Vivimos en una época en la que los ataques se han normalizado. Son cada vez más frecuentes y más sofisticados, por lo que empezamos a aceptar que en algún momento nuestra organización será atacada. Es por ello que las organizaciones, además de seguir trabajando en la prevención, necesitan prepararse para actuar durante y después de un incidente, para minimizar el impacto de éste en sus operaciones y mantener una buena experiencia de cliente.
Que el negocio siga funcionando, durante y después de haber sufrido un ciberataque. Este es el principio rector de la ciberresiliencia: es el conjunto de procesos, procedimientos y tecnologías que permiten operar los procesos críticos durante un ataque (algunos duran semanas) y recuperar las operaciones críticas de forma rápida, minimizando el impacto sobre el negocio y los clientes finales.
Aunque es común que las organizaciones confundan ciberresiliencia con ciberseguridad, se trata de un enfoque complementario. Ciberseguridad pone el foco en la protección y la detección, la ciberresiliencia se centra en preparar a la organización para un ataque y por ello se centra en los planes de actuación durante y después de un incidente, incluyendo por supuesto las estrategias de recuperación.
Por esto, un plan efectivo de ciberresiliencia debe considerar los aspectos relativos a la ciberseguridad y, al mismo tiempo, extenderse para integrarse a la estrategia de la compañía, a la cultura de los empleados, al tratamiento de los activos críticos, a la configuración workplace de los empleados o, incluso, a estrategias específicas como las vinculadas con métodos antifraude.
En el corazón de este plan debe estar la preparación de las personas. En ciberseguridad, la capacitación se orienta a que los colaboradores puedan detectar posibles ataques o desarrollar determinados comportamientos, como reportar correos electrónicos sospechosos, evitar abrir archivos adjuntos cuando el remitente es desconocido o desconectarse de la red ante determinadas anomalías. En ciberresiliencia, la educación debe poner el énfasis en cómo actuar durante un incidente. En especial, cómo hacer el trabajo sin la ayuda los sistemas que pudieran verse afectados. Un ejemplo que hemos visto en tiempos recientes: los empleados de algunas aerolíneas, ante una indisponibilidad en sus sistemas, hicieron las tarjetas de embarque a mano y, con un proceso tan sencillo y tan cuidado, permitieron que el negocio siguiera funcionando.
¿Es posible medir la ciberresiliencia de una organización? Sí, se puede medir la postura de ciberresiliencia para diseñar mejoras. Existen guías y controles que guían la medición. Ahora bien, el nivel real sólo puede identificarse luego de un incidente. En efecto, el estrés de la situación y la cantidad de aspectos inesperados que surjan van a desafiar todas las estrategias diseñadas, y es por ello que el continuo aprendizaje durante la gestión de los incidentes es el mejor input para la mejora de la ciberresiliencia.
Los ciberataques son cada vez más sofisticados, frecuentes y difíciles de detectar. Ninguna organización está exenta de sufrir uno. La diferencia está en saber qué hacer si llega a suceder. Una empresa ciberresiliente es capaz de atravesar incidentes minimizando la pérdida económica, la inversión en la recuperación y los costos vinculados con multas y reclamos. Al mismo tiempo, genera el menor impacto posible en terceros, cuida al máximo posible su reputación y, lo más importante, sigue en pie de competitividad para tener la posibilidad de seguir liderando en el futuro.