[12/08/2024] El objetivo de las empresas siempre ha sido estar preparadas ante un ataque. Para ello se han dotado -en la medida de sus posibilidades- de todas las tecnologías y herramientas que les permitan defenderse contra uno de estos incidentes. Sin embargo, todas las 'armas' que puedan acopiar no serán suficientes para asegurarles que saldrán indemnes de una incursión de un grupo de cibercriminales.
Por ello se creó el concepto de ciber resiliencia, una idea que no solo toma en consideración la defensa ante un ataque, sino también la muy probable necesidad de saber cómo reaccionar luego de un ataque exitoso o un evento catastrófico que detenga el funcionamiento digital de una organización. Además de saber defenderse, las organizaciones también deben aprender a recuperarse, y mientras más rápido, mejor. De eso trata la ciber resiliencia.
El concepto
"La ciber resiliencia es la habilidad que tiene una organización para estar lista, responder y recuperarse de ciberataques o problemas de seguridad. A diferencia de la ciberseguridad, que se centra en proteger sistemas y datos contra amenazas, la ciber resiliencia tiene una visión más amplia. Se trata no solo de prevenir ataques, sino también de asegurar que la empresa pueda seguir funcionando y recuperarse rápidamente si algo malo ocurre”, explicó Lubilay Vargas, vicepresidenta de Noventiq Latinoamérica.
La ciber resiliencia constituye así un cambio de paradigma con respecto a las filosofías anteriores de defensa. Ya no se centra en esperar que nada ocurra a la institución, sino que incorpora a la recuperación una vez que el ataque ha sido exitoso. Desde esa perspectiva, es más realista con respecto al entorno actual de seguridad.
"La empresa que es resiliente es aquella que no plantea la utopía de que nunca le va a pasar nada, sino que crea las condiciones para superarlo. Eso también hay que comunicarlo y convertirlo en una ventaja competitiva”, explicó Juan Marino, Cybersecurity Sales Strategy Manager de Cisco.
El concepto es distinto al de ciberseguridad ya que ésta busca la protección de sistemas, redes y datos, con acciones de prevención, detección y respuesta; mientras que la ciber resiliencia habla, además, de recuperación. Desde esta perspectiva, la ciber resiliencia engloba a la ciberseguridad, pero a la vez se conecta con otro antiguo concepto: la continuidad del negocio.
¿Qué tan conocido es el concepto? En realidad, el concepto no es nuevo, de hecho, se habla de él ya hace algunos años. Por ejemplo, en el Foro Económico Mundial ya se pueden encontrar, desde el 2020, artículos que hablan sobre la necesidad de que las organizaciones tengan como prioridad el tema de la ciber resiliencia e incluso propone algunos pasos para construir la ciber resiliencia en las organizaciones.
En la región y en el país el concepto también es conocido y, sin duda, las conversaciones en torno al tema se han visto reforzadas por las malas experiencias que tienen las firmas al ser impactadas por los ciberataques.
"Es un tema que ya se viene hablando con más fuerza en los últimos años, claramente impulsado por las malas experiencias de los ataques infames que ha habido a nivel de ciberseguridad; y el tema de ciber resiliencia viene a ser como entrar a un grado de madurez”, aseveró Elvis Rivera, gerente de Ingeniería de Sistemas de Fortinet Perú.
De hecho, de acuerdo con un informe desarrollado por Palo Alto Networks e IDC Research, en América Latina, el 78% de organizaciones sabe que la ciber resiliencia es clave para su óptimo desarrollo; sin embargo, solo el 40% tiene confianza en seguir operando después de un ataque y solo el 28% ponen a prueba sus planes de recuperación. Además, solo el 11% usan controles de seguridad maduros para la ciber resiliencia.
"En Perú, la situación es similar, el concepto ya es conocido entre las organizaciones; lamentablemente muy pocas de ellas lo aplican. Esto habla de una especie de desidia por parte de los tomadores de decisiones y las razones pueden ir desde el desconocimiento hasta la desconfianza en las nuevas tecnologías, pasando por una priorización económica desmedida dirigida a otras áreas”, explicó Kenneth Tovar, country manager de Palo Alto Networks para Perú y Bolivia.
La aplicación
Como se señala líneas arriba, el que la mayoría conozca el concepto no significa que muchos lo utilicen; es decir, que estén realizando acciones para tener algún grado de ciber resiliencia. De hecho, dado que la ciber resiliencia engloba a la ciberseguridad, no es de sorprender que haya organizaciones en las que se confundan ambos términos.
