CrowdStrike: Perspectivas clave sobre la interrupción del servicio de TI

Como los expertos ahora también advierten sobre posibles riesgos adicionales a medida que los delincuentes intentan explotar los problemas de TI, estoy comentando sobre los pasos clave que se deben tomar estratégicamente para garantizar que esta situación y este «daño» no afecten a los clientes en el futuro, de modo que se restablezca la confianza a largo plazo.

La reciente interrupción de TI que sufrió CrowdStrike ha causado una conmoción en toda la comunidad empresarial mundial, poniendo de relieve las vulnerabilidades inherentes a nuestro panorama digital cada vez más interconectado. Mientras los expertos advierten sobre la posible explotación por parte de los cibercriminales, es fundamental evaluar las lecciones aprendidas y delinear medidas estratégicas para evitar que este tipo de incidentes afecten a los clientes en el futuro. Este artículo analiza en profundidad los pasos esenciales necesarios para reconstruir la confianza, mejorar la comunicación, fortalecer la resiliencia operativa y abordar las preocupaciones regulatorias para garantizar la estabilidad y la seguridad a largo plazo.

Lecciones clave aprendidas

Como los expertos ahora advierten sobre posibles riesgos adicionales a medida que los delincuentes intentan explotar los problemas de TI, quiero comentar los pasos clave que se deben tomar estratégicamente para garantizar que esta situación y este «daño» no afecten a los clientes en el futuro, de modo que se restablezca la confianza a largo plazo.

1. La comunicación es fundamental para respaldar la imagen externa e interna de la empresa y restablecer la confianza con las personas afectadas. Preveo que, después de la comunicación de la crisis del viernes, la clave será la comunicación estratégica en los próximos días sobre las medidas clave que se adoptarán, no solo a nivel de la empresa sino también a nivel del gobierno y los organismos reguladores, para mitigar estos riesgos en el futuro, de modo que se restablezca la confianza a largo plazo.
2. El efecto dominó global de la interrupción del servicio de TI ilustra la interconectividad de la compleja cadena de suministro y el riesgo de concentración en este mercado. Necesitamos considerar de manera integral la compleja infraestructura de la cadena de suministro que proporciona servicios de sistemas y productos, invirtiendo en resiliencia operativa en los datos, la tecnología, terceros, las personas y los procesos. Se deben identificar y priorizar los servicios materiales para garantizar una respuesta proporcionada.
3.  
   Esto podría ser una llamada de atención para que los empleadores inviertan en planes de recuperación ante desastres probados y comprobados, que, lamentablemente, en muchos casos siguieron siendo más un ejercicio basado en papel que un plan probado y comprobado a gran escala en los escenarios de simulación clave, incluidos escenarios de crisis extremadamente improbables como este.
4. Los proveedores de software como CrowdStrike se han vuelto tan grandes e interconectados que sus fallas pueden dañar el sistema económico global y a decenas de millones de clientes.

Es fundamental que las empresas, los gobiernos y los reguladores, como ecosistema, sean más conscientes y tal vez se preocupen por el riesgo sistémico o de concentración que supone depender de un único proveedor importante.

Si bien hoy fueron Cloudstrike y Microsoft, podría ser que los gigantes de la nube como Amazon, Microsoft o Google caigan en otra ocasión y el impacto sería totalmente perjudicial, afectando a decenas de millones de clientes.

Desde la perspectiva del gobierno, necesitamos comenzar a monitorear el impacto de la situación en detalle y hacer un seguimiento de eventos futuros que podrían ser pequeños. Esto nos ayudaría a desarrollar la capacidad y la resiliencia de la nación para responder a eventos similares.
En cuanto a los reguladores, espero que estén más unidos en la protección de los clientes y la creación de confianza digital. Además, que tengan un impulso mucho mayor para mitigar el riesgo de concentración, no solo a nivel de la empresa sino también a nivel de los proveedores que están disponibles en el mercado para brindar el servicio de extremo a extremo. Anticipo regulaciones más estrictas, incluida la próxima implementación de DORA, pero también un escrutinio más estricto por parte del regulador en caso de que la empresa priorice el costo y la eficiencia por sobre la seguridad y protección de sus clientes.   

En confianza

Como vimos después de la interrupción del servicio de TI, las tecnologías conllevan riesgos y los clientes no necesariamente son plenamente conscientes de a qué están expuestos. El efecto dominó global de la interrupción del servicio de TI ilustra la interconectividad en toda la cadena de suministro y el riesgo de concentración en este mercado.

La clave está en generar y restablecer la confianza digital, que es una relación de confianza con lo desconocido en medio de una incertidumbre caótica. Como facilitadora de decisiones estratégicas, la tecnología podría permitir que millones de personas en todo el mundo den un salto hacia la confianza. Una mejora adicional en torno a la tecnología, la gestión de terceros y la resiliencia operativa (que combina las regulaciones existentes y las que se avecinan; por ejemplo, DORA entrará en vigor en 2025) puede ayudar a garantizar que el futuro de los servicios y productos sea rentable, pero también seguro.

Creo que la verdadera disrupción que se está produciendo no es tecnológica. En esencia, se trata de empoderamiento. Nos da poder como clientes para navegar a través del cambio y la incertidumbre de una manera ágil y segura. La comunicación es clave aquí para mantener la transparencia y la confianza. Creo que la comunicación no solo se centraría en el impacto que tuvo la interrupción de TI en la organización, incluidos los servicios materiales (por ejemplo, nóminas o pagos) afectados, y los plazos previstos para restablecerlos, sino también, de manera más estratégica, en cuáles son los pasos que está tomando la empresa para garantizar que esta situación y este «daño» no afecten a los empleados y clientes en el futuro, de modo que se restablezca la confianza a largo plazo.

Sobre la comunicación

La respuesta proporcionada a la interrupción del servicio de TI incluiría una comunicación clara, transparente y oportuna, tanto externamente con los clientes como internamente con los empleados, sobre el impacto que la interrupción del servicio de TI tuvo en la organización, qué servicios materiales se vieron afectados, qué pasos clave se están tomando hoy para restaurar los servicios materiales y los plazos claros para restaurarlos.

Pero lo más importante, ¿cuáles son los pasos clave que se han tomado estratégicamente para garantizar que esta situación y este “daño” a los clientes no vuelvan a ocurrir en el futuro y se restablezca la confianza?

Anticipo que después de la comunicación de la crisis, la clave será la comunicación estratégica en los próximos días sobre lo que sucederá mañana, no solo a nivel de empresa sino también a nivel de Gobierno y Regulador, para mitigar estos riesgos en el futuro.

Sobre la regulación

El efecto dominó global de la interrupción del servicio de TI ilustra la interconectividad a lo largo de la cadena de suministro y el riesgo de concentración en este mercado.

Al pensar en los pasos estratégicos clave para garantizar que esta situación y este «daño» no afecten a los clientes en el futuro, restableciendo la confianza en el largo plazo, creo que en el futuro el regulador se centrará mucho más en la resiliencia operativa, de manera integral en datos, tecnología, personas y procesos.

Para garantizar una respuesta proporcionada, sería necesario priorizar los servicios materiales (por ejemplo, la nómina o la realización de pagos). Si bien ya se está trabajando en la implementación de DORA para algunas industrias antes de la fecha límite de 2025, habrá dudas sobre si es suficiente para resolver este desafío.

Yo esperaría un mayor impulso por parte de los Reguladores para mitigar el riesgo de concentración, no sólo dentro de la Compañía sino también a nivel de los Proveedores que están disponibles en el mercado para prestar servicios materiales.

Preveo regulaciones más estrictas y un escrutinio más estricto por parte del Regulador si la Compañía decide priorizar el costo y la eficiencia por sobre la seguridad de sus operaciones y el potencial «daño» a los clientes.

Si bien no anticipo que se desarrollen nuevas regulaciones a raíz de esta situación, además de las existentes, sí anticipo que habrá un mayor cumplimiento de las existentes, incluidas las pautas de DORA, FCA y EBA, etc., y que el regulador será estricto con las empresas en cuanto a su cumplimiento. Actualmente, el nivel de cumplimiento variaría y anticiparía que en las conversaciones con el regulador la empresa querría demostrar al menos un cumplimiento total de nivel 3 con los riesgos clave y los marcos de control existentes o propuestos, en lugar de que esto sea un ejercicio de verificación de casillas. El problema que tuvimos no fue puramente el lanzamiento de la tecnología que salió terriblemente mal, sino, más importante aún, el impacto que tuvo tanto internamente en la empresa como externamente en los clientes de la empresa, como usted y yo. Desde la perspectiva del regulador a nivel de la empresa, las preguntas clave a responder serían:

• ¿Qué hace usted cuando se da cuenta de este problema para restablecer rápidamente los servicios materiales y recuperar la confianza con sus clientes?
• ¿Tiene usted una visión integral de sus servicios materiales?
• ¿Tiene una visión de todos los datos, la tecnología, las personas y los procesos que serían clave para restaurarlos rápidamente?
• ¿Tiene planes de recuperación probados y comprobados, incluida la comunicación de crisis tanto interna como externa con los clientes?
• ¿Qué tan rápido puedes acceder a todo esto y ponerlo en funcionamiento?

Otras perspectivas

1. ¿Cómo puede ocurrir un fracaso de tal magnitud a escala global? 

El principal desafío es la excesiva dependencia de las empresas de un único proveedor principal para sus sistemas y la falta de mitigación del riesgo de concentración mediante la implementación de varias soluciones para evitar la interrupción del servicio de TI, de modo que si uno de los sistemas se viera afectado, existiera una solución alternativa a la que se pudiera acceder rápidamente. Esto es clave no solo desde el punto de vista de la tecnología, sino también desde el punto de vista de las personas y los procesos, por ejemplo, con qué rapidez pueden las empresas restablecer sus servicios materiales para seguir prestando servicios a sus clientes.

Otro problema es que, si bien los reguladores instan a muchas empresas a tener planes de recuperación ante desastres implementados, que se han probado y comprobado en caso de que ocurra una situación de tal magnitud, las empresas, en muchos casos, los hacen como un ejercicio sobre el papel y no los prueban a gran escala. Como resultado, cuando se produce una interrupción como la de hoy, las empresas no están preparadas para restablecer los servicios con la suficiente rapidez. Por último, en muchos casos, las empresas no se centraron en la resiliencia operativa, lo que habría requerido que identificaran el impacto material y dónde se produce, qué sistemas, datos, personas y procesos se ven afectados, y se centraran en restaurarlos como una prioridad paso a paso en lugar de restaurar todo.  

2. ¿Por qué tantos sistemas dependen de un único proveedor? ¿ Por qué una actualización de software puede paralizar todo el sistema operativo? ¿Qué nos dice esto sobre la arquitectura informática actual?

En algunos casos, la elección de un único proveedor se debe a los costes. La razón es que el proveedor es tan grande y poderoso (Microsoft) que las empresas no prevén que pueda dejar de funcionar. Esto es similar a lo que ocurre con los proveedores de la nube, por ejemplo, Azure, donde vemos que los bancos construyen todo el sistema bancario en un único proveedor de la nube en previsión de que la probabilidad de que se produzca una interrupción sea extremadamente baja. El reto, por supuesto, es que, dado que varias empresas dependen del mismo proveedor, una vez que el proveedor deja de funcionar, afecta a millones de clientes. 

3. ¿Quién debería rendir cuentas? ¿Las empresas confiarán en CrowdStrike después de esta debacle? ¿Debería haber alguna repercusión?

Las empresas tendrán que rendir cuentas por las decenas de millones de clientes cuyos vuelos o servicios se vieron gravemente afectados hoy. Esto hará que los clientes soliciten una compensación, por ejemplo, por el tiempo perdido debido a vuelos cancelados o retrasados, que no estaría cubierto por un evento de «mal tiempo». Es muy probable que el precio de las acciones de CrowdStrike caiga mucho más del 20%, tal vez hasta un 50%. Es probable que se cree un consorcio similar al ciberataque WannaCry en mayo de 2017 para protegerse contra estas situaciones en el futuro.

4. ¿Cuál es su opinión sobre los procedimientos de recuperación y los mecanismos de seguridad que tienen implementados las mayores empresas globales?

Las empresas tendrían planes de recuperación ante desastres, que en muchos casos, lamentablemente, se han quedado más como un ejercicio en papel que como un plan que se haya probado y comprobado a escala en los escenarios de simulación clave. Existen algunos mecanismos de seguridad, por ejemplo, el concepto de puerto seguro utilizado en los EE. UU. por los bancos después del ciberataque WannaCry en mayo de 2017, pero no es algo que se utilice a escala. Creo que la clave no son solo los mecanismos de seguridad para la tecnología, sino también el servicio material de extremo a extremo en las personas, los procesos y la TI.

