Cuando los ciberataques sean inevitables, céntrese en la ciberresiliencia

Hay un error común, pero grave, que cometen los expertos en ciberseguridad: centran todos sus recursos en mantener a los actores malintencionados fuera de nuestro sistema. Es un traspié comprensible. Protegernos de las posibles infracciones cibernéticas es una parte fundamental del trabajo. Aun así, es imposible protegerse completamente de todas las vulnerabilidades. Esto se debe a que los buenos deben protegerse contra todas las vulnerabilidades posibles, mientras que los malos solo necesitan una pequeña grieta en el blindaje de la empresa para entrar.

No podemos estar protegidos al 100% de cualquier cibereventualidad. A menudo aparecen nuevos vectores de ataque, lo que crea requisitos interminables de mejora de la protección. Pero aún más problemático es cuando un enfoque de ataque anterior vuelve a ser eficaz por la falta de soluciones simples que nunca se hicieron, como una contraseña sin cambios pero comprometida o un parche disponible pero que aún no se ha instalado para un sistema. Si bien tecnologías como la IA y la computación cuántica prometen ofrecer defensas más nuevas y potencialmente más fuertes, los actores malintencionados tienen acceso a las mismas herramientas y ya están trabajando en formas de convertirlas en armas para crear vectores de ataque innovadores. Ahora que la IA está en escena, se están descubriendo nuevas vulnerabilidades a un ritmo alarmante, lo que pone a prueba incluso el plan de protección de ciberseguridad mejor financiado.

Entonces, ¿qué deben hacer los expertos en ciberseguridad y las empresas que los emplean? Deje de lado su mentalidad de prevención y adopte una centrada en la resiliencia.

¿Qué es la ciberresiliencia? ¿Y por qué es diferente a la ciberprotección?

Una mentalidad de prevención significa hacer todo lo posible para mantener alejados a los malos. La mentalidad de resiliencia añade una capa: si bien hace todo lo posible para evitar un ataque, también trabaja con la expectativa de que aún así puedan romper sus defensas e invierte mucho en prepararse para responder y recuperarse cuando suceda lo peor. Las organizaciones resilientes dedican específicamente importantes recursos a elaborar planes sobre lo que harán en caso de que se produzca un ataque, a diseñar procesos para ejecutarlos cuando llegue el momento y a practicar la forma de poner en práctica estos planes. La prevención es fundamental, pero no suficiente.

En una encuesta a 30 ciberejecutivos que realicé durante una reunión en un Sloan (CAMS) de ciberseguridad del MIT, del que soy director ejecutivo, estos líderes definieron la ciberresiliencia como «prepararse para un cibersuceso y recuperarse de él», «disponer de recursos y procesos para cuando algo va mal» y «la capacidad de una organización para minimizar los daños de un ciberincidente y maximizar la recuperación». Un encuestado se limitó a explicar que la resiliencia era «cuando nadie sabe que lo han hackeado».

Sin embargo, en mi trabajo como investigador en conversación con los directores de seguridad de la información y otros expertos en ciberseguridad, he observado que muchos líderes centran la mayoría, si no todos, de sus recursos de seguridad en la prevención y dejan la recuperación en manos de planes de continuidad empresarial que no suelen diseñarse teniendo en cuenta los ciberincidentes. En cambio, los líderes tienen que adoptar una mentalidad de ciberresiliencia.

Mi visión de la ciberresiliencia es la siguiente:

Una empresa sufre una infracción, pero la infracción causa un daño mínimo, si es que lo hace: sin afectar a la reputación, sin impacto en las operaciones, sin pérdida de ingresos financieros, sin pérdida de datos u otros activos, sin acceso a la cadena de suministro, sin pérdida de propiedad intelectual, etc.

Admito que esta visión no es probable hoy en día, dada la complejidad de nuestros entornos digitales y el volumen de los posibles vectores de amenazas a los que se dirigen. Pero al mismo tiempo, sin un objetivo ambicioso, los directivos seguirán tomando decisiones por debajo de la media. Aspirar a una visión sólida de resiliencia hace que el equipo de seguridad se centre solo en proteger y se centre en decisiones más concretas sobre la mejor manera de prepararse para la recuperación.

Muchas empresas en las que he estudiado en CAMS mostraron claramente una mentalidad de protección. Tanto en los grupos focales formales como en las conversaciones informales, el enfoque más común que veo es que las empresas utilicen un marco de ciberseguridad como el Marco de Ciberseguridad (NIST CSF) del Instituto Nacional de Estándares y Tecnología, ubicado en el Departamento de Comercio de los Estados Unidos, para organizar los recursos y las actividades de ciberseguridad. El CSF del NIST sugiere que una buena ciberestrategia tiene 6 componentes: identificar, proteger, detectar, responder, recuperar y, añadido recientemente, gobernar.

Si bien este marco hace hincapié tanto en la protección como en la resiliencia, hemos descubierto una diferencia notable en la atención que se presta a los diferentes componentes. Los ejecutivos responsables de la ciberseguridad nos dijeron que «no dedicamos tanto tiempo a la resiliencia como a la protección» y «tenemos un plan de continuidad empresarial, pero no lo probamos para ver si es realmente ciberresiliente». Un encuestado dijo que su organización no se centró en la resiliencia hasta que sufrió un ciberincidente y se enteró de que tenía que estar mejor preparada para la recuperación.

