Cómo diseñar una cultura de ciberseguridad resiliente
Ante el creciente número de vulnerabilidades y la progresiva complejidad de los ciberataques, las organizaciones deben asumir cuanto antes que serán blanco de un ciberataque.
Consciente de la dificultad que esto entraña, Stormshield, abanderado europeo en el mercado de la ciberseguridad y filial del grupo Airbus, plantea varios pasos para ayudar a las empresas a ser ciber-resilientes, con el objetivo de que, cuando esto ocurra, puedan ser capaces de continuar su trabajo sin impedimentos.
La transformación digital es ya una forma de trabajar y el descubrimiento de nuevas y constantes vulnerabilidades que amenazan a las organizaciones está provocando que este ecosistema sea cada vez más (ciber) frágil. Ante esta situación, las empresas deben adoptar un enfoque ciber-resiliente que les permita conocer cuáles son los riesgos y vulnerabilidades a los que se enfrentan y que recoja los puntos trascendentales que debe incluir una estrategia de ciberseguridad para un sector tan crítico. El objetivo es garantizar que la empresa siga funcionando, incluso en modo deficiente, después de un mal funcionamiento, un fallo o un ataque. Esta continuidad empresa se garantizará mediante cinco pilares clave: identificación, protección, detección, respuesta y recuperación.
“Como en cualquier proceso de gestión de crisis, la ciber-resiliencia debe implementarse antes de que ocurran los incidentes que se pretende abordar. En consonancia con un entorno digital en el que cada día se intercambian más datos, esta nueva visión se basa en un enfoque general, que implica la sensibilización general, el intercambio de información entre las partes interesadas y la selección de los instrumentos de ciberseguridad adecuados, que son esenciales como primera línea de protección”, asegura Borja Pérez, Country Manager de Stormshield Iberia.
Construyendo una empresa ciber-resiliente
Convertirse en ciber-resiliente no es baladí. En primer lugar, el reconocimiento de la inevitabilidad de una emergencia digital debe ser compartido y aceptado dentro de la empresa. Esta comprensión del entorno es particularmente importante para el Comité Ejecutivo, ya que es su responsabilidad asignar los recursos necesarios para la implementación de la ciber-resiliencia. Además de las acciones básicas (como la realización de copias de seguridad periódicas de los datos y su almacenamiento en entornos desconectados de la red de la empresa), hay otros enfoques posibles que deben considerarse.
• Comprobar el cumplimiento de la normativa de la organización y reforzar el Plan de Continuidad de Negocio (PCN) con un componente cibernético. No obstante, ese no es un proceso único, los mecanismos de ciber-resiliencia deben ser actualizados y examinados regularmente, ya que las amenazas cambian constantemente y la empresa también evoluciona: un nuevo proyecto empresarial puede, por ejemplo, aumentar el riesgo cibernético y, si no se ha identificado como tal, socavar los esfuerzos de ciber-resiliencia.
• La dimensión humana también es crucial. Además de las opciones tecnológicas centradas en la seguridad por diseño y automatización, la compañía debe poder contar con equipos conscientes y receptivos. ¡Para evitar que se vean obligados a volver a trabajar con lápiz y papel!
• Trabajar con los socios adecuados y que estos sean conscientes del desafío digital ayudará a avanzar en esta estrategia. Con la vista puesta en el Reglamento General de Protección de Datos (GDPR), la idea sería formalizar acuerdos contractuales para compartir la responsabilidad de la ciber-resiliencia con la cadena de suministro.
• Por último, es esencial pensar en la comunicación más allá de lo que se requiere legalmente en caso de un ciberataque. No se trata sólo de seguir las últimas informaciones de los expertos (como INCIBE o CCN-CERT en España), sino también de realizar intercambios con sus homólogos. Hablar de estos temas dentro del propio ecosistema, los inversores e incluso los clientes ayuda a crear confianza. Hoy en día, ser una organización bien preparada que invierte en su ciberseguridad y ciber-resiliencia es un valor real.
A la vista de estos consejos, resulta obvio que para lograr una cibercultura adecuada las entidades deben implantar una política en la que primen el sentido común y la responsabilidad, pero también, y frente a las amenazas cada vez más presentes, seguir invirtiendo en soluciones de ciberprotección y detección de amenazas para levantar una potente barrera de protección tecnológica.