Podemos entender ciber-resiliencia como la capacidad inherente de una organización, entidad o Estado, que le permite enfrentar un ciberataque, sin que su negocio, función e integridad, se vean mayormente afectadas. Con la ciberresiliencia se cuenta con las capacidades para adaptarse y resurgir con facilidad en tiempos de respuesta mínimos, pero también para mejorar y estar mejor preparados para nuevas formas de amenazas. Una organización ciber resiliente debe poder prevenir, contar con herramientas de detección temprana, tener el conjunto de condiciones para reaccionar y obrar efectivamente en contención y recuperación de ciberataques. Asimismo, cuando se presenten ataques para los cuales no se está cubierto, sus capacidades hacen que la exposición y el impacto sean mí- nimos para el negocio y el cumplimiento de su misión. Pero mejor aún, en el post-impacto, las organizaciones ciberresilientes generan nuevas medidas de ciberseguridad que le permiten fortalecer sus defensas preventivas, robustecerse y blindar su información, infraestructura y servicios tecnológicos, operativos y de producción.
El ciberdelito evoluciona permanentemente y utiliza la innovación, la sofisticación y la incorporación de nuevos desarrollos por parte de los atacantes. Esta amenaza siempre estará presente, ya sea que sus métodos sean derivados de algunos anteriores o formas más creativas que exploten nuevas vulnerabilidades. El riesgo cero no existe y el cibercrimen organizado lo sabe, su arma fundamental es el factor sorpresa y explota la falta de prevención y la incapacidad de manejo de las organizaciones ante una situación inesperada.
Como se trata de la defensa del negocio e incluso de la supervivencia de la organización, el enfoque resiliente atiende las necesidades propias de negocio, a partir de una valoración y priorización de esas necesidades de compañía, junto con la de las demás partes interesadas. Es por ello que no puede ser delegada la acción, tan solo, a departamentos de tecnología o de seguridad.
Resiliencia organizacional y ciber-resiliencia y sus interrelaciones con otras disciplinas
Algunas compañías creen que al contratar un ejército de hackers, o “parchando” frecuentemente sus sistemas y plataformas están protegidos; desde luego que se requieren expertos, pero es necesario un tratamiento corporativo de gestión, apoyado en estructuras organizadas.
A menudo no se tiene clara la definición de gobierno para la preparación y atención de ciberincidentes que terminan siendo verdaderos desastres. El tema atañe a toda la estructura y escala organizacional y debe apoyarse en disciplinas especializadas. La figura Nº1 muestra los ámbitos e interrelaciones de las funciones y fronteras de diferentes disciplinas que participan en la gestión, seguridad y control de los ciberataques.
Aun cuando no es fácil en un diagrama de dos dimensiones presentar las diferentes interrelaciones, este intenta señalar, en un esquema de conjuntos, cómo están relacionadas y cómo algunas de ellas, si bien tienen dominios y objetivos en común, presentan particularidades propias en su alcance que las hacen especiales.
La visión podría servir a las empresas como guía para atender los diferentes ámbitos o por lo menos contemplar otras posibilidades de abordar la forma de enfrentar los ciberdelitos y los riesgos en general.
Estado del arte de la ciberresiliencia
Los principales esfuerzos actuales para enfrentar los ciberataques y el cibercrimen organizado se están dando a través de las estrategias de ciberseguridad de los países, que cada vez están más comprometidos por considerarse temas de seguridad nacional, como es el caso del programa Europeo Horizonte 2020 y la nueva estrategia del presidente Donald Trump para los Estadios Unidos: National Cyber Estrategy, generada en septiembre del año anterior. Otros esfuerzos importantes en investigación y desarrollo se realizan en las universidades y por parte de equipos especializados de respuesta (como CERT – Computer Emergency Response Team; CIRT – Cyber Incident Respons Team; y CSIRT – Cyber Security Incident Response Team). También existen nuevas propuestas y estrategias lideradas por empresas privadas, tales como las firmas consultoras y las compañías proveedoras de soluciones tecnológicas y servicios de seguridad.
El estado del arte en materia de gestión de la amenaza de ciberataque lo podemos encontrar en el enfoque integrado de conformación de ecosistemas de ciberresiliencia, utilización de modelos de madurez, implementación de metodologías de medición de indicadores y uso de herramientas especializadas, utilizando nuevas tecnologías propias de la transformación digital en todas las fases del ciclo de gestión.
Otros nuevos desarrollos se están dando en los siguientes frentes: Ciberinteligencia (Advanced Cibersecurity Threat), criptografía (crifrado en tiempo real, cifrado homomórfico), ciberseguridad en la nube, seguridad en Internet de las Cosas, uso del Big Data en prevención del cibercrimen, ciber-resiliencia de infraestructuras críticas, ciberseguridad en ciudades inteligentes, Ciberseguridad en Sistemas de Control Industrial (SCADA), sistemas de ciberseguridad en vehículos no tripulados -como drones y medios de transporte terrestre, aéreo y ferroviario- autónomos, seguridad en los servicios tecnológicos de entidades financieras (Fintech), desarrollos de seguridad en equipos y dispositivos médicos, almacenamiento seguro y ubicuo en datos médicos y farmacéutica y Ciberseguridad como un Servicio (CSaaS). Asimismo, se desarrollan nuevas herramientas con base en las tecnologías de transformación digital como Big Data, Inteligencia Artificial, Blockchain (como CyberKill-Chain) y técnicas avanzadas como “Threat Hunting”.
Normas y estándares internacionales relacionados con ciber-resiliencia
Entre las más destacadas tenemos:
• Normas ISO:
» ISO 22330: 2018 Seguridad y Resiliencia – Sistemas de Gestión de la Continuidad de Negocio
» ISO 22320: 2018 Gestión de Emergencias.
» ISO 22316: 2017 Resiliencia Organizacional.
» ISO 27032: 2012 Gestión de la Ciberseguridad.
» ISO 27035: 2016 Gestión de Incidentes de Seguridad de la Información.
» ISO 27001: 2013 Gestión de Seguridad de la Información.
» ISO 20000-1: 2018 Gestión de Servicios de TI.
» ISO 22301: Nueva versión próxima a salir.
• NIST CSF Framework de Ciberseguridad, NIST SP 800-53.
• BSI 31111:2018 Gestión de Ciber Riesgo y Resiliencia.
• SANS Critical Security Control para la Ciber Defensa Efectiva.
Con el aumento significativo en complejidad y número de ciberataques las organizaciones requieren estar más preparadas para enfrentarlos. La ciber-resiliencia y la ciberseguridad se presentan como los medios más efectivos de solución. La ciberresiliencia permite la gestión integral de los cibertaques, y se constituye en un estadio superior que permite mantener a la organización en el estado del arte para la formulación de planes estratégicos y operativos de defensa, contención, recuperación, evolución de manera proactiva para la mejora continua, aprovechamiento de oportunidades y generación de ventajas competitivas, hasta alcanzar estadios superiores de madurez.
