Cuando la ciberseguridad se debilita, llega la resiliencia

Pensar en resiliencia es pensar en la gestión del riesgo, y resulta fundamental en el complejo y cambiante entorno actual, afirma Cisco.

Debido a los ataques, amenazas y vulnerabilidades que ocurren a la velocidad de los cohetes, se discute mucho sobre cuál debe ser el comportamiento de las organizaciones para mitigar los riesgos cibernéticos. Tal es su importancia, que el tema terminó en el Foro Económico Mundial, que publicó el informe «Global Cybersecurity Outlook 2022», lanzado en enero.

El informe aporta información significativa sobre la amenaza digital para la economía global y señala los comportamientos que las organizaciones deben adoptar para mitigar riesgos y ataques. También registra las mayores preocupaciones de los líderes empresariales en el escenario de la ciberseguridad; recomienda a las empresas incluir el tema en las decisiones de negocios; y concluye que la digitalización sigue avanzando tan rápido como surgen nuevas tecnologías, lo que hace que el riesgo sea inevitable.

La comparación entre ciberseguridad y ciberresiliencia hecha en el estudio enciende una luz roja. Más de la mitad (59 %) de los líderes de ciberseguridad afirmaron a los investigadores que ambos términos son sinónimos, lo cual preocupa porque estamos ante conceptos relacionados, no sinónimos. Ciberseguridad es un conjunto de tecnologías, personas y procesos dedicados a proteger los negocios. En comparación, la ciberresiliencia acepta la hipótesis de ataque y prepara a la organización para retomar sus negocios.

La confusión conceptual es extremadamente preocupante porque evidencia que aún no estamos preparados para la resiliencia. Muchos todavía se resisten a aceptar que los ataques van a ocurrir y que necesitaremos tanto enfrentarlos, como prepararnos para salir de la guerra con el menor rasguño posible.

Cuando la empresa no acepta la posibilidad de sufrir y sobrevivir, es que no entiende el problema. Pensar en resiliencia es pensar en la gestión del riesgo.

Sistematización

El primer paso para sistematizar la política de ciberresiliencia es entender y aceptar el riesgo. Hacer un análisis profundo de los activos digitales –teléfonos, computadoras, etcétera–, creando un catálogo de activos correlacionados a los riesgos que proporcionan y el nivel de ataque que la empresa consigue soportar.

Una vez hecho esto, se recomienda evaluar si es posible eliminar el riesgo, mitigarlo o contratar un seguro de ciberseguridad. La cuarta opción es aceptar el riesgo. El riesgo puede ser aceptado si la evaluación lo identifica como bajo. Es decir, la empresa crea una matriz con el tipo de riesgo, el impacto y su probabilidad, y puede concluir que está lista para aceptar un riesgo de bajo impacto en su operación.

No hay política de ciberseguridad apartada de una estrategia de ciberresiliencia. Un estudio global dice que el 60 % de las empresas que sufren un ataque importante de ransomware van a bancarrota, mueren, porque no soportan el impacto económico.

Es por eso que los ataques de ransomware y las amenazas a la infraestructura operacional están entre las grandes preocupaciones de las empresas, de acuerdo con el informe del Foro Económico Mundial. No es para menos: La probabilidad de un ataque de ransomware golpea la puerta de las empresas, con el agravante de que el ransomware también es un concepto, con varias formas mutantes y cada vez más sofisticadas.

En paralelo, la infraestructura operativa ha entrado en el radar del cibercrimen debido a la baja resistencia que ofrece. Recordemos que son frecuentes los registros de invasión utilizando los aparatos de aire acondicionado y otros equipos ajenos al ambiente de TI, y que el impacto de estos ataques a las redes operativas ya lo conocemos. Baste recordar lo que ocurrió con la red de oleoductos más grande de Estados Unidos que, bajo ataque, hizo que el gobierno declarara el estado de emergencia en 2021.

La resiliencia en las redes operativas significa anticipar lo que puede suceder y cómo enfrentar una ocurrencia. En los próximos 12 a 24 meses, lamentablemente seremos testigos de más incidentes relacionados con la infraestructura crítica, con alto impacto a los clientes de las organizaciones, porque la tendencia indica un número mayor de activos conectados –el avance de internet de las cosas (IoT)–  sin que los riesgos estén en la agenda. Recordemos que los profesionales de las redes OT no dominan los riesgos de TI.

Esta fragilidad lleva a otro tema señalado como crítico por el informe del Foro Económico Mundial. El estudio señala que los impulsores (drivers) de la ciberseguridad son la automatización y el aprendizaje automático, y el trabajo remoto, para más de la mitad de las personas que respondieron al cuestionario. Los primeros porque, especialmente las grandes corporaciones, han acumulado productos y servicios de ciberseguridad, haciendo de esta estructura un problema en sí mismo. Firewalls, antivirus y otras herramientas necesitan ser orquestadas, hecho que, por la complejidad y la alta demanda, evidenciaron el déficit global de profesionales capacitados. Para mantener todo funcionando adecuadamente, la automatización se ha presentado como la bala de plata, con cada una de las tecnologías ganando inteligencia para aumentar la productividad de los equipos de profesionales.

Por todo lo que hemos abordado y conocido, vemos que la arquitectura de seguridad tradicional tiene que cambiar rápidamente, porque el escenario ha cambiado. La pandemia de COVID-19 intensificó el trabajo remoto, evidenciando que los muros corporativos ya no protegen el lugar de trabajo. Sumado a esto, en nombre de la agilidad y la productividad, vemos la rápida e intensa adopción de la computación en nube sin que se establezcan políticas de ciberseguridad y resiliencia de operación de la empresa en estos entornos.

El informe del Foro Económico Mundial deja clara la importancia de una política de ciberresiliencia y la necesidad de insertar seguridad digital en las decisiones de negocios. No es tan simple. Necesitamos cambiar el modelo de gestión, con la contratación de especialistas capaces de comunicar cuestiones de riesgo y seguridad, en términos de negocio. Estos personajes deben ser grandes influencers de los demás ejecutivos. Es la única manera de tener seguridad de principio a fin y no como un obstáculo operativo o comercial.

El estudio concluye que la digitalización y la tecnología siguen un ritmo acelerado y apunta a la ciberseguridad como respuesta a un riesgo inevitable, poniéndonos la condición de la resiliencia. Como decían nuestros tíos y abuelos: si no podemos con los riesgos, mejor aceptarlos, y crear alternativas de supervivencia.

Sobre el autor: Juan Marino es gerente de Ciberseguridad para Cisco América Latina. Tiene 15 años en Cisco, enfocado en networking y seguridad, y ha sido profesor universitario enseñando telecomunicaciones en la carrera de Ingeniería en Electrónica en la Universidad Nacional de Moreno de Argentina. Actualmente lleva a cabo disertaciones regulares para la concientización en el ámbito educativo sobre los riesgos y competencias del ciudadano digital.

Investigue más sobre Recuperación y respaldo de archivos