"Hoy en día, tanto en Perú como en el resto del mundo, ciber resiliencia es un término que se utiliza de manera casi indiferente al término ciberseguridad. Esto hace que se sigan enfocando en la protección y la detección de los incidentes, y no se pone foco en la recuperación ni en los planes de actuación durante un incidente”, indicó Mónica Villavicencio, head of cybersecurity de NTT Data Perú.
Entonces, ¿cómo llegar a la ciber resiliencia?
El inconveniente está en que no se va a encontrar marcos de referencia o parámetros destinados específicamente a la ciber resiliencia. El concepto es nuevo y, por tanto, se puede estimar que estos indicadores recién se están construyendo. De hecho, una de las regiones que ya ha introducido el concepto en su legislación es la Unión Europea. Este organismo presentó en setiembre del 2022 una propuesta de ley -que aún no se ha aprobado- que se conoce como la Cyber Resilience Act que, básicamente, se encuentra dirigida a fortalecer la seguridad cibernética de productos con elementos digitales dentro del mercado de la Unión Europea; es decir, no toca la ciber resiliencia en las organizaciones tal y como la conocemos.
La Unión Europea no es el único organismo global que se encuentra desarrollando el tema. Como se señaló al inicio, el Foro Económico Mundial también ya se encuentra hablando sobre el tópico.
"El World Economic Forum, que está hablando mucho de los riesgos globales, clasifica y produce recomendaciones de cómo lograr la resiliencia. Ahora, cuando uno mira esas recomendaciones son muy conceptuales, no hay un manual de operación, con lo cual los frameworks o los marcos de referencia más específicos no hablan directamente de la resiliencia como objetivo, sino por ahí de la ciberseguridad”, detalló Marino de Cisco.
Dada la falta de marcos de referencia y parámetros específicamente creados para el concepto, hay que utilizar los que ya se tienen y conocen. Y dado que la ciber resiliencia se inicia teniendo una buena ciberseguridad, se puede voltear la mirada hacia estos indicadores.
"Hay varios marcos y estándares que proporcionan estructuras y prácticas recomendadas que pueden ayudar a las organizaciones a desarrollar y fortalecer su ciber resiliencia”, sostuvo Rafael Taboada, líder de IBM Security para el norte de Suramérica.
Entre estos marcos de referencia destacan el NIST Cybersecurity Framework, que proporciona directrices para gestionar y reducir el riesgo cibernético; la ISO/IEC 27001, un estándar internacional para la gestión de la seguridad de la información; el CIS Controls, una lista de controles de ciberseguridad prioritarios; la COBIT (Control Objectives for Information and Related Technologies), un marco para el desarrollo, implementación, monitoreo y mejora de la gobernanza, y gestión de la información y la tecnología; y el CERT Resilience Management Model (CERT-RMM), un modelo para la gestión y mejora de la ciber resiliencia.
El otro elemento de la ciber resiliencia, además de la ciberseguridad, es la capacidad de recuperación y en este campo también se pueden encontrar parámetros que ya se vienen utilizando.
"En cuanto a parámetros que nos permitan más o menos medir 'en dónde estamos parados' y a partir de ahí mejorar nuestras capacidades de ciber resiliencia, hoy -especialmente, dentro de los ámbitos operativos de la ciberseguridad- se habla de dos: el tiempo de detección y el tiempo de respuesta”, señaló Carlos Huaccha, presales manager en Perú de Kaspersky.
El tiempo de detección se conoce como en MTTD (mean time to detect) y es una métrica clave para evaluar la eficiencia de las herramientas y procesos de seguridad de una organización. Un MTTD más bajo indica que las amenazas se detectan más rápidamente, lo que es crucial para minimizar el impacto de los incidentes de seguridad.
Por su parte, el tiempo de respuesta es el MTTR (mean time to response) y mide el tiempo promedio que tarda en restaurarse un sistema, servicio, o componente a su funcionamiento normal después de una falla o incidente. Un MTTR más bajo indica que los problemas se resuelven rápidamente, minimizando el tiempo de inactividad y el impacto en las operaciones.
Otro parámetro que Huaccha mencionó es el RTO. El Recovery Time Objective u Objetivo de Tiempo de Recuperación, representa el tiempo máximo tolerable que una organización puede permitirse para restaurar un sistema, aplicación, proceso o servicio tras un fallo o interrupción, antes de que el impacto negativo sea inaceptable
"Si se mide el RTO, el MTTD y el MTTR a lo largo del tiempo se puede medir cómo mejorar la estrategia de ciber resiliencia”, sostuvo Huaccha.
