objetivo es minimizar el tiempo de recuperación, ya que cada hora cuenta en caso de incidente de seguridad. Estas herramientas pueden racionalizar las tareas de recuperación y son, por lo tanto, un factor importante para una recuperación más rápida.

Los ataques pueden causar crisis económicas severas

Las empresas pueden perder hasta 400.000 USD por hora debido a fallos en las aplicaciones. Esta cifra puede ascender hasta 1 millón de USD por hora.12 Algunas interrupciones pueden provocar crisis de subsistencia en pequeñas y medianas empresas que disponen de recursos limitados para recuperarse de un ciberataque. Por ejemplo, el Lincoln College, una universidad estadounidense, tuvo que suspender sus operaciones después de verse afectada por un ataque de ransomware durante la ya difícil pandemia COVID-19.13 Estuvieron inoperativos durante tres meses y, tras pagar un rescate de 100.000 USD, no pudieron recuperar el tiempo perdido, lo que llevó al cierre de la institución debido a las pérdidas. 

Reacondicionamiento antes de la restauración

Las empresas deben buscar la manera de reanudar las operaciones lo antes posible para minimizar las pérdidas. Sin embargo, la recuperación solo será exitosa si los sistemas están libres de amenazas de seguridad. Los expertos en seguridad deben examinar los datos y servicios recuperados en entornos aislados para confirmar que se han eliminado las amenazas de ransomware. Esta comprobación puede realizarse mediante detección basada en firmas y herramientas avanzadas de IA/ML, las cuales permiten detectar actividades anómalas y verificar exhaustivamente el éxito de la recuperación. Sin embargo, existe el riesgo de que el malware vuelva a atacar los sistemas restaurados. Por lo tanto, es crucial considerar el uso de software de corrección para eliminar por completo las amenazas. Además, si el ciberataque se debió a sistemas de seguridad obsoletos, los equipos de seguridad deben aplicar parches y actualizar estos sistemas antes de proceder con la restauración.

Recuperación del sistema

Tras la restauración y la aplicación de parches, el siguiente paso es integrar los sistemas restaurados en el entorno de producción. Tras la integración, el proceso de validación garantiza que las aplicaciones y los datos estén disponibles, y que los servicios funcionen correctamente. Una vez que todo esté operando, los equipos deben volver a abordar los problemas de seguridad y trabajar para resolverlos. Es necesario seguir analizando los servidores y datos afectados para comprender la causa y el método del ataque. La infraestructura debe evaluarse periódicamente, clasificando los sistemas obsoletos como posibles puntos débiles. Las empresas deben saber qué aplicaciones ya no son compatibles con el fabricante.

Una estrategia de ciberrecuperación para tu empresa

Tenemos una vasta experiencia ayudando a empresas a implementar medidas de seguridad sólidas. Con mucho gusto te ayudaremos a desarrollar una estrategia eficaz de ciberrecuperación y resiliencia.

Creación de un plan de respuesta a incidentes (Incident Response Plan)

En el ámbito de la ciberrecuperación, crear un plan de respuesta a incidentes es tan crucial como establecer una infraestructura robusta. A continuación describimos las distintas fases del plan de respuesta a incidentes:

Reconocimiento: La detección inicial consiste en identificar indicios de un incidente o brecha de seguridad en los sistemas o redes de la organización. Esto puede incluir advertencias de herramientas de seguridad, comportamientos inusuales del sistema o informes de los empleados. El objetivo es reconocer inmediatamente la existencia de un incidente e iniciar un proceso de respuesta. Los ataques de ransomware, por ejemplo, pueden detectarse mediante la comparación de firmas. Los algoritmos basados en el aprendizaje automático también son una buena forma de detectar comportamientos anómalos. Los equipos de seguridad pueden basarse en herramientas como filtros de escaneado de correo electrónico, weblogs, terminales, antivirus y puertas de enlace para detectar sistemas afectados, filtración de datos o violaciones de Active Directory, entre otros.

Análisis: En esta fase, el equipo de respuesta a incidentes investiga la naturaleza, el alcance y el impacto del incidente de seguridad para determinar las vulnerabilidades, los métodos de ataque, los archivos cifrados y los datos filtrados. Esto incluye la recopilación de pruebas, la realización de análisis forenses y la evaluación de la gravedad del daño. El objetivo es obtener una visión global del incidente y acelerar las medidas de contención y recuperación.

Contención: El objetivo de esta fase es limitar la propagación y el impacto del incidente de seguridad. Puede incluir el aislamiento de los sistemas o redes afectados, la introducción de controles de acceso y la adopción de medidas de seguridad temporales para evitar daños mayores. Se enfoca en evitar la propagación del incidente mientras se aplican las medidas de recuperación. Las acciones incluyen la cuarentena de sistemas comprometidos, el bloqueo de cuentas de usuario infectadas, el bloqueo del tráfico de red, la imposición de cambios de contraseña y la comunicación continua con las partes interesadas, incluyendo los empleados.

Erradicación: En esta fase, el equipo de respuesta a incidentes trabaja para eliminar la causa del incidente de seguridad en los sistemas y redes de la empresa. Esto incluye la eliminación de programas maliciosos, la supresión de brechas de seguridad y la implantación de controles de seguridad para evitar incidentes similares en el futuro. El objetivo es eliminar todas las amenazas restantes y restaurar los sistemas afectados a un estado seguro.

