Alejarse de la ciberseguridad para abocarse a la ciberresiliencia

Jorge Rey, CISA,CISM | Featured in CIO Insight | mayo 18, 2022

En el primer año de pandemia, los piratas informáticos batieron récord en pérdida de datos a causa de los ataques informáticos. Además, desde octubre de 2020 hasta febrero de 2021, los delitos electrónicos aumentaron un 124 % de acuerdo con el índice de delitos electrónicos creado por la empresa de seguridad de puntos de conexión CrowdStrike Holdings.

Las amenazas más sofisticadas, la mayor frecuencia de los ataques, el aumento del personal remoto y la proliferación de los dispositivos conectados son solo algunos de los motivos por los cuales está aumentando la probabilidad de que su empresa sufra una filtración de datos.

Las organizaciones deben poder ser más resilientes a los ataques e invertir en un plan para minimizar el perjuicio y el tiempo de inactividad para poder recuperarse lo antes posible. Contar con buena seguridad informática ya no es suficiente: las empresas deben invertir en ciberresiliencia.

¿Qué es la ciberresilencia?

La ciberresilencia forma parte de la gestión de riesgo y debe contar con los ejecutivos de mayor jerarquía. Y, aunque muchas empresas dan por sentado que la ciberresilencia está comprendida por su plan de continuidad comercial, a menudo se equivocan. Un plan de continuidad comercial suele ser demasiado amplio o demasiado elevado para comprender la ciberresilencia, que requiere un nivel bastante alto de especificidad.

La ciberresiliencia se compone de cinco elementos:

  1. Evaluación de los riesgos relacionados con lo informático
  2. Mitigación de los riesgos en los ataques informáticos exitosos
  3. Plan de respuesta ante incidentes
  4. Plan de continuidad comercial
  5. Plan de recuperación comercial

La ciberresiliencia comienza con una evaluación de riesgos cibernéticos

Muchas empresas realizan tareas para mitigar el riesgo de ataques informáticos exitosos, pero muchas no comprenden íntegramente sus riesgos informáticos. Incluso las que raramente cuentan con planes de recuperación debidamente detallados.

Las evaluaciones de riesgo se ocupan de evaluar la probabilidad de que se produzca un incidente y el impacto que tendría. El impacto podría ser indirecto al negocio: pérdida de clientes, ingresos y reputación, como también a los posibles costos de recuperación.

A fin de comprender los riesgos informáticos particulares de su organización, debe identificar dónde se encuentran sus activos comerciales. Esto puede incluir computadoras, dispositivos, servidores, centros de datos, software y proveedores de servicios tercerizados.

También es importante identificar la mitigación actual y las herramientas, técnicas y estrategias de respuesta. Esto podría abarcar todo, desde firewalls, bloqueos de ataques en servidores y seguridad física hasta la capacitación en phishing de los empleados.

La ciberresiliencia requiere la participación del liderazgo

Debido a que la ciberresiliencia, en definitiva, es acerca del riesgo y las operaciones comerciales, se debería dirigir al mismo nivel organizativo que otros esfuerzos de gestión de riesgo. A menudo, significa que el director ejecutivo o de finanzas debería impulsar la gestión de riesgo con la participación y supervisión intensas de la junta.

Todo el equipo de gestión debería hablar acerca de la ciberresiliencia, no solo el ejecutivo a cargo de la seguridad informática. La ciberresiliencia será más sólida cuando la impulsen los líderes que comprenden el riesgo, la cultura y los objetivos a corto y largo plazo comerciales.

Comience por las amenazas más realistas y relevantes

No podrá desarrollar ciberresiliencia contra todas las amenazas al mismo tiempo. Lo más probable es que se le ocurra una lista de aproximadamente 20 posibles amenazas. Un marco de trabajo como la Library of Cyber Resilience Metrics (Biblioteca de parámetros de la ciberresiliencia) podría ser útil.

Sería conveniente que evalúe riesgos basados en su apetito de riesgo. Primero aborde los riesgos altos y moderados, y analice las opciones del tratamiento del riesgo para reducir la probabilidad o el impacto si se concretara la amenaza.

Para elaborar planes de respuesta y recuperación detallados, diseñe su plan según los riesgos informáticos que sean más realistas y relevantes para su empresa, y tómelo como punto de partida.

Invierta en planes de respuesta, continuidad y recuperación

Muchas empresas ya cuentan con planes de respuesta ante incidentes que informan las medidas inmediatas después de diversos tipos de ataques informáticos. Pero la ciberresiliencia requiere también planes de continuidad y recuperación comerciales detallados.

Un plan de respuesta, continuidad y recuperación integral debería abordar lo siguiente:

  • Cómo mantener e implementar bases de datos, servidores e instancias de aplicaciones y demás recursos redundantes
  • Definir si priorizar la recuperación interna o para los clientes
  • Cómo se trabajará con proveedores tercerizados
  • Cómo restablecer la reputación de la empresa después de una filtración
  • Cómo afectará a la empresa la velocidad de la respuesta
  • Si la aseguradora tendrá participación en la respuesta ante incidentes
  • Los requisitos legales, normativos y contractuales, en especial, relacionados con las filtraciones de datos personales, confidenciales o sensibles

La ciberresiliencia debería formar parte de la planificación comercial

Los planes de ciberresiliencia no se pueden mantener en forma pasiva. Las amenazas informáticas y sus probabilidades, los posibles impactos y las opciones de mitigación están en constante cambio. Lo ideal es repasar la evaluación y la mitigación de riesgos, así como la planificación de la recuperación, en forma anual.

La ciberresiliencia también debe formar parte de los planes y estrategias comerciales regulares. Por ejemplo, si la empresa lanza una nueva línea comercial, la ciberresiliencia se debe tener en cuenta desde el principio.

Un profesional externo puede ayudar en la evaluación y planificación de riesgos informáticos

Algunas empresas tienen un equipo o líder interno que puede comprender tanto los riesgos comerciales como los riesgos informáticos inherentes a los ataques informáticos. Incluso para aquellos que lo tienen, podría ser un desafío encontrar el tiempo para llevar a cabo esfuerzos de evaluación y planificación de riesgos informáticos. Un profesional o empresa externa puede aportar capacidades interfuncionales y hablar de un modo en que tanto la gerencia como el área informática puedan comprender.

Además, un asesor en seguridad informática cualificado tendrá experiencia con una amplia variedad de amenazas informáticas y situaciones de recuperación en comparación con el equipo interno. Los profesionales externos también pueden ayudar a preparar toda la documentación interna que requieren los planes de respuesta, continuidad y recuperación. Son muchos los beneficios de trabajar con expertos tercerizados con experiencia.

Aumente la capacidad de su empresa para responder a un ataque informático

Un ataque informático exitoso implica riesgos financieros, operativos, legales y de reputación que pueden irrumpir o empeorar el funcionamiento normal. Dada la incidencia de ataques informáticos exitosos que están aconteciendo en casi cualquier industria, es hora de avanzar con la ciberseguridad y crear ciberresiliencia.

Puede mitigar el impacto de un ataque informático si cuenta con un proceso sólido para evaluar posibles amenazas y defenderse de ellas. Esto implica una planificación integral para la respuesta ante incidentes, y la continuidad y planificación comercial. Concéntrese en comprender y planificar para una situación de alto riesgo, e invertir en minimizar el riesgo y prepararse para la recuperación.

Para leer el artículo completo, visite CIO Insight.

Jorge Rey, CISA, CISM, is a Cybersecurity & Compliance Principal at Kaufman Rossin, one of the Top 100 CPA and advisory firms in the U.S.