Cómo ser una organización ciberresiliente

Estevenson Solano    15 septiembre, 2022
Foto: Hugo Jehanne / Unsplash

Miedo, pánico e incertidumbre son algunos de los sentimientos que se viven constantemente en el liderazgo corporativo. En los comités de dirección cada vez más se plantea la gran pregunta: ¿está funcionando nuestra seguridad cibernética?

Y otras como ¿Qué tipos de ciberataques y/o ciberamenazas nos afectan con más frecuencia? ¿Cuáles son los nuevos patrones de comportamiento de los adversarios? ¿Cómo se entiende el ciberespacio para definir el diseño, construcción e implementación de una estrategia de ciberseguridad? ¿Cómo se percibe el panorama de amenazas cibernéticas? O también, ¿estamos considerando los aspectos retrospectivos, prospectivos y panorámicos para definir una estrategia de ciberseguridad transversal e integral?

El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en ingles) define la resiliencia como “la capacidad de una organización para trascender (anticiparse, resistir, recuperarse y adaptarse) a cualquier tensión, fallo, peligro y amenaza a sus recursos cibernéticos” dentro de la organización y su ecosistema, de manera que la organización pueda cumplir su misión con confianza, mantener su cultura de empresa y preservar su forma de operar.

Comprender de manera exhaustiva el impacto de los riesgos cibernéticos en una organización es un factor complejo pero crítico para fortalecer la resiliencia cibernética. Por tanto, se necesitan marcos y herramientas para equipar al talento humano;  a fin de que comprendan y comuniquen los ciberriesgos predominantes además de su impacto.

La resiliencia cibernética debe considerarse un imperativo estratégico.

La ciberresiliencia y sus beneficios deben estar claros para el liderazgo corporativo. Por lo tanto, es importante traducir el impacto del estado de la ciberresiliencia en las operaciones, la estrategia y la continuidad del negocio. Siendo un compromiso para posicionar la resiliencia cibernética como un imperativo estratégico.

Sin embargo, las cifras y los acontecimientos actuales indican que se necesita mucho trabajo para cerrar la brecha de capacidad y rendimiento en la ciberresiliencia entre los ecosistemas de la industria y dentro de las organizaciones.

El informe Global Cybersecurity Outlook 2022 del Foro Económico Mundial (WEF, por sus siglas en ingles) encontró que sólo el 19% de los encuestados se sienten seguros de que sus organizaciones son ciberresistentes, lo que indica que una gran mayoría sabe que sus organizaciones carecen de la ciberresistencia que necesitan para ser proporcionales a los riesgos a los que están expuestas.

Además, el informe descubrió que el 58% de los encuestados cree que sus socios y proveedores son menos resistentes que su propia organización, y el 88% está preocupado por la ciberresistencia de las pequeñas y medianas empresas que forman parte de su ecosistema.

En otro informe de Accenture, el 81% de los encuestados afirmó que “adelantarse a los atacantes es una batalla constante y el coste es insostenible”, frente al 69% de 2020.

No importa el tamaño, sector o perfil de riesgo de tu organización: todas ellas están expuestas a ciberataques cada vez más sofisticados.

Esto indica que, a medida que las organizaciones, los ecosistemas, las cadenas de suministro y las relaciones con proveedores se vuelven más interconectadas e interdependientes —y se acelera el ritmo de los cambios y procesos de transformación— no solo se retrasa la capacidad de recuperación, sino que falta un enfoque cohesivo sobre la forma de diseñar la capacidad de recuperación. Cada vez está más claro que, a pesar de esta interconexión, no existe una alineación para superar de forma conjunta los eventos cibernéticos perturbadores.

¿Está tu organización preparada para lo que viene?, ¿Sabrías medir la capacidad de tu organización ante distintos ataques, amenazas o incidentes que puedan sufrir? Es preciso resaltar que no importa el tamaño, sector económico, perfil de riesgo de tu organización: todas las empresas están expuestas a sufrir ataques cibernéticos cada vez más sofisticados y en constante evolución e innovación.

Hay una realidad que tienen destacadas y muchas organizaciones están poco preparadas para demostrar sus capacidades de resistir frente a comportamientos sofisticados de los ataques cibernéticos. ¿Qué nos hace falta? ¿Dónde estamos aunando esfuerzos para avanzar? ¿Contamos con las capacidades operativas, técnicas y estratégicas? ¿Cómo podemos trazar una hoja de ruta? ¿Qué estamos haciendo y cómo podemos mejorar?

“Muchas organizaciones están poco preparadas para resistir frente a sofisticados ataques cibernéticos.”