Restauración: El objetivo de esta fase es devolver los sistemas y datos afectados a su funcionamiento normal. Esto puede incluir la restauración de copias de seguridad, la reinstalación de software y la reconfiguración de los sistemas para garantizar su seguridad. El objetivo es minimizar el tiempo de inactividad, restablecer el funcionamiento de la empresa y volver a la normalidad lo antes posible. Algunas métricas que las empresas deben vigilar son el Recovery Point Objective (RPO) y el Recovery Time Objective (RTO). El RPO es la cantidad máxima de datos que una empresa puede perder, mientras que el RTO es el tiempo máximo necesario para restablecer la normalidad tras un incidente.

Ventajas de una estrategia de ciberrecuperación

  1. Garantizar la continuidad del negocio: Una empresa resiliente y con un plan de recuperación puede asegurar que haya menos tiempo de inactividad y operaciones empresariales ininterrumpidas. Las empresas que cuentan con una solución de recuperación de datos reducen el tiempo de inactividad en un 75 %.14
  2. Reducción del impacto financiero: Minimizar el tiempo de inactividad y la pérdida de datos reduce los costos financieros asociados al ciberataque, incluyendo los costos de productividad, las multas reglamentarias y los daños a la reputación.
  3. Mejora de la conformidad: Las medidas de recuperación ayudan a las empresas a cumplir los requisitos reglamentarios y las normas del sector.
  4. Aumentar la confianza de los clientes: Implementar medidas de recuperación y demostrar resiliencia en la protección de datos mejora la confianza de los clientes y proporciona una ventaja competitiva en el mercado.
  5. Mejora de la respuesta a fallos: La puesta a punto periódica de las políticas y controles de seguridad conduce a una respuesta rápida y coordinada que minimiza el impacto de un ciberataque.
  6. Minimización del tiempo de recuperación: Usar tecnología de automatización simplifica el proceso de recuperación, permitiendo una recuperación más rápida y reduciendo las pérdidas monetarias.

Cómo mejorar la resiliencia y la recuperación

Las empresas equipadas con herramientas de seguridad, planes de respuesta y estrategias de recuperación adecuadas estarán mejor preparadas para manejar incidentes de seguridad sin entrar en pánico. Algunas de las soluciones de seguridad que las empresas deberían tener en cuenta para prepararse mejor, detectar y combatir las ciberamenazas son:

  • Puertas de enlace de correo electrónico seguras: Filtrar correos electrónicos maliciosos y reducir los ataques de phishing.
  • Detección y respuesta en terminales: Monitorear continuamente los terminales para detectar actividades sospechosas y responder a las amenazas en tiempo real.
  • Solución de seguridad contra engaños: Usar señuelos para atraer a los atacantes y detectar accesos no autorizados en fases tempranas.
  • Detección de amenazas en la red: Analizar el tráfico para detectar actividades maliciosas y amenazas potenciales.
  • Segmentación de la red: Implementar microsegmentación para dividir las redes en segmentos más pequeños con distintos controles de seguridad, limitando la movilidad de los atacantes y minimizando los daños. Restringir la libertad de movimiento de los atacantes y limitar los daños.
  • Secure Access Service Edge (SASE): SASE permite reducir la superficie de ataque proporcionando un acceso seguro a los recursos de la empresa.
  • Pruebas de penetración en la seguridad: Simular ataques reales para identificar y corregir vulnerabilidades antes de que los atacantes las descubran.
  • Gestión de vulnerabilidades: Identificar, priorizar y corregir vulnerabilidades para reducir la superficie de ataque.
  • Gestión centralizada de registros: Resumir y analizar registros de múltiples fuentes para identificar incidentes de seguridad y apoyar investigaciones forenses.
  • Gestión de identidades y accesos: Controlar el acceso a los recursos sensibles y gestionar las identidades de los usuarios para prevenir accesos no autorizados.
  • Autenticación multifactor: Añadir una capa adicional de seguridad a los procesos de autenticación de usuarios para reducir el riesgo de accesos no autorizados.

Estaremos encantados de ayudar a tu empresa a crear una estrategia de resiliencia.

A menudo, a las empresas les resulta difícil mantener una visión integral de sus herramientas de seguridad, el estado de sus sistemas, las vulnerabilidades y las amenazas externas. T-Systems ayuda a las empresas a evaluar su situación de seguridad y a cerrar sus brechas. Acompañamos a las empresas en la creación de sistemas resilientes con medidas de seguridad sólidas y estrategias de recuperación eficaces. Contáctanos para desarrollar una estrategia de seguridad personalizada para tu empresa con la ayuda de nuestros expertos.

Información sobre el autor
Dheeraj Rawal

Dheeraj Rawal

Experto en marketing de contenidos, T-Systems International GmbH

Todos los artículos y perfil del autor

Esto también podría interesarte

¿Estás buscando una estrategia de ciberrecuperación? Con mucho gusto te ayudaremos.

Podemos ayudarte a desarrollar una estrategia de seguridad, resiliencia y recuperación cibernéticas. Contáctanos hoy mismo.

1Cloud Computing Study, 2023, Foundry
2 Attack Per Day Article, 2024, Astra
3 Types of Companies Article, 2018, Dynamic Business
4 Detect, Protect, Recover, 2021, Gartner
5 Ransomware Article, 2023, Security Intelligence
6 Total Ransomware Payments, 2024, SC Magazine
7 Ransomware Payment Article, 2021, Gartner
8 Cybercriminals and Ransomware Article, 2024, Firstpost
9 Guide to Ransomware, 2023, IBM
10 Disaster Recovery Statistics, 2024, Webinar Care
11 2022 Ransomware Trends Report, 2022, Veeam
12 Downtime Costs Article, 2023, Medium
13 Press Release, 2022, NPR
14 Impact of Cyber Recovery, 2023, Dell Technologies

Do you visit t-systems.com outside of Mexico? Visit the local website for more information and offers for your country.