Llevamos ya unos cuantos años metidos de lleno en este proceso acelerado de digitalización que, casi sin darnos cuenta, lo está cambiando absolutamente todo. Mucho se ha hablado y escrito sobre esta transformación disruptiva que está teniendo un impacto altamente positivo en las empresas y que, bien entendida, es capaz de lograr un efecto directo en la cuenta de resultados.
Pero también sabemos que la digitalización tiene un lado oscuro que hemos conocido a base de golpes y sufriendo. Nos referimos a los ciberataques. La digitalización nos está obligando a exponer nuestros activos mucho más de lo que nos gustaría y, lógicamente, este aumento de la superficie de riesgo ha derivado en un incremento muy significativo de los ciberdelitos.
Esta ley de inferencia, que en un marco teórico puede resultar obvia, quizás en la práctica no lo sea tanto; pues son muchas las empresas a las que todos estos cambios las ha cogido a contrapié y han terminado por ser víctimas de un ciberataque que ha secuestrado sus datos o ha sido capaz de detener su producción, por ejemplo.
Si antes de la pandemia la probabilidad de sufrir un incidente de seguridad se situaba en torno a un 54%; esto es, una de cada dos empresas, cinco años después esta cifra ha subido hasta alcanzar un 94% y promete seguir creciendo para casi rozar el 100%. Por otro lado, cabe destacar que esta progresión al alza del cibercrimen estaba dentro de lo esperado, pues el índice de madurez digital de la sociedad ha ido creciendo exponencialmente sin tener presente que digitalización y ciberseguridad deben ir siempre de la mano.
Ahora bien, ya sea porque las empresas han sufrido los efectos de un ciberataque en primera persona, o porque lo han vivido muy de cerca, lo cierto es que ya son muchas las que han hecho los deberes y hoy la ciberseguridad está presente en su estrategia de negocio.
De manera general, la ciberseguridad en el tejido empresarial se está traduciendo en la puesta en marcha de un conjunto de medidas preventivas orientadas a minimizar riesgos y reducir superficie de exposición. Todo ello siendo conscientes que la seguridad absoluta no existe y que siempre habrá que asumir algún riesgo en aras a no penalizar en exceso al negocio.
Y este es el escenario en donde hoy se mueven una buena cantidad de empresas. Contado de una manera más sencilla y coloquial podemos decir que las compañías han implantado las medidas de ciberseguridad que han creído oportunas para proteger sus negocios, han sido capaces de reducir sus riesgos; pero, a luz de los datos que manejamos, ese 94% de impacto real, sabemos que estas medidas preventivas están siendo del todo insuficientes.
¿Pero realmente estas medidas preventivas están siendo insuficientes, o es que de verdad resulta imposible evitar que los ciberdelincuentes acaben teniendo éxito y siempre terminen por entrar en nuestra empresa?
Tenemos que replantear nuestra estrategia de ciberseguridad para levantarnos lo antes posible porque sabemos que, tarde o temprano, nos harán caer
Lo cierto es que algo no estamos haciendo bien cuando, en la práctica, somos incapaces de alcanzar el objetivo que nos habíamos marcado inicialmente; que recordemos, no era otro que evitar ser víctimas de un ciberataque y que los ciberdelincuentes nunca consiguieran penetrar en los sistemas de nuestra compañía.
Parece que la solución a este problema no pasa por seguir poniendo más y más medidas preventivas porque, al final, siempre acaban por ser pocas, como así indican las cifras. Para entenderlo de una manera sencilla y coloquial, lo que nos está pasando es algo así como lo que nos ocurre cuando vamos a la playa y hacemos una muralla para que la ola no nos moje la toalla, siendo conscientes de que nuestras probabilidades de éxito son muy pocas y que es muy probable que tengamos que retroceder unos metros si no queremos terminar empapados, porque el agua siempre termina por alcanzarnos y derriba la muralla.
Así que, una vez admitido nuestro fracaso, ¿qué podemos hacer?
Si sabemos que resulta imposible conseguir el objetivo que nos habíamos marcado, no nos queda otra opción que replantearlo. Ya es hora de que vayamos asumiendo que, tarde o temprano, siempre terminaremos siendo víctimas de un ciberataque, y que ese ataque será capaz de superar nuestras medidas preventivas y que incluso, nos situará en el peor escenario, ese que nunca habríamos imaginado.
Cuando decidimos cambiar la premisa de partida y reformulamos el objetivo es cuando realmente empezamos a mejorar nuestro SGSI (Sistema de Gestión de la Seguridad de la Información) porque es en ese momento cuando empezamos a pasar de la ciberseguridad a la ciberresiliencia.
Este concepto relativamente nuevo, tiene su homólogo en el mundo analógico, pero en el contexto digital incorpora algunos matices que terminan por definir la ciberresiliencia como la capacidad de un sistema u organización para resistir y/o recuperarse ante un ciberataque.
Asumir que no basta con ser ciberseguros y que es necesario aspirar a ser ciberresilientes, es toda una declaración de intenciones que cambia nuestra forma de pensar y, por lo tanto, nuestra forma de actuar.
Partiendo de esta premisa que pone en el foco en la ciberresiliencia y ahora sí, con un objetivo bien definido y alcanzable, tenemos que replantear nuestra estrategia para levantarnos lo antes posible teniendo la certeza de que, tarde o temprano, los ciberdelincuentes nos van a hacer caer.
Conviene tener claro que poner el foco en la ciberresiliencia no significa descuidar la ciberseguridad. Más bien implica todo lo contrario. Se trata de ponerles las cosas muy difíciles a los ciberdelincuentes para asegurarnos que el impacto del incidente que vamos a sufrir, sí o sí, sea mínimo.
Y una vez situados en este escenario donde asumimos que hemos sido ciberatacados con éxito es donde cobra aún más sentido disponer de un Plan de Contingencia y un Plan de Continuidad de Negocio que nos ayuden a minimizar el impacto de un incidente de ciberseguridad.
Hoy en día, son muy pocas las empresas que disponen de un diseño serio y bien analizado de un Plan de Contingencia y de un Plan de Continuidad de Negocio que, como es normal, a nadie le gustaría activar.
Un buen punto de partida para comenzar a elaborar este tipo de planes y evaluar la criticidad e importancia que pueden llegar a tener en nuestro negocio, es calcular el RTO (Recovery Time Objective) que nos podemos permitir en nuestra compañía.
El Tiempo Objetivo de Recuperación (RTO) es el tiempo definido dentro del nivel de servicio en el que un proceso de negocio debe ser recuperado después de un desastre o pérdida para así evitar consecuencias debido a la ruptura de continuidad de servicio. Lógicamente el RTO es distinto en cada empresa y debe ser correctamente calculado antes de empezar a pensar en la elaboración de cualquier plan porque es muy probable que terminemos equivocándonos ya sea por exceso o por defecto. Que la ciberresiliencia cobre cada día más importancia tiene mucho que ver con el empeño de la Unión Europea en mejorar los niveles de ciberseguridad de las AA.PP. y de las empresas que son consideradas infraestructuras críticas proveedoras de servicios esenciales. Sin lugar a dudas, la NIS2, la nueva normativa de seguridad en la que Europa ha depositado muchas esperanzas y que será de aplicación a partir de octubre de 2024, marcará un antes y un después en materia de seguridad.
En un mundo cada vez más digitalizado ya no basta con que nuestra empresa sea cibersegura, tenemos que conseguir ser ciberresilientes y saber que, si jugamos bien nuestras cartas, la ciberresiliencia será toda una ventaja competitiva.