Cuando los ciberataques son inevitables, concéntrese en la resiliencia cibernética

Protegernos de posibles ciberataques es una parte fundamental de nuestro trabajo. Aun así, es imposible estar completamente protegidos contra todas las vulnerabilidades.

Entonces, ¿qué deben hacer los expertos en ciberseguridad y las empresas que los emplean? Abandonar su mentalidad de prevención y adoptar una centrada en la resiliencia.

¿QUÉ ES LA RESILIENCIA CIBERNÉTICA? ¿Y EN QUÉ SE DIFERENCIA DE LA PROTECCIÓN CIBERNÉTICA?

Una mentalidad de prevención implica hacer todo lo posible para mantener alejados a los atacantes. Una mentalidad de resiliencia agrega una capa adicional: mientras hace todo lo posible para prevenir un ataque, también trabaja con la expectativa de que podrían atravesar sus defensas e invierte mucho en prepararse para responder y recuperarse cuando ocurra lo peor. Las organizaciones resilientes destinan recursos significativos a elaborar planes sobre lo que harán si ocurre un ataque, diseñar procesos para ejecutarlos cuando llegue el momento y practicar cómo poner estos planes en acción. La prevención es fundamental, pero no es suficiente.

En una encuesta a 30 ejecutivos de ciberseguridad que realicé durante una reunión en el programa Cybersecurity at MIT Sloan (CAMS), donde soy directora ejecutiva, estos líderes definieron la resiliencia cibernética como "prepararse para poder recuperarse de un evento cibernético", "contar con recursos y procesos listos para cuando algo salga mal" y "la capacidad de una organización para minimizar el daño de un incidente cibernético y maximizar la recuperación". Un encuestado simplemente explicó que la resiliencia era "cuando nadie sabe que lo han hackeado".

LO QUE LAS ORGANIZACIONES CON UNA MENTALIDAD DE RESILIENCIA HACEN DE MANERA DIFERENTE

En mis conversaciones con ejecutivos de ciberseguridad, tanto los involucrados en el consorcio de investigación de CAMS como los externos, he descubierto que los líderes de organizaciones resilientes hacen algunas cosas de manera diferente.

1. Han construido una cultura de ciberseguridad.

Han invertido en mecanismos para que todos en la organización, desde el empleado de nivel más bajo hasta la junta directiva, tengan un rol que desempeñar para ayudar a que la organización sea segura y resiliente. Como no sabemos de dónde vendrá el próximo ataque, necesitamos que todos estén atentos. Las barreras tecnológicas no son suficientes.

2. Preparan sus respuestas ante un ciberataque y practican.

Vemos que estas organizaciones realizan cosas como ejercicios de simulación y simulacros en todos los niveles, para que todos sepan qué hacer en caso de un incidente. Los líderes pueden poner a prueba los procesos, las estructuras y la tecnología para responder más rápidamente.

3. Son "seguras por diseño".

Estas organizaciones utilizan principios de "seguridad por diseño" que van mucho más allá de simplemente diseñar su tecnología de manera segura. El concepto de seguridad por diseño normalmente se refiere a la práctica de considerar la seguridad de un sistema o aplicación digital desde las primeras etapas del proceso de diseño, pero las empresas pueden aplicar esta práctica en toda la organización.

4. Cuentan con los procesos de comunicación adecuados, por lo que están preparadas para responder, independientemente de qué (o cuándo) ocurra.

La preparación de las comunicaciones en caso de crisis es habitual, pero revisar estos planes en el contexto de una vulneración cibernética puede revelar componentes inesperados o faltantes. Por supuesto, el tiempo es esencial en una crisis cibernética, por lo que cualquier retraso puede tener consecuencias no deseadas.