Fernando Romero Horcajada Responsable de Arquitectura, Calidad y PMO. Prosegur Ciberseguridad.

¿Qué es la Ciber-Resiliencia? Uno de los mayores expertos en ciberseguridad mundial, Bruce Schneier, explica a propósito de la ciber-resiliencia que "un sistema se considera robusto cuando es capaz de soportar todo tipo de presiones sin cambiar su comportamiento. Y, cuando un sistema no es capaz de soportar más presiones pero puede integrar cambios para disminuirlas y seguir adelante, entonces es ciber-resiliente".

Llevado al campo empresarial y enmarcado en el ámbito de la ciberseguridad, podríamos definir la ciber-resiliencia como la capacidad de una empresa para contener, sobreponerse y evolucionar frente a la manifestación de factores de riesgo cibernéticos. De tal manera que, tras el incidente, la estructura empresarial y su capacidad operativa no se hayan visto afectadas. Igualmente, la organización sea capaz de mantener sus relaciones y sinergias con sus grupos de interés, tanto internos como externos (plantilla, clientes, proveedores, etc.) y sus sistemas de información puedan recuperarse o, al menos, conserven una funcionalidad aceptable para considerarlos operativos.

¿Cómo ha evolucionado el alcance de este concepto?

Tradicionalmente, las empresas han protegido sus activos aplicando diferentes estrategias que dependían, en gran medida, de su madurez tecnológica. En una primera aproximación, la principal preocupación era proteger el ecosistema donde se encontraban los sistemas de información. Para ello, se empleaban elementos nativos destinados a la seguridad como firewalls perimetrales, sistemas de detección de intrusos, herramientas de captura de logs y correlación de eventos (SIEM), etc... Por otro lado, se pusieron en marcha proyectos de detección y valoración de posibles vulnerabilidades presentes en los entornos que contenían los diferentes activos de información, así como iniciativas para calcular los niveles de riesgo a los que estaban expuestos.

Desde hace un tiempo, las empresas están dedicando sus esfuerzos también a las tareas de formación y concienciación de los equipos. El factor humano se ha convertido en un aspecto clave y es fundamental garantizar que el mensaje de la seguridad llega de forma clara y concisa a todos los destinatarios. La formación y concienciación no se debe dirigir solamente al empleado tipo o a perfiles genéricos, sino que debe ir más allá y amoldarse de forma apropiada a cada departamento, teniendo en cuenta todos los perfiles. No podemos olvidar que esta es la parte más vulnerable ya que tienen acceso a la información y a los procesos más críticos de la organización.

Otro aspecto en el que se ha estado trabajando durante los últimos años ha sido la elaboración de los planes, protocolos y procesos específicos para dar respuesta a los ciberataques. Esta respuesta incluye: las medidas básicas para contener el impacto del incidente, el plan de acciones alternativas para asegurar la operativa bajo unos mínimos aceptables y la estrategia para recuperar los sistemas. Todo ello, en un entorno de múltiples escenarios con distintas formas de activación.

¿Cómo completar el concepto?

Aunque la empresa cuente con los sistemas de información dispuestos en una arquitectura de seguridad óptima, unos empleados comprometidos con la Seguridad de la Información y un sistema de gestión con planes, protocolos y procesos específicos para hacer frente a incidentes de ciberseguridad; no debemos olvidar que, por sí mismos, estos tres factores no aseguran la ciber-resiliencia en la empresa. El motivo es que no solo basta con su presencia, sino que deben estar integrados en una visión holística desde la concepción del diseño del sistema de seguridad y, además, estar equilibrados entre sí. Al mismo tiempo, todo sistema precisa de un elemento clave para poder ser funcional: un equipo multidisciplinar con capacidad de tomar decisiones y autoridad para ejecutar acciones.

Si lo comparamos con una orquesta sinfónica, ésta debe componerse por los integrantes necesarios en función del repertorio a interpretar. Además, debe contar con un director capaz de coordinar y armonizar a todos sus componentes. De lo contrario, encontraremos carencias de instrumentos para ciertas piezas o facciones disonantes en determinados movimientos.

Por último, no podemos obviar un aspecto clave para mejorar la resiliencia: el entrenamiento. Llevar a cabo simulacros coordinados para cada uno de los posibles escenarios planteados es fundamental para responder eficazmente ante una situación de ataque real. Y, por supuesto, medir y cotejar los resultados obtenidos en cada uno de ellos.

¿Cuál es la situación en general en los entornos empresariales?

En la actualidad, observamos que las empresas tienen cada vez un mayor nivel de concienciación sobre la importancia de la Seguridad de la Información.

Además, han desarrollado procesos y planes para la gestión de incidentes y algunas de ellas ya cuentan con, al menos, un órgano que les ayuda a ejecutar las acciones pertinentes.

Sin embargo, aún queda camino por recorrer cuando se trata de alinear la cultura empresarial con la ciberseguridad. Por ello, es necesario dar un mayor apoyo a las áreas técnicas en la toma de decisiones durante una situación de crisis.