La habilidad de anticipar, resistir, recuperarse de o adaptarse a situaciones o condiciones adversas, ataques o brechas en sistemas que utilizan o habilitan recursos cibernéticos.
Ciber Resiliencia tiene por misión hacer cumplir los objetivos de negocio que dependan de recursos cibernéticos en un ambiente de igual forma, cibernético.
Definición según NIST SP 800-160 “Developing Cyber-Resilient Systems”
Ante una revolución en las tecnologías y la evolución a una era digital en los modelos de negocio, se debe construir una cultura de seguridad en todos los procesos de las organizaciones, la cual se vuelve igual de importante que los aspectos financieros y operativos.
Nos encontramos en un punto de transformación, donde antes se llenaban papeles de formularios ahora se llenan formularios en línea, donde antes éramos atendidos por un agente para gestionar un proceso, ahora es un proceso automatizado, lleno de validaciones y verificaciones.
Cada vez los procesos son completamente digitales y las empresas saben que este es el futuro al que nos dirigimos, quien no pueda adaptarse al cambio no podrá mantener su puesto en el mercado, se verá opacado por aquellos que logren antes la meta, es una carrera por digitalizar los procesos. Sin embargo, solo pensamos en la meta, no pensamos en las consecuencias, con una transformación digital también se transforman las amenazas y todas las empresas que se unan a esta carrera por la digitalización deben estar conscientes de los riesgos.
La ciber resiliencia debe ser un punto de gran importancia, un punto crítico a considerar durante las operaciones del negocio, de la misma manera en la que se espera una falla eléctrica, un corte en la comunicación también debemos esperar un ataque cibernético.
La ciber resiliencia puede ser confundida con el cumplimiento o la seguridad de la informática, sin embargo, este concepto trata las cosas desde un punto de vista más general con el único propósito de incrementar la seguridad en la totalidad de la organización y reducir los riesgos o fallas que puedan existir.
Al hablar de ciber resiliencia, se refiere a una cultura de ciberseguridad, no se habla de cumplimiento, no es un estándar definido con su listado de puntos por verificar, ¿Puede la ciber resiliencia ayudar con el cumplimiento? si puede y en gran medida. Se trata de la cultura en una organización, esta se forma en base a los objetivos del negocio y sus valores, la ciber resiliencia requiere que la cultura de la organización sea con orientación a la seguridad, que se capacite al personal no solamente porque hay una ley regulatoria o una norma que nos dice que debemos capacitar al personal (lo cual puede ser percibido como una tarea más) sino porque queremos que el personal sepa la importancia de la seguridad en su entorno laboral, que no solo el personal sino también los ejecutivos sean parte del proceso que sepan que el correo institucional es para cuestiones de trabajo y no para registrarlo sin cuidado en sitios de dudosa procedencia.
La ciber resiliencia también se refiere a la continuidad del negocio, preparar los sistemas para funcionar ante una serie de posibles escenarios que podrían resultar en una catástrofe para la organización, lo cual muchas empresas tienen bastante claro, ya sea por cumplimiento, por prevención o por algún incidente en el pasado que los obligó a tomar acciones al respecto.
Está más que claro que es mucho más fácil hacerse una idea que tratar de implementarlo, un cambio de este tipo no ocurre de la noche a la mañana, esto puede tardar meses o años dependiendo del tamaño de la organización y la cantidad de áreas a cubrir, pero es un beneficio para todos, el personal aprende la importancia de la seguridad de la información la cual puede aplicar dentro y fuera de su horario laboral, los ejecutivos tendrán la seguridad de que el negocio es capaz de resistir las amenazas más comunes y los equipos encargados de la seguridad pueden agilizar los procesos con una visión más clara.
CISCO, realizó una investigación con sus clientes alrededor del mundo donde se determinan algunos puntos importantes para lograr la ciber resiliencia de manera más efectiva, los cuales presentamos con detalle a continuación.
Apoyo de los ejecutivos.
Las organizaciones que tienen el apoyo de los ejecutivos en la organización para los planes de seguridad demuestran ser un 39% más resilientes ante los incidentes, es importante hacer saber a los ejecutivos que los planes de seguridad no son un gasto sino una inversión, recuperarse de un incidente no solo puede afectar los ingresos, sino también la imagen de la organización.
Poca cultura de seguridad.
Aquellas organizaciones en las cuales la seguridad es parte de la cultura tienen un nivel de resiliencia 46% más alto que aquellas que no lo tienen, recordar que los incidentes se pueden dar no solo mediante los sistemas sino también por los empleados e incluso los ejecutivos, es importante dejar bien claro desde el inicio el porqué es importante la seguridad y como un incidente puede afectar los procesos de la organización, ya sea que estos se originen mediante el correo electrónico, la ingeniería social o un sistema desactualizado, una acción puede hacer la diferencia.
Tener el personal suficiente.
Nadie quiere contratar demasiado personal para un mismo puesto o área, pero es mucho más común ver a una sola persona desempeñar varios cargos, esto no solo afecta el rendimiento o eficiencia de una persona sino también de los procesos, CISCO en su reporte hace mención que tener personal adicional al necesario hace una diferencia de 15% en la resiliencia ante un incidente en una organización, la diferencia sería mucho mayor cuando no se tiene el personal suficiente en el área de seguridad y aún más amplia la diferencia cuando ni siquiera se tiene el personal dedicado a esa área.
Una opción es tercerizar el servicio y contratar una empresa que se encargue de la gestión de estos aspectos, así como dar consultoría y soporte con respecto a los temas de seguridad informática.
Infraestructuras complejas.
Sin importar el tamaño del equipo con el que se trabaje, tener una gestión compleja de la infraestructura puede entorpecer y/o ralentizar los procesos, simplificar el manejo de los activos de infraestructura sin importar que esta sea en sitio, en la nube o hibrida puede mejorar la resiliencia en un 15%, es muy común ver la concepción que una vez implementada la solución esta va a funcionar de forma continua y desatendida, pueden pasar años hasta sin que se piense en un mantenimiento y en algunos casos el personal es diferente al que se encontraba presente al momento de la implementación y hay poca documentación o no existe, lo cual va aumentando el nivel de complejidad con el paso del tiempo.
Pocas capacidades de detección y respuesta.
Si no se tiene una vista sobre los activos que se tienen, no sabes su estado y no sabes cómo protegerlos, esto hace que se reduzca la resiliencia hasta un 45%, actualmente empiezan a surgir los sistemas de detección y respuesta extendida o XDR por sus siglas en inglés, los cuales ya no solamente aplican a equipos individuales como los sistemas de detección y respuesta de endpoints o EDR, sea cual sea la solución a escoger debe ser una que permita tener una visión del estado de los sistemas, el ideal siempre es abarcar todos los sistemas, pero en caso de no poder hacerlo se recomienda hacer un análisis.
Microsoft en su reporte de defensa digital 2022, marca la ciber resiliencia como un punto importante para la gestión de la seguridad dentro de las organizaciones en esta era de rápido crecimiento y digitalización, así como se crean sistemas, se crean amenazas y no hay suficientes recursos para cubrir todas las posibilidades, por esto la seguridad no debe depender de un solo sistema o un área de la organización, debe ser parte de la cultura, parte del día a día de todos los involucrados, dentro y fuera de la organización, desde los ejecutivos hasta el personal que cuida la entrada, todos deben ser conscientes del por qué es importante la seguridad y por qué son así los procesos y los riesgos y consecuencias que pueden existir al no cumplir.
Referencias
IBM – «What is Cyber Resilience?»
NIST SP 800-160 «Developing Cyber Resilient Systems»
NIST Glosary – Cyber Resiliency
CISCO – Security Outcomes Report Vol. 3 «Achieving Security Resilience»
Microsoft Digital Defense Report 2022, page 89 – Cyber Resilience