Qué pasaría si en este mismo momento, justo ahora que estás leyendo este artículo, recibieras un mensaje del Director de IT de tu empresa para decirte que la fábrica está totalmente parada porque acaban de sufrir un ciberataque?
Automáticamente saltan todas tus alarmas, intentas mantener la calma, te dices que no eres la primera víctima de un ciberataque y que, si otras empresas que han pasado por lo mismo lo han superado, la tuya también lo hará. Un discurso de autoconvencimiento que va muy bien para no entrar en pánico.
Pero entonces haces la pregunta que está a punto de cambiarlo todo: “¿Cuánto tiempo vamos a tardar en volver a la normalidad?” Tu Director de IT, a media voz, te responde: “Pues no te lo puedo decir con certeza. Ya me gustaría a mí saberlo. Puede que quizás un par de horas, o días o tal vez semanas. Hasta que no sepamos el alcance real del ataque no podremos hacer una estimación.”
De repente un sudor frío recorre tu espalda, pero te resistes a perder la calma y decides seguir con tu discurso autocomplaciente: “No hay problema. Tienes toda mi confianza. No podríamos estar en las mejores las manos: las tuyas. Seguro que en un rato todo estará resuelto y seguiremos como si nada de esto hubiera ocurrido. Así que a trabajar. Por favor, mantenme informado con los avances”.
Mientras, te ves obligado a mandar a su casa a tus empleados porque no pueden trabajar y ya se empiezan a recibir las primeras llamadas de tus clientes que comienzan a desesperarse porque no saben nada de sus pedidos.
Pasan las primeras horas y no recibes noticias. Comienzas a ponerte nervioso. Quieres pensar que el equipo está a tope trabajando y en nada todo se habrá resuelto. Sin embargo, al rato te llaman para decirte que la cosa va para largo que, por lo que se ve, el impacto del ciberataque ha sido más importante de lo esperado y que, como poco, los técnicos tardaran una semana en levantar los sistemas.
Pero transcurre una semana, dos, tres… y así hasta seis semanas que es cuando finalmente la actividad recupera la normalidad. Eres el CEO de Jaguar Land Rover, tu empresa ha estado más de un mes sin producir ni solo coche como consecuencia de un ciberataque, has perdido 300 millones de libras, apareces en los titulares de los principales periódicos a nivel mundial… todavía sigues en shock y eres incapaz de comprender cómo ha podido pasar.
Como siempre la realidad termina por superar a la ficción y el ciberataque que JLR sufrió en a principios de septiembre va camino de ser uno de los más sonados de la historia por el tiempo que la compañía tardó en reponer la producción.
¿Cuánto hubiera pagado el CEO de JLR por conocer con antelación el Tiempo de Recuperación (RTO) de sus sistemas de producción? ¿Qué habría hecho si hubiera sabido que, en el hipotético caso de ser víctima de un ciberataque, tendría la fábrica parada seis semanas? ¿Si un día de producción de JLR cuesta 10 millones, cuánto habría invertido en ciberseguridad para evitar el impacto que ha tenido en su cuenta de resultados?
La realidad es que los ciberdelincuentes, tarde o temprano, siempre terminan por conseguir su objetivo y acaban por entrar en el sistema e impactar en el negocio. Si lo hemos hecho bien ese impacto será mínimo, pero si no tenemos al día nuestras defensas el destrozo puede ser importante.
En una economía digitalizada como la nuestra, tenemos que asumir que alguna vez seremos atacados con éxito, por eso es importante saber que la ciberseguridad no va de caer, sino de saber levantarse. Este es el motivo por el que cada vez tiene más sentido empezar a poner en el foco en la ciberresiliencia.
Reducir el Tiempo de Recuperación pasa por tener un buen Plan de Contingencia siendo conscientes que nunca puede ser más caro el collar que el perro. ¿Cuánto vale un día de tu empresa? ¿Cuánto estás dispuesto a perder? ¿Cuánto riesgo puedes asumir?
Responder a estas preguntas con fuego real es un ejercicio que sale muy caro, y si no que se lo digan al CEO de Jaguar Land Rover.