Acciones
Además de los marcos de referencia y los parámetros se pueden llevar a cabo acciones que permitan a la organización desarrollar su ciber resiliencia.
"Una vez que una organización decide aplicar la ciber resiliencia, tiene que seguir una serie de pasos como la evaluación de su situación y sus activos críticos, el desarrollo de su estrategia, la implementación de controles técnicos y capacitación, y las pruebas y monitoreo de sus sistemas”, consideró Tovar, de Palo Alto.
Pero, además, como sugiere Taboada de IBM, las organizaciones pueden evaluar su situación actual y realizar pruebas periódicas mediante la realización de auditorías y evaluaciones de riesgo, además de simular ciberataques para estar preparados; desarrollar un plan de ciber resiliencia, es decir, incluir estrategias de prevención, respuesta y recuperación, lo cual es clave aprender de incidentes pasados, entender dónde estuvieron sus falencias y actualizar los planes y estrategias; capacitar a toda la organización y así asegurar que todos los empleados comprendan su rol en la resiliencia cibernética; finalmente, se puede implementar tecnologías avanzadas, es decir, utilizar herramientas de monitoreo y respuesta automatizada, como inteligencia artificial (IA) y automatización.
"La formación y concienciación de los empleados sobre la importancia de la ciber resiliencia y las mejores prácticas de seguridad también son cruciales. Además, es necesario llevar a cabo pruebas regulares y simulacros de incidentes para evaluar la preparación y mejorar las respuestas. La implementación de tecnologías y herramientas avanzadas que ayuden a detectar, prevenir y responder a ciberataques es otro paso fundamental. Por último, las estrategias de ciber resiliencia deben revisarse y actualizarse continuamente para adaptarse a nuevas amenazas y cambios en el entorno”, comentó Vargas de Noventiq.
Ciertamente, existen guías, sin embargo, queda mucho camino por recorrer. Por ello, lo ideal es apoyarse en compañías que ya tienen un marco base de medición de la ciber resiliencia; aunque, dado que cada compañía es diferente, este marco siempre deberá personalizarse de acuerdo con la organización.
"Es importante resaltar que la ciber resiliencia real de una organización solo puede medirse tras un incidente. El estrés que se vive durante un incidente va a retar todas las preparaciones previas realizadas. Dicho esto, la medición de la postura de ciber resiliencia y los ejercicios de table top enfocados a probar esa postura pueden dar una buena indicación del nivel en el que está la organización”, declaró Villavicencio de NTT Data Perú.
Los encargados
Es muy poco probable que se encuentre en la actualidad alguna persona con un puesto de chief resilience officer -aunque puede que en el futuro se cree la posición- por lo que se deberá contar con alguno de los ejecutivos que ya se pueden encontrar en las organizaciones. Y por ello, es natural pensar que la persona que se debe de encargar de la ciber resiliencia deba ser la misma que se encarga de la ciberseguridad: el CISO.
"Pero no es la única persona responsable. De hecho, podemos tomar como referencia estándares de ciberseguridad, por ejemplo, la NIST 8374 habla de un comité de ciberseguridad, un comité en el cual deben estar miembros, personas del C-Level, personas de la alta dirección de la empresa porque deben tener poder de decisión para algunas acciones que hay que ejecutar en caso la empresa tenga que defenderse frente a un ataque”, recalcó Rivera de Fortinet.
Además, se debe de tomar en cuenta que la ciberseguridad -como se señaló antes- es una parte de la ciber resiliencia, la otra es la continuidad del negocio. Por ello, si se cuenta con una persona responsable de la continuidad sería conveniente que forme parte del equipo de ciber resiliencia.
Finalmente
En general, el concepto de ciber resiliencia está ganando reconocimiento a nivel mundial, aunque su adopción y comprensión pueden variar.
"Desde IBM vemos que en el Perú la conciencia sobre la importancia de la ciber resiliencia está en pleno crecimiento, impulsada por el aumento de ciberataques y la necesidad de cumplir con normativas internacionales. Sin embargo, debemos seguir reforzando el mensaje y buscar que cada vez más empresas adopten este concepto en su día a día”, finalizó Taboada.
Jose Antonio Trujillo, CTOPerú