Es fácil ver cómo ocurre esto. La prevención está estructurada y es fácil de justificar, pero la resiliencia es menos sencilla y tiene un retorno de la inversión más débil. El enfoque de protección predominante es la idea de «defensa en profundidad», un conjunto secuencial de barreras que un vector de ataque tendría que penetrar para tener éxito. Piense en el antiguo modelo de fortaleza, en el que las joyas de la corona se guardaban detrás de muchas defensas y los ladrones tenían que penetrar en cada una de ellas para llegar a ellas. La defensa de la ciberseguridad en profundidad sigue el mismo principio. Por ejemplo, una capa podrían ser los procesos de gestión de identidades y accesos diseñados para garantizar que solo los usuarios autorizados tengan acceso a nuestros valiosos datos y sistemas. Es probable que haya otra capa de firewalls diseñada para mantener alejados a las sondas y los bots que intentan entrar en nuestros sistemas. Un tercer nivel serían las políticas diseñadas para especificar qué está autorizado y qué no está autorizado. Tenemos muchas otras capas, cada una con un objetivo específico, que espero que sea imposible penetrar nuestras defensas. Cuando se detecta una nueva amenaza o vulnerabilidad, a menudo se añade otro nivel de protección. Para crear una protección sólida, los presupuestos de ciberseguridad incluyen tantos niveles como pueden.

La defensa en profundidad sigue siendo la mejor manera de proteger a nuestras organizaciones, pero no es suficiente. Basta con mirar el en constante expansión listas de ciberinfracciones. La frecuencia y los nuevos tipos de ciberinfracciones respaldan la necesidad de un enfoque diferente.

Qué hacen de manera diferente las organizaciones con una mentalidad de resiliencia

En mis conversaciones con los ciberejecutivos, tanto los que participan en el consorcio de investigación de CAMS como los que están fuera de él, descubrí que los líderes de las organizaciones resilientes hacen algunas cosas de manera diferente.

Han creado una cultura de ciberseguridad.

Han invertido en mecanismos en los que todos los miembros de la organización, desde el empleado de nivel más bajo hasta el consejo de administración, desempeñan un papel a la hora de ayudar a la organización a ser segura y resiliente. Eso se debe a trabajar en mecanismos que fomenten valores, actitudes y creencias sobre la importancia de mantener la resiliencia de la empresa. Como no sabemos de dónde vendrá el próximo ataque, necesitamos que todos lo vean y oigan hasta cierto punto. Las barreras basadas en la tecnología no son suficientes (pensar que «la tecnología nos mantendrá a salvo» forma parte de la mentalidad de prevención).

Preparan sus respuestas a un ciberataque y practican.

Vemos que estas organizaciones hacen cosas como ejercicios de mesa y simulacros de incendio en todos los niveles, para que todo el mundo sepa qué hacer en caso de incidente. Los líderes pueden poner a prueba los procesos, las estructuras y la tecnología para responder más rápido en caso de incidente. La mayoría de las organizaciones tienen respaldo tecnológico, pero esa es solo una parte del plan de respuesta. Mi observación es que la forma más común de probar los planes de recuperación empresarial y los planes de respuesta a los incidentes era diseñar un ejercicio que simulara cuándo se produce un incidente y, a continuación, invocar el plan de respuesta. Extensos ejercicios de mesa ponen a prueba los procesos empresariales, las estructuras organizativas de respuesta a emergencias y la tecnología. Los ejercicios más eficaces también incluyen a terceros que tendrían que formar parte de la respuesta, como proveedores, clientes, consultores, miembros de la junta directiva y, posiblemente, incluso socios encargados de hacer cumplir la ley.

Son «seguros por diseño».

Estas organizaciones utilizan los principios de «seguridad desde el diseño» que van mucho más allá del simple diseño de su tecnología de forma segura. El concepto de seguridad desde el diseño normalmente se refiere a la práctica de pensar en la seguridad de un sistema o aplicación digital en las primeras etapas del proceso de diseño, pero las empresas pueden aplicar la práctica a toda su organización. Por ejemplo, los líderes pueden buscar formas de diseñar sus organizaciones, procesos y tecnología teniendo en cuenta la seguridad y la resiliencia desde el principio. Crean procesos organizativos para poder detectar, pero también responder y recuperarse. Simplemente miran el mundo a través de un «¿cómo podemos hacer que esto sea ciberresiliente?» lente.

Tienen los procesos de comunicación correctos, por lo que están preparados para responder pase lo que pase o cuando suceda algo.

La preparación para la comunicación en caso de crisis es habitual, pero revisar estos planes en el contexto de una ciberinfracción puede descubrir componentes inesperados o que faltan. Por ejemplo, una empresa que estudiamos para un próximo artículo tenía un «árbol de comunicaciones» muy sólido, un plan sobre la forma en que los altos ejecutivos se comunicarían entre sí en caso de que se produjera un ataque de ransomware u otro tipo. Cuando se produjo un incidente y sus sistemas de correo electrónico se vieron comprometidos, no tenían un plan de respaldo viable. Nadie había pensado en la posibilidad de que el correo electrónico no estuviera disponible. Se produjo el caos cuando se creó un nuevo plan de comunicación, lo que retrasó la respuesta. Por supuesto, el tiempo es fundamental en una cibercrisis, por lo que cualquier retraso puede provocar consecuencias no deseadas y, en este caso, el retraso provocó que se compartiera información errónea con las partes interesadas, lo que descarriló aún más el proceso de recuperación.

• • •

Pasar de una mentalidad de protección a una mentalidad de resiliencia debe ser una prioridad en el entorno actual de la ciberseguridad. Los líderes que adopten este enfoque ahora estarán preparados para recuperarse más rápido y, posiblemente, hasta alcanzar un nivel de rendimiento superior, que los que no cuestionan su plan de ciberresiliencia. Nadie quiere encontrarse en medio de una cibercrisis sin tener un plan de respuesta y recuperación examinado, probado y bien diseñado. Dada la realidad de las ciberamenazas actuales y los posibles vectores de ataque generados por la nueva tecnología del mañana, no tenemos más opción que aumentar la resiliencia desde el principio.