5. ¿Qué cambios inmediatos son necesarios para evitar que esto vuelva a suceder? ¿Qué se aprenderá para que los sistemas sean fiables y redundantes?

Una de las principales preocupaciones es el riesgo sistémico o de concentración que supone depender de un único proveedor. Si bien hoy fueron Cloudstrike y Microsoft, los gigantes de la nube Amazon, Microsoft o Google podrían caer en otra ocasión y el impacto sería totalmente perjudicial y afectaría a decenas de millones de clientes.

Además, es fundamental que las empresas inviertan en resiliencia operativa, que es más amplia que la tecnología. Abarcaría la tecnología, los datos, terceros, los procesos y las personas. Como prioridad, es necesario identificar los servicios materiales para que la respuesta sea proporcionada. Es fundamental probar los planes de recuperación ante desastres, en lugar de tenerlos como un ejercicio en papel, y garantizar que todas las personas, los procesos y los datos (y no solo la tecnología) se prueben y se pongan a prueba a escala, y que haya suficiente preparación en caso de que se produzca una interrupción de este tipo en el futuro. Es fundamental realizar escenarios de simulación y probarlos.

6. ¿Cuáles son los posibles impactos a largo plazo en todo el mercado? ¿Cómo podría afectar esto a la seguridad basada en la nube y a otras soluciones en el mercado empresarial?

En particular, alentaría a las empresas a que analizaran con mayor profundidad su dependencia actual de los proveedores de la nube y mitigaran el riesgo de concentración internamente en la empresa y en todo el mundo para minimizar el impacto en los servicios materiales en caso de que se produjera un desastre informático importante. La pregunta sería si las empresas pueden realmente depender de uno o dos proveedores para los servicios materiales y qué medidas adoptarían.

7. ¿Deberían los reguladores hacer algo respecto a la situación del mercado?

Los reguladores como la FCA y la EBA tienen regulaciones que advierten sobre el riesgo de concentración en el mercado y el hecho de que las empresas deberían hacer mucho más para mitigarlo. Existen otras regulaciones a nivel mundial que tienen un efecto similar. Sin embargo, he visto que en la práctica, ha habido mucha oposición por parte de las empresas a invertir en varios proveedores (por ejemplo, proveedores de la nube) dado el costo y el hecho de que la probabilidad de interrupción del servicio se considera generalmente extremadamente improbable dadas las probabilidades históricas. Creo que en el futuro, habrá un impulso mucho mayor por parte del regulador para mitigar el riesgo de concentración, no solo a nivel de la empresa, sino también a nivel de los proveedores que están disponibles para brindar el servicio. Anticipo regulaciones más estrictas y un escrutinio más estricto por parte del regulador si la empresa prioriza el costo y la eficiencia por sobre la seguridad y protección de sus operaciones. 

8. ¿Esta interrupción del servicio tendrá un costo para los contribuyentes? ¿Por qué?

Creo que será costoso para todos, ya sea que las contribuciones se destinen directamente a abordar este desafío o a pensar de manera más estratégica en el futuro. Preveo que el dinero de los contribuyentes financiará el impacto directo de la interrupción de TI hoy, pero lo que es más importante, la solución a largo plazo en el futuro, incluida la implementación de políticas y procesos más sólidos por parte del regulador y las empresas para mantenernos seguros como clientes. 

Alina Timofeeva  es una asesora estratégica en datos y tecnología que ha recibido múltiples premios  . Es  miembro de la junta directiva de la British Computer Society , del Chartered Institute for IT, una  líder de opinión y una oradora muy solicitada en grandes eventos del sector. Ha trabajado con las principales firmas de consultoría Oliver Wyman, KPMG y Accenture, donde prestó servicios a importantes bancos como experta en ciberseguridad, nube, datos, resiliencia operativa y regulación, para generar confianza digital y garantizar la seguridad de decenas de millones de clientes. Alina comparte las lecciones clave aprendidas y los pasos clave que se deben tomar estratégicamente para garantizar que esta situación y este «daño» no afecten a los clientes en el futuro, de modo que se restablezca la confianza a largo plazo. NetMedia Internacional, Inglaterra.Traducido al español