This post is also available in: Português Español
Según va ganando notoriedad el concepto de resiliencia cibernética, las dudas sobre sus diferencias con la seguridad cibernética también crecen. Es común, incluso, creer que son términos opuestos, como en el caso de Blue Team Vs Red. Sin embargo, ese no es el caso, solo que esas preguntas surgen probablemente por el hecho de que la resiliencia cibernética es algo relativamente nuevo.
La seguridad cibernética está compuesta por una serie de medidas que buscan impedir que los cibercriminales tengan éxito en sus intentos de ataques a empresas. Aunque la aplicación de prácticas básicas de ciberseguridad combaten la gran mayoría de los ataques, incluso con las defensas activas, los delincuentes pueden encontrar brechas y vulnerabilidades que permitan su ingreso. Acuérdese: ningún sistema es 100% impenetrable, por eso es necesario vigilancia constante.
Cuando se asume que es una cuestión de «cuándo” y no de «si» tratan de atacar, la resiliencia cibernética entra en escena. Entonces, una empresa resiliente desde el punto de vista de la seguridad cibernética es aquella que será capaz de responder y recuperarse de un ataque cibernético, y continuar operando normalmente mientras la invasión está sucediendo. La resiliencia cibernética también implica temas como la gestión de la continuidad de la operación, 2 términos que cada vez están más unidos.
Una de las razones para que surja la resiliencia cibernética dentro de una visión realista es que, aunque una empresa pueda tener todas las defensas posibles, aún hay una probabilidad de sufrir algún tipo de ataque. Pero, lo que hace de la resiliencia cibernética tan fundamental es la capacidad de dejar la empresa completamente funcional mientras los incidentes de seguridad acontecen.
Aún así, es normal que surjan preguntas como “¿la seguridad cibernética es un proceso independiente de la resiliencia cibernética o la resiliencia cibernética incluye la seguridad cibernética?”. Quien investiga la conexión entre las 2 materias, encuentra principalmente una relación lineal. Incluso, muchos especialistas comienzan hablando sobre la seguridad cibernética y después pasan a la resiliencia cibernética.
Algunos conceptos consideran la seguridad cibernética como binaria, valorando que un sistema es o no seguro. De esa forma habría una diferencia entre este concepto y el pensamiento más estratégico y de largo plazo de la resiliencia cibernética.
No obstante, si vemos la estructura de seguridad cibernética del Instituto Nacional de Estándares y Tecnología de los EUA (NIST), por ejemplo, la resiliencia cibernética cubre 5 etapas: Identificar, Proteger, Detectar, Responder y Recuperar.
La etapa «Identificar» se describe como “desarrollar el entendimiento organizacional para gerenciar el risco de seguridad cibernética en sistemas, activos, datos y recursos”. Por lo que, para el NIST, la seguridad cibernética es una etapa del proceso más amplio de la resiliencia cibernética.
Además, el National Cyber Security Centre (NCSC) del Reino Unido, habla de los sistemas resilientes en 4 etapas, parecido a la estructura del NIST, la primera etapa se llama ‘Preparar’. La opinión de ellos es que la seguridad preventiva es esencial. Las defensas que lo protegen de ataques conocidos ayudarán a mejorar su resiliencia. Mas, no basta contar solo con prevención, o sea, la resiliencia cibernética sería un proceso más amplio que englobe la seguridad cibernética.
La importancia de la resiliencia cibernética
Un ataque virtual puede tener consecuencias graves en términos de entrega de servicios si los sistemas dejan de operar. Si la empresa está involucrada en prestación de servicios de infraestructura nacional o de seguridad pública, el impacto de una violación puede ser aún más preocupante. Lo mismo se aplica a negocios que dependen de internet o tecnología, como tiendas online, un banco o un proveedor de streaming. Una invasión puede representar una amenaza a toda la operación comercial.
Por eso, la resiliencia cibernética es importante, porque depender solo de medidas de seguridad virtual – por más eficaces que sean – no son suficientes para evitar las consecuencias más graves después de un ataque.
Aceptar que puede suceder lo peor en cualquier momento, y ser capaz de responder, será mejor que asumir que sus medidas de seguridad cibernética siempre serán eficientes. Puede ser que por un tempo indeterminado lo sean, pero los cibercriminales están en constante evolución, y por esa razón las empresas precisan ser resilientes desde el punto de vista cibernético.
Otra razón son las consecuencias de un ataque cibernético grave; el resultado da resiliencia cibernética debe verse como parte de las actividades añadidas de la gestión de riesgos y resiliencia de negocios de una empresa.
Cómo alcanzar la resiliencia cibernética
Las actividades de resiliencia de la ciberseguridad posiblemente abarcan una o más normas, esquemas o modelos con los que es necesario estar certificado o en cumplimiento de normas.
Un camino hacia la resiliencia cibernética viene a través de un programa de seguridad que incluye una evaluación de la resiliencia actual de la empresa. Y analizando la gobernanza de seguridad, políticas, padrones, procesos y procedimientos y niveles apropiados de entrenamiento de concientización de trabajadores y usuarios.
Se pueden utilizar principios de gestión de riesgos cibernéticos bien establecidos, guiados por las mejores prácticas ampliamente aceptadas para ayudar a diseñar y aplicar el programa. Lo que puede incluir el Cyber Security Framework, SANS Critical Security Controls y el Cybersecurity Capability Maturity Model (C2M2), por ejemplo.
Es un contexto que mostrará que la ciberseguridad y la resiliencia cibernética están relacionadas mucho más de la palabra “cyber”. Ambas son formas de protección contra amenazas que vienen de internet, pero la resiliencia cibernética reconoce que la primera línea de defensa puede que no funcione. Por lo que permite que la empresa permanezca en funcionamiento en el caso de que las medidas de seguridad fallen, funcionando mejor en conjunto, siempre que se adecúen al nivel de riesgo que permita reducir cualquier daño eventual.
En definitiva, la resiliencia cibernética es importante porque hay empresas operando en ambientes críticos, por las que son apetecibles a los cibercriminales. Los riesgos son altos y pueden afectar más que solo a la organización. Si ese trabajo se interrumpe y queda offline, las consecuencias serían gravísimas. Por eso es que los ataques a organismos públicos reciben tanta cobertura, por sus consecuencias y hace que la resiliencia cibernética sea algo con lo que todos nos debemos preocupar.
This post is also available in: Português Español