Qué ocurre después de un ataque: de la ciberseguridad a la ciberresiliencia

La ciberseguridad desempeña un papel fundamental en la prevención de ataques mediante controles como firewalls, protección de endpoints y seguridad del correo electrónico. A pesar de estas inversiones, las brechas de seguridad siguen produciéndose. Según el Foro Económico Mundial, el 87 % de las personas encuestadas identificaron las vulnerabilidades relacionadas con la IA como el ciberriesgo de más rápido crecimiento en el último año.

En este panorama, la pregunta deja de ser "¿Cómo detenemos esto?" y pasa a ser "¿Con qué rapidez podemos recuperar los sistemas afectados y volver a la normalidad?”. Ahí es donde la ciberresiliencia se vuelve esencial, ya que se centra en resistir las interrupciones y restaurar las operaciones de forma rápida y limpia.

Infografía

Ciberseguridad y ciberresiliencia para garantizar la continuidad operativa

La ciberseguridad es prevención. Detecta y bloquea la actividad maliciosa para mantener la seguridad de los datos y los sistemas. La ciberresiliencia parte de la premisa de que los incidentes van a producirse tarde o temprano. Es la capacidad de anticiparse a las amenazas, resistir los ataques, recuperarse de sus consecuencias y adaptarse a las interrupciones que provocan las ciberamanazas para que la empresa siga funcionando durante y después de un incidente. Trátelas como dos mitades de una misma estrategia, en lugar de prioridades que compiten entre sí.

Las tácticas tradicionales de continuidad de la actividad empresarial se diseñaron para responder ante fallos accidentales, no para defenderse de los ciberdelincuentes. Los pares de hardware redundantes o los sitios replicados ayudan frente a fallos eléctricos o de componentes. Por sí solos, no detienen la propagación del ransomware. La replicación puede trasladar una infección del entorno principal al entorno en espera. En el panorama actual, un enfoque basado únicamente en la prevención o un modelo basado solo en la redundancia no es suficiente.

Cuando un ataque tiene éxito, los sistemas pueden quedar fuera de servicio. Los datos pueden cifrarse. Los servicios críticos se detienen. Durante el tiempo de inactividad, las limitaciones de un enfoque basado únicamente en la prevención se hacen más que evidentes: la empresa necesita una vía eficaz para garantizar la continuidad operativa.

Los equipos deben restaurar las operaciones con rapidez y verificar que el entorno recuperado esté libre de malware antes de devolverlo a producción. La resiliencia convierte este proceso en un procedimiento repetible y previsible, en lugar de improvisado.

La duplicación no garantiza la recuperación. Una replicación que no detecta cambios maliciosos puede ampliar el alcance del daño. Además, las pilas tecnológicas fragmentadas para las copias de seguridad, la recuperación ante desastres y la seguridad generan una fragmentación de herramientas y puntos ciegos que ralentizan la respuesta ante incidentes e incrementan los costes.

En cambio, con una protección y una recuperación consolidadas, los equipos pueden pasar con rapidez de la simple detección a una restauración limpia dentro de un mismo flujo de trabajo.

La velocidad solo tiene sentido si se puede verificar que la recuperación está libre de malware y se alinea con las necesidades de la empresa. Para lograr que los procesos de resiliencia puedan medirse y repetirse, las organizaciones deben definir un conjunto conciso de objetivos de recuperación que actúen como directrices básicas para la planificación, la financiación y las pruebas.

Estos parámetros traducen el riesgo empresarial en objetivos operativos y proporcionan una directriz básica clara para futuras auditorías y mejoras:

• Objetivo de tiempo de recuperación (RTO): tiempo máximo aceptable para restaurar las operaciones.
• Objetivo de punto de recuperación (RPO): pérdida máxima de datos que la organización puede aceptar.
• Tiempo máximo tolerable de inactividad (MTD): momento a partir del cual la interrupción se convierte en un fallo empresarial.
• Tiempo medio para una recuperación limpia (MTCR): tiempo necesario para restaurar un entorno a estado verificado y libre de malware. El MTCR es esencial en los planes de respuesta contra el ransomware.

Utilice un análisis de impacto en el negocio y una clasificación de recursos para establecer estos objetivos. Reserve las medidas de protección más eficaces para las cargas de trabajo que sustentan los ingresos y la reputación.

Acronis unifica la seguridad de endpoints, las copias de seguridad, la recuperación ante desastres y la administración de endpoints en una única plataforma que se controla desde una sola consola y un solo agente. Este enfoque unificado reduce la complejidad para los equipos de TI y reduce el tiempo que transcurre entre la detección de un incidente y una restauración verificada.

Las copias de seguridad inmutables, tanto de imágenes completas como a nivel de archivos, almacenadas en modo de gobernanza impiden que los atacantes eliminen o alteren los datos almacenados en copias de seguridad. La detección de comportamientos basada en IA contrarresta las amenazas de día cero al analizar los procesos activos y detener el cifrado malicioso en tiempo real.

Cuando las medidas de mitigación fallan, Acronis Disaster Recovery permite llevar a cabo una conmutación por error a la nube de Acronis, que Acronis diseña, administra y mantiene. Los clientes controlan la conmutación por error y la conmutación tras recuperación desde la consola, realizan pruebas sin riesgo utilizando el almacenamiento de acceso frecuente incluido y validan los puntos de restauración para garantizar un estado limpio antes de volver a producción. La facturación por uso de los recursos de computación solo se activa durante la conmutación por error, lo que ayuda a contener los costes asociados a la capacidad en espera.

Para las empresas y los clientes de distribuidores de valor añadido (VAR) responsables de máquinas virtuales y servidores críticos, conviene centrarse en los siguientes cuatro pasos:

1. Clasifique los recursos según su valor para la empresa. Etiquete los sistemas como confidenciales, sensibles, privados o públicos. Asocie estas etiquetas a planes de protección automatizados. Aplique recuperación ante desastres y objetivos estrictos de RTO y RPO a las cargas de trabajo más críticas.
2. Cuantifique el riesgo y alinee la inversión. Utilice el análisis de impacto en el negocio y la expectativa de pérdida anual para justificar los niveles de protección. Dirija las funciones de resiliencia avanzadas a los sistemas donde el tiempo de inactividad genere el mayor daño operativo y financiero.
3. Refuerce las copias de seguridad y valide la recuperación. Almacene las copias de seguridad de forma inmutable, pruebe las conmutaciones por error con regularidad y analice los puntos de restauración para evitar reinfecciones. Trate el MTCR como un parámetro de primera clase y diseñe procedimientos orientados a alcanzarlo.
4. Consolide su pila tecnológica. Reduzca la fragmentación de herramientas. Una plataforma unificada mejora la visibilidad, agiliza la respuesta y reduce el coste total de propiedad.

La prevención sigue siendo fundamental, pero la resiliencia determina si un ciberincidente se convierte en una simple molestia o en una crisis prolongada. Al integrar una defensa impulsada por IA con una recuperación orquestada y limpia, Acronis ayuda a las organizaciones a proteger máquinas virtuales y servidores críticos antes de que se produzca un ataque, así como a devolverlos a producción con rapidez después de sufrir uno. Para los responsables de TI corporativos y los VAR, una plataforma unificada sustituye las defensas fragmentadas por el control y la continuidad de la actividad empresarial.

Infografía

Ciberseguridad y ciberresiliencia para garantizar la continuidad operativa