Cómo navegar por la resiliencia cibernética: experiencias de empresas líderes globales

A medida que empresas y gobiernos utilizan nuevas tecnologías y datos para mejorar sus procesos, aumentan su dependencia de soluciones de ciberseguridad para protegerse contra riesgos cibernéticos cada vez más sofisticados y con mayores recursos.

Proteger contra todos estos riesgos es imposible. Por eso, las organizaciones están adoptando cada vez más un enfoque de resiliencia cibernética.

La resiliencia cibernética es una práctica que reconoce que ningún sistema es totalmente seguro. A diferencia de los enfoques anteriores, la intención no es solo prevenir los incidentes cibernéticos, sino minimizar su impacto en las metas y objetivos clave de una organización.

Esta práctica anima a las entidades a operar bajo la premisa de que ocurrirán incidentes cibernéticos importantes y a implementar medidas que les permitan absorber los choques, recuperarse y aprender de los incidentes, sin perder de vista los cambios en las circunstancias.

Para ayudar a las organizaciones a comprender el concepto de resiliencia cibernética, el Foro Económico Mundial, en colaboración con la Universidad de Oxford, ha presentado la Brújula de Resiliencia Cibernética, un recurso dinámico para que los líderes y las organizaciones identifiquen prácticas de vanguardia, compartan experiencias e intercambien conocimientos para mejorar su resiliencia cibernética.

Desarrollada en colaboración con líderes empresariales a la vanguardia de la ciberseguridad, la Brújula ofrece orientación de la comunidad sobre lo que funciona en la práctica.

Sin embargo, el camino hacia la resiliencia cibernética es diferente para cada organización, ya que estará determinado por su propio entorno contextual.

De hecho, las medidas específicas que adopte cualquier organización para reforzar su resiliencia cibernética variarán en función del contexto y cambiarán con el tiempo, a medida que la empresa, el panorama de amenazas y las tecnologías subyacentes evolucionen.

No obstante, existen algunos caminos para alcanzar la resiliencia que pueden surgir de las experiencias y conocimientos colectivos de otras empresas, tal y como se describe en el reciente informe técnico The Cyber Resilience Compass: Journeys Towards Resilience (La Brújula de Resiliencia Cibernética: El Camino hacia la Resiliencia).

La Brújula de Resiliencia Cibernética sistematiza las prácticas más avanzadas recopiladas por expertos en ciberseguridad en siete categorías interrelacionadas:

El liderazgo se refiere a establecer objetivos, tomar decisiones y proporcionar orientación en relación con la ciberseguridad. Los responsables de los riesgos y los altos directivos deben trabajar juntos para evaluar estratégicamente las amenazas cibernéticas y desarrollar una cultura de colaboración y responsabilidad en toda la organización, con definiciones claras sobre las prioridades del negocio, la tolerancia al riesgo y las estructuras de toma de decisiones.

La gobernanza, el riesgo y el cumplimiento se refieren a los mecanismos para gestionar el riesgo y cumplir los requisitos de cumplimiento. Respaldados por medidas de mitigación del riesgo, estos mecanismos ayudan a reforzar la resiliencia de la organización definiendo el perfil de riesgo, estableciendo cadenas de mando claras y alineando las prácticas con los requisitos normativos y legislativos.

Personas y cultura son las estrategias y prácticas para crear y retener una fuerza laboral, así como para empoderar a los empleados y proporcionarles habilidades y concientización cibernéticas.

Las carencias de personal especializado pueden mitigarse con la adopción de estrategias integrales para atraer y retener talento cibernético, así como mejorar las habilidades del personal existente.

Los procesos de negocio describen los enfoques para priorizar, diseñar, implementar y adaptar funciones. Al definir los servicios críticos para el negocio y prepararse para los peores escenarios posibles, las organizaciones pueden diseñar procesos que efectivamente incorporen la resiliencia en las estructuras de la empresa.

Además, las organizaciones deben asegurarse de que sus procesos sean adaptables para satisfacer prioridades en constante cambio y revisarlos periódicamente para mantener su aplicación en un contexto operacional y de riesgo en constante evolución.

Los sistemas técnicos se refieren a los enfoques para diseñar, implementar y mantener las herramientas y controles de TI, tecnología operativa, nube y ciberseguridad.

Deben realizarse esfuerzos para garantizar un mantenimiento coherente de los controles y herramientas técnicos, en consonancia con su capacidad para prevenir incidentes y permitir el cumplimiento de los objetivos empresariales. También deben utilizarse datos en tiempo real y análisis avanzados para ayudar a identificar problemas emergentes y fundamentar la aplicación de controles y herramientas técnicos eficaces.

La gestión de crisis describe todos los componentes utilizados para responder y recuperarse de incidentes y otras crisis que afectan a su resiliencia.

Desde la elaboración de planes de crisis y protocolos de toma de decisiones claros, hasta la creación de equipos de respuesta a crisis y la formulación de estrategias de relaciones públicas, es importante que las organizaciones definan, practiquen y revisen sus marcos de respuesta a crisis para estar preparadas para incidentes que puedan provocar la disrupción de las operaciones comerciales prioritarias.

Las relaciones con el ecosistema se refieren al enfoque de una organización hacia su ecosistema más amplio, incluyendo su cadena de suministro, clientes, competidores y reguladores. La postura individual de una organización puede depender en gran medida de la resiliencia del ecosistema más amplio que la rodea. Por consiguiente, las organizaciones deben considerar cómo identificar y relacionarse con sus ecosistemas únicos para mejorar su resiliencia general.

La resiliencia cibernética es un imperativo organizacional indispensable para el éxito en un mundo cada vez más dependiente de la tecnología y la ciberseguridad.

No existe ciberseguridad al 100%, pero un enfoque de resiliencia cibernética permite a las organizaciones minimizar el impacto de los incidentes y seguir alcanzando sus objetivos críticos.

La Brújula de Resiliencia Cibernética ha sido desarrollada utilizando los conocimientos de expertos en ciberseguridad. Si bien no existe un enfoque único para garantizar la resiliencia cibernética, la Brújula sistematiza las experiencias adquiridas sobre el terreno y permite a las organizaciones aprender unas de otras. Esta herramienta pretende convertirse en una referencia dinámica para que los responsables de la ciberseguridad puedan mejorar sus estrategias de resiliencia cibernética.