En estos dos últimos años la palabra resiliencia está en boca de toda la humanidad, no solo por lo que nos ha generado la pandemia, sino por las acciones cibernéticas que han atentado o aprovechado la migración del mundo al teletrabajo y a la vida virtual. Pero es fundamental entender el concepto y cómo es que lo podemos aplicar en nuestros procesos de ciberseguridad o de seguridad de la información.
Para esto es indispensable entender el origen de la palabra, pues es un concepto en psicología que identifica la capacidad que tiene una personas para superar circunstancias traumáticas, generando de esas situaciones adversas unos resultados positivos. Pero esta capacidad no solo es personal, sino familiar, comunitaria cultural y empresarial.
Teniendo claro esa base, podemos entender mejor a qué se refieren cuando hablan de tener una empresa ciber resiliente, pues en las condiciones actuales (más que nunca en la historia) todas las empresas dependen de su capacidad cibernética para funcionar y seguir generando dividendos, desde la micro empresa que le toco entender y migrar al comercio electrónico y a los pagos virtuales, hasta la corporación que vio totalmente desocupadas sus oficinas y a todos sus empleados trabajando desde casa, en reuniones virtuales y cerrando negocios con clientes digitalmente.
Debido a que, así como en el mundo tradicional existen grupos de delincuentes que buscan la oportunidad para generar una fraude o en algunos casos realizar acciones criminales para apropiarse de las ganancias de una entidad, pues estos mismos grupos han ido migrando sus acciones al mundo cibernético, donde ataques como el phishing han aprovechado las circunstancias para crecer en cifras de doble digito y generar las estafas de orden mundial, que incluso a generado ordenes presidenciales en algunos casos.
Unamos los conceptos
En el mundo empresarial pueden surgir muchas circunstancias traumáticas, pero pocas superan la generada por un ransomware, haciendo que cerca del 60% de las PyMES cierren en menos de seis meses posteriores al incidente, y las empresas de seguros que habían creado coberturas especiales para este incidente hoy estén eliminando esta opción de las coberturas.
Entonces, cómo generar de esta situación adversa algún resultado positivo, es lo que cada director o presidente o junta de una empresa debería tener en cuenta dentro de sus análisis de riesgos y de la preparación que deben tener los equipos de ciberseguridad, IT y OT, en cómo detectar y cómo responder ante muchos incidentes.
En 2018, empezamos en ElevenPaths a mostrar como desde el punto de ciberseguridad era necesario empezar a tener esa capacidad de soportar los crecientes ataques que se orientan a las organizaciones, buscando que se cambiara la forma reactiva en la que se manejaba por parte de las empresas la ciberseguridad y que la prevención y seguridad como diseño era la mejor opción para tener esa resiliencia.
Para ese punto hablábamos desde la experiencia, pues la planeación y la prevención que habíamos tomado antes del 2017 fue lo que nos permitió soportar el incidente de WannaCry, saber cómo reaccionar, cómo comunicar al exterior y al interior, pero sobre todo cómo convertirlo en un resultado positivo, del cual surgieron nuevos protocolos en respuesta de incidentes, generación de mayores medidas de detección y prevención (trasladadas a clientes como servicio), investigaciones de ransomware y herramientas de recuperación.
Aplicarlo en las empresas
La cantidad de incidentes reportados en los últimos dos años ha sido muy alto, incluso muchos han generado noticias internacionales, como el caso del secuestro cibernético de uno de los principales oleoductos de Estados Unidos, que además han demostrado que la política corporativa usual es la de reaccionar y no de prevenir.
Pero generar resiliencia cibernética no es un camino fácil, se requiere bastante esfuerzo en muchos campos que no solo tienen que ver con las áreas de IT o de OT, sino que en gran medida tienen que ser gestionadas por el área de recursos humanos o gestión de personal, quienes tienen la misión de generar ambientes de capacitación para que los empleados empiecen a ser ese filtro necesario en sus acciones digitales.
También depende en gran medida del área de compras, que empiece a solicitar a cada proveedor las acciones necesarias para cumplir las medidas de control de la información y que garantice que cada servicio o bien adquirido a ellos tenga en cuenta la ciberseguridad y la protección de los datos como parte del diseño de este.
Por supuesto, para que todo esto se materialice es necesario que las áreas directivas vean a la ciberseguridad no como un gasto sino como una necesidad trasversal a sus funciones y operaciones, que, así como su empresa no puede funcionar sin un área de gestión de personal, pues tampoco lo puede hacer sin tomar las medidas de control y monitoreo persistente de la información.
Sin duda, todo esto depende del tamaño y la información que maneja cada organización, pues los controles deben ser acordes a la capacidad financiera de estas, pero siempre tomando en cuenta que no son solo inversiones en tecnología o maquinas, sino que se debe capacitar al personal y tener una cultura organizacional que en cada proceso tenga en cuenta la seguridad de la información como base del desarrollo o diseños de este.