Resiliencia cibernética no es crear un plan de contingencia y continuidad de las operaciones, es algo que va más allá de garantizar disponibilidad que se enfoca en la resistencia tras la situación que vive la infraestructura tecnológica.

¿Cómo está nuestra organización preparada y el fortalecimiento de sus capacidades para identificar, detectar, prevenir, cancelar, recuperar, cooperar y mejorar continuamente contra las amenazas cibernéticas?

De acuerdo con el informe The Cyber Resilience Index: Advancing Organizational Cyber Resilience 2022 del (WEF, por sus siglas en ingles) encontró que las cuatro razones principales por las que la ciberresiliencia es limitada en los ecosistemas actuales son que muchas organizaciones:

  1. Tienen una perspectiva estrecha de la ciberresiliencia, centrada principalmente en la respuesta y la recuperación de la seguridad
  2. Carecen de una comprensión común de lo que debe incluir una capacidad de ciberresiliencia completa
  3. Les resulta difícil medir con precisión el rendimiento de la ciberresiliencia de la organización o comunicar su verdadero valor a la dirección de la empresa
  4. Luchan por ser transparentes dentro de su organización y con los socios del ecosistema acerca de las deficiencias de su postura de ciberresiliencia y sus experiencias con los eventos perturbadores.

Características de una organizacion ciberresiliente

El enfoque de la ciberresiliencia también debe estar libre de las limitaciones impulsadas por el miedo y causadas por la mera preservación del statu quo que tan a menudo son seguidas por los intentos de volver a un estado demostrablemente frágil, cuando la interrupción se produce previsiblemente.

La recompensa de hacer que la ciberresiliencia forme parte de la ética es una mayor oportunidad de asumir riesgos saludables, innovar y capturar responsablemente el valor de la economía digital del mañana.

Algunas técnicas de resiliencia que pueden implementar para madurar sus programas de seguridad y mejorar su capacidad de proporcionar servicios a los clientes durante un incidente cibernético:

  • Respuesta adaptativa: Optimizar la capacidad de responder de manera oportuna y adecuada a las condiciones adversas.
  • Monitoreo analitico: Maximizar la capacidad de detectar posibles condiciones adversas y revelar el alcance de las condiciones adversas.
  • Protección coordinada: Requiere que un adversario supere múltiples salvaguardas.
  • Engaño: Engañar o confundir al adversario u ocultar activos críticos del adversario.
  • Diversidad: Limitar la pérdida de funciones críticas debido al fallo de componentes comunes replicados.
  • Posicionamiento dinámico: Impedir la capacidad de un adversario para localizar, eliminar o corromper la misión o los activos comerciales.
  • Representación dinámica: Apoyar la conciencia situacional, revelar patrones o tendencias en el comportamiento adversario.
  • No persistencia: Proporcionar un medio para reducir la intrusión de un adversario.
  • Restricción de privilegios: Restringir los privilegios según los atributos de los usuarios y los elementos del sistema.
  • Reordenación: Reducir la superficie de ataque de la organización defensora.
  • Redundancia: Reducir las consecuencias de la pérdida de información o servicios.
  • Segmentación: Limitar el conjunto de posibles objetivos a los que se puede propagar fácilmente el malware.
  • Integridad comprobada: Detectar intentos de un adversario para entregar datos, software o hardware comprometidos, así como modificaciones o fabricación exitosas.
  • Confianza cero: Implica cuestionar las prácticas y políticas de seguridad de la organización derecho a pedir, y esperar, respuestas claras.
  • Imprevisibilidad: Aumentar la incertidumbre de un adversario con respecto a las protecciones del sistema que pueden encontrar.

La ciberresiliencia debe formar parte no sólo de los sistemas técnicos, sino también de los equipos, la cultura organizativa y la forma de trabajo día a día

Para el éxito de una organización ciberresiliente es imperativo diseñar, construir y gestionar la ciberresiliencia y, a continuación, hacer bien los fundamentos. La ciberresiliencia debe formar parte no sólo de los sistemas técnicos, sino también de los equipos, la cultura organizativa y la forma de trabajo día a día.

Dentro de las organizaciones y sus ecosistemas, la ciberresiliencia debe ser una mentalidad omnipresente sostenida por un enfoque holístico. Por décadas, la gestión de la ciberresiliencia ha estado poco representada y se han confundido con otros principios en los programas de ciberseguridad.

Hoy más que nunca hay muchas cosas positivas. Hemos recorrido un largo camino en poco tiempo. Pero la clave está en no confiarse y no conformarse, reafirmar nuestro compromiso de mejora y reconocer que el atacante volverá con nuevas capacidades y habilidades.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.