O, cuando las cosas van mal, siempre pueden ir a peor…
Algunas frases como éstas del sabio refranero popular podrían adjudicarse al ciberataque que ha sufrido esta semana el SEPE (Servicio Público de Empleo) y que ya está siendo investigado por el Centro Criptológico Nacional (CCN-Cert) dependiente del CNI.
Y es que, a los conocidos problemas operativos que ha venido teniendo en la liquidación de prestaciones a los afectados por ERTES desde hace un año (y que continúan), se les ha unido ahora el de un grave ciberataque en el que, con el virus Ryuk como ariete, se han quedado sin servicio los sistemas informáticos de un SEPE ya de por sí desbordado y que también ha provocado la caída de su web. Y parece ser que no antes de la próxima semana, empezará a recuperar la normalidad. Entre tanto, parece que puedan quedar en el aire la gestión de unas 100.000 prestaciones diarias.
La situación económica y empresarial no pasa actualmente por su mejor momento. Por lo tanto, si un ciberataque siempre será preocupante, en los momentos actuales puede ser demoledor para el futuro de la empresa. Y, no, su empresa no es el SEPE, pero su vulnerabilidad informática (al ser los ciberataques generalmente indiscriminados) es parecida, o superior, en función de las medidas de seguridad que tenga implementadas en su sistemas informáticos y de si dispone de un Plan de Recuperación ante Desastres. La seguridad informática no tiene precio (aunque tenga un coste, que deberemos considerar como una muy buena inversión). Pero, lo que sí son reales, serán los más que elevados costes -materiales económicos y reputacionales en el caso de que, sí, esta vez sea su empresa la víctima del ciberataque:
– Posible cese temporal de la producción (1, 2, 3 días? Una semana?), posible necesidad de sustitución de equipos, necesidad de reparación de software, horas de informáticos, posible intento de extorsión económica, posible pérdida de datos, posible daño reputacional ante clientes y proveedores, etc.
Cualquiera de estas posibilidades es real y en su mano tiene algunas medidas a tomar:
- Realizar un análisis de riesgos en su empresa con el fin de definir e implantar las medidas de seguridad técnicas, físicas y lógicas necesarias (cualquier ahorro en ello puede llegar a resultar muy caro)
- Desarrollar un Plan de Recuperación ante Desastres que tiene como objetivo promover un plan de recuperación lo más temprana de los sistemas de información que soportan las funciones empresariales críticas para el negocio cuando éste se ve obligado a paralizar su actividad por un desastre. Un plan de recuperación ante desastres puede ser útil no solo en caso de ciberataque, sino también en situaciones imprevistas o por causa de fuerza mayor como pueden ser incendios, inundaciones o imprevisibles errores humanos.
- Contratar un seguro contra ciberataques. No evitará el ataque… pero le permitirá recuperar sus más que posiblemente cuantiosos daños materiales y económicos. Y cada vez que llegue el recibo de la póliza, piense en lo que importa: que nadie está libre de sufrir un ciberataque, pero que tiene en sus manos la certeza de que su coste económico no tenga repercusión en la tesorería.
Y acabamos como empezamos, con la ayuda del refranero: De lo que se trata es de poner la venda antes de la herida. Porque más vale prevenir, que curar. Y, sobre todo, no tener que escuchar el clásico: “y mira que habíamos hablado de ello cientos de veces.”