La resiliencia frente a los riesgos cibernéticos es un objetivo crítico para cualquier organización que dependa de tecnologías digitales y datos. Esto coloca el tema en el radar de casi todos los líderes empresariales en 2024. La globalización de las cadenas de suministro, la complejidad de las arquitecturas tecnológicas y el constante interés por innovar digitalmente han llevado a una acumulación de riesgos cibernéticos sistémicos. La resiliencia cibernética efectiva es compleja: el logro de esta y los controles empleados dependen en gran medida del contexto. Lo que funciona frente a un tipo de amenaza puede no ser igualmente efectivo para otro. Por ejemplo, defenderse contra el ransomware es muy diferente a defenderse contra un ataque de denegación de servicio. Además, protegerse de fallos accidentales en un sistema requiere soluciones distintas de aquellas empleadas para enfrentar a un actor malintencionado que ataca con fines de sabotaje, robo o ganancia financiera.

Las prioridades empresariales o de misión deben guiar las decisiones sobre qué estrategias de respuesta adoptar ante un ataque. ¿Qué se debe abordar primero y cómo? ¿Qué se puede apagar y qué debe permanecer operativo, incluso si los servicios están degradados? ¿Quién puede seguir accediendo al sistema y quién debe ser bloqueado hasta que se resuelva el incidente? ¿Qué porcentaje de la infraestructura de la empresa está afectado? Las organizaciones practican la resiliencia cibernética para lograr la resiliencia empresarial. Numerosos estándares y marcos internacionales ofrecen buenas prácticas en ciberseguridad que pueden orientar las inversiones. Sin embargo, gestionar un incidente y tomar decisiones que mejor se adapten al contexto operativo requiere acciones prácticas. En una era con importantes brechas de capacidad en habilidades de gestión de riesgos cibernéticos dentro de la fuerza laboral, resulta urgente aprender de las experiencias en primera línea, sistematizarlas y compartirlas para elevar el nivel general. Este documento desglosa el concepto de resiliencia cibernética, un precursor importante para comprender la acción efectiva. Las organizaciones deben considerar sus niveles de resiliencia cibernética desde una perspectiva holística, incluyendo los procesos a seguir en caso de un incidente cibernético y su impacto en los activos tangibles e intangibles. También es fundamental evaluar cómo se ven afectadas las diferentes áreas del negocio y qué procesos deben estar en marcha para reducir el pánico y facilitar decisiones rápidas en momentos de estrés.

El desafío de construir un ecosistema ciber-resiliente puede parecer abrumador, pero aprender de los expertos en ciberseguridad es el primer paso para superar las barreras y tomar acciones efectivas hacia una sociedad ciber-resiliente. Los riesgos cibernéticos se encuentran entre las principales prioridades de una organización, y la amenaza sigue aumentando, un hecho destacado en el Informe de Riesgos Globales del Foro Económico Mundial desde principios de 2020. El desafío es dinámico. La evolución del panorama digital e infraestructuras, impulsada por la disrupción de la conectividad y las tecnologías emergentes, ha complicado enormemente el panorama de amenazas y los riesgos cibernéticos que enfrentan las organizaciones. Reconocer que las personas y organizaciones no pueden prevenir todos los ataques maliciosos o fallos cibernéticos, al tiempo que aceptan las oportunidades que brinda la digitalización, ha llevado al auge de la resiliencia cibernética.

La transformación digital remodela y evoluciona continuamente a empresas y gobiernos. Los objetivos principales de las organizaciones suelen estar respaldados por procesos empresariales que dependen críticamente de la tecnología digital, generalmente sin alternativas analógicas. Aunque los objetivos varían entre organizaciones, siempre incluirán la protección de la prestación de servicios críticos, la confianza de las partes interesadas y los activos fundamentales que sustentan el valor y la posición en el mercado. Lograr una verdadera resiliencia cibernética es, fundamentalmente, un tema de liderazgo y es crucial para mantener el valor para los accionistas. Este documento es el resultado de la colaboración entre el Foro Económico Mundial, el Centro de Capacidades de Ciberseguridad Global de la Universidad de Oxford y un grupo de trabajo de líderes de la ciberindustria. Juntos, desglosaron el concepto de resiliencia cibernética y proporcionaron una definición estratégica más amplia que considera una variedad de escenarios de riesgo clave para los objetivos principales de una organización. Estos incluyen riesgos derivados de interrupciones en la cadena de suministro, ataques a la confianza y reputación, y responsabilidades legales derivadas de violaciones de datos.

Es imperativo que las organizaciones se preparen para incidentes cibernéticos significativos. La inversión continua en capacidades de resiliencia cibernética permite a las organizaciones mantener sus objetivos primarios frente a ciberataques y otros incidentes cibernéticos, asegurando que su potencial de crecimiento no se vea afectado. Esto implica garantizar que las operaciones puedan recuperarse, que el impacto sobre las partes interesadas internas y externas se mitigue, que el desempeño financiero y comercial se restablezca, que los activos tangibles e intangibles se protejan y que se desbloquee nuevo potencial de crecimiento. Las organizaciones deben desarrollar estrategias adaptables y aprovechar las experiencias prácticas de sus pares en la industria para navegar las complejidades del panorama cibernético. La colaboración proactiva y el aprendizaje continuo desempeñarán un papel vital en la obtención de la resiliencia cibernética. Existen varios estándares, modelos y marcos para ayudar a las organizaciones a gestionar el riesgo de ciberseguridad y aumentar su resiliencia ante eventos cibernéticos. Estos abarcan una amplia gama de acciones, desde controles técnicos específicos hasta gobernanza a nivel de junta directiva, y se han integrado en la práctica de ciberseguridad en muchos sectores y áreas geográficas. También sirven de base para que las partes interesadas externas (como clientes, inversores, reguladores y aseguradoras) puedan evaluar cuán bien la organización está gestionando estos riesgos y, por lo tanto, cuán bien se protegen sus intereses.

Del mismo modo, existen diversos estándares, modelos y marcos diseñados para ayudar a las organizaciones a mejorar su resiliencia operativa frente a una amplia gama de amenazas, siendo la ciberseguridad solo una de ellas, aunque generalmente una de las más apremiantes (por ejemplo, en los servicios bancarios y financieros, el Comité de Basilea y la Ley de Resiliencia Operativa Digital). Estos modelos son valiosos, pero tienen sus limitaciones. La mayoría han sido diseñados para aplicarse ampliamente a diversos tipos de organización, lo que los hace algo estáticos a lo largo del tiempo, una desventaja cuando se trata de abordar la naturaleza dinámica de los riesgos cibernéticos. Generalmente, enfatizan las acciones que deben tomarse en lugar de cómo implementar eficazmente una medida de control en el contexto específico de una organización en un momento dado. Aunque diversos sectores han producido orientación o regulación específica para salvar esta brecha, sigue habiendo un amplio espectro de enfoques que pueden adoptarse, lo que requiere juicio individual para determinar las medidas más adecuadas para las circunstancias únicas de cada organización. Nada de lo anterior niega el hecho de que las organizaciones son responsables individualmente de gestionar los riesgos para sus propios objetivos principales, pero la acción colaborativa puede ser a menudo la mejor manera de lograr el nivel de resiliencia cibernética requerido. Estas reflexiones son clave cuando las organizaciones toman medidas y colaboran en resiliencia cibernética, y requieren un desarrollo adicional por parte de la comunidad como próximos pasos.

Para leer más ingrese a: