Ciberseguridad

Ciberresiliencia, un activo principal para los CISO

Con el ransomware en su punto más alto, las empresas deben comprender que ser ciberresiliente significa ir más allá del cumplimiento y considerar todos los aspectos del negocio.

resiliencia organizacional

En mayo de 2021, cuando Colonial Pipeline fue atacada por los ciberdelincuentes de DarkSide, el CEO Joseph Blount tomó la controvertida decisión de pagar un rescate de 4,4 millones de dólares. El incidente puso en peligro a esta infraestructura crítica de Estados Unidos, lo que resultó en sesiones informativas diarias para el presidente Joe Biden. Blount justificó el pago como necesario para el país, y dijo que esta decisión fue de las más difíciles de su carrera. "Estábamos en una situación angustiosa y tuvimos que tomar decisiones difíciles que ninguna empresa quiere enfrentar".

Con los pagos de ransomware alcanzando el récord de 1.100 millones de dólares en 2023, estas decisiones difíciles se han vuelto frecuentes para los líderes corporativos. Cada vez más CISO y CEO entienden que no se trata de si se producirá un ataque, sino de cuándo. "El mayor cambio para mí es que ahora acepto totalmente que puede suceder", asegura el CEO de una compañía europea de 4.000 millones de dólares, según un informe publicado por ISTARI y la Universidad de Oxford. "Créanme, hay una diferencia fundamental en el enfoque entre las organizaciones que aceptan que podría suceder y las que piensan que pueden repelerlo".

Esa mentalidad, aceptar la inevitabilidad de la infracción, podría ayudar a las empresas a ser más ciberresilientes de lo que son hoy. Con demasiada frecuencia, las organizaciones ven la resiliencia como un ejercicio de marcar casillas para los reguladores, ya que no equipan a sus CISO con todo lo que necesitan para recuperarse realmente después de un ataque.

Como dice el CEO de RapidFort, Mehran Farimani, la capacidad de resistir y recuperarse de un incidente de ciberseguridad requiere un cambio de pensamiento que va más allá del cumplimiento. "Sí, siempre ha marcado esa casilla para indicar que ha realizado una copia de seguridad de todo su software y datos críticos, pero ¿puede recuperarse rápidamente en respuesta a un evento adverso, o le llevará dos semanas? ¿Se asegura constantemente de que todos esos sistemas estén bajo control?".

Cuando se les pide que califquen su confianza en el manejo de los riesgos cibernéticos en una escala del uno al 10, la mayoría de los líderes de seguridad de TI expresan pesimismo, según un informe de Barracuda. Las organizaciones de servicios financieros parecen ser las más preparadas, con un 55% que califica su postura de seguridad como altamente efectiva. En comparación, solo el 32% de las empresas que operan en los sectores industrial y manufacturero expresaron optimismo, mientras que para el comercio minorista, ese número fue del 39%. En general, las compañías más pequeñas se sienten menos seguras para hacer frente a las amenazas cibernéticas.

Y con la inestabilidad geopolítica, la inteligencia artificial (IA) y la desigualdad de la riqueza en aumento, los CISO no solo deben fortalecer aún más las defensas cibernéticas, sino también ayudar al negocio a prepararse para los peores escenarios y asegurarse de que pueden recuperarse rápidamente en caso de que ocurra un evento cibernético.

 

La resiliencia cibernética ocupa un lugar central

El concepto de ciberresiliencai ha evolucionado hasta convertirse en un elemento crucial de la estrategia empresarial general actual. De hecho, como indica el CISO de Trustwave, Kory Daniels, "las juntas directivas han comenzado a hacerse la pregunta: ¿es importante tener un director de resiliencia con título formal?"

A la luz de los recientes ciberataques de alto perfil, como el que experimentó Colonial Pipeline, el énfasis en el componente de disponibilidad de la tríada clásica de la CIA (confidencialidad, integridad y disponibilidad) ha aumentado. Esto se debe a que las interrupciones no solo afectan a la continuidad operativa, sino también a la confianza de los clientes y a la percepción general del mercado de una empresa. Daniels cree que es esencial adoptar "un enfoque holístico" para la resiliencia, teniendo en cuenta todos los aspectos del negocio y todos los equipos, desde los empleados y socios hasta la junta directiva.

A menudo, las organizaciones tienen más capacidades de las que creen, pero estos recursos pueden estar dispersos en diferentes departamentos. Y cada grupo responsable de establecer la resiliencia cibernética podría carecer de una visibilidad completa de las capacidades existentes dentro de la organización. "Las operaciones de red y seguridad tienen una increíble riqueza de inteligencia de la que otros se beneficiarían", dice Daniels.

Muchas empresas están integrando la resiliencia en sus procesos de gestión de riesgos empresariales. Han comenzado a tomar medidas proactivas para identificar vulnerabilidades, evaluar riesgos e implementar controles adecuados. "Esto incluye la evaluación de la exposición, la validación periódica, como las pruebas de penetración, y el monitoreo continuo para detectar y responder a las amenazas en tiempo real", según Angela Zhao, analista directora de Gartner.

Estas medidas proactivas a menudo se expanden más allá de los límites inmediatos de la organización a proveedores y socios, tal y como pone de relieve Cameron Dicker, director de resiliencia empresarial global de FS-ISAC. "Las empresas deben llevar a cabo un análisis en profundidad de sus proveedores de servicios y cadenas de suministro de software, identificar dónde se encuentran los riesgos de seguridad y desarrollar planes de respuesta a incidentes de acuerdo", señala.

 

Cadena de suministro de software: una parte fundamental de la ecuación de la resiliencia

Desafortunadamente, como señala Daniels, el análisis de la cadena de suministro de software sigue siendo un aspecto poco discutido de la resiliencia cibernética. "Las compañías deben realizar pruebas de penetración exhaustivas y evaluaciones de riesgos de sus cadenas de suministro, implementar requisitos de ciberseguridad para los proveedores y establecer planes de contingencia para mitigar el impacto de las interrupciones de la cadena de suministro en sus operaciones", afirma.

Al buscar un proveedor potencial, especialmente uno que se conectará a la red privada de una empresa, los líderes de seguridad deben asegurarse de que los contratos o acuerdos maestros de servicio (MSA) sean muy específicos sobre la resiliencia general, tanto cibernética como comercial, señala Bobby Williams, líder del equipo de continuidad del negocio en GuidePoint Security. "Un proveedor debe ser contractualmente responsable de los programas definidos de continuidad del negocio, recuperación ante desastres y seguridad de la información", añade. "Un programa de pruebas definido para demostrar la resiliencia del proveedor debe estar en el contrato, y los resultados de las pruebas deben estar disponibles para que la empresa los revise".

Si el proveedor suministra servicios o aplicaciones de software, debe haber un objetivo de tiempo de recuperación (RTO) definido y un objetivo de punto de recuperación (RPO) definido en el contrato. "El proveedor debe ser capaz de demostrar el RTO y el RPO mediante las pruebas requeridas. También debe estar obligado contractualmente a demostrar cómo realiza una copia de seguridad de los datos del cliente y proporcionar un programa de retención de datos". 

Los riesgos asociados con la cadena de suministro de software no deben tomarse a la ligera. "Ha habido varios casos recientes de ataques cibernéticos contra estos", dice Aaron Shaha, CISO de CyberMaxx. "Es un área que sigue necesitando una supervisión crítica".

 

La IA añade complejidad

El auge de la IA generativa como herramienta para los delincuentes complica aún más las estrategias de resiliencia de las organizaciones. Esto se debe a que esta tecnología equipa incluso a las personas poco cualificadas con los medios para ejecutar ciberataques complejos. Como resultado, la frecuencia y la gravedad de los ataques pueden aumentar, lo que obliga a las empresas a mejorar su juego.

Sin embargo, por otro lado, las herramientas de IA generativa no son tan efectivas con fines defensivos. Las organizaciones las utilizan principalmente en un papel de asistente. Algunas de las áreas en las que la IA ha demostrado ser eficaz son la detección y el análisis de amenazas, la detección de anomalías, la supervisión del comportamiento y los sistemas de respuesta automatizados. La inteligencia artificial también se utiliza en la gestión de riesgos y la revisión de código.

"Los algoritmos de IA pueden analizar rápidamente grandes cantidades de datos, identificar patrones y detectar posibles amenazas o vulnerabilidades que pueden pasar desapercibidas para los operadores humanos", dice Valerie Abend, líder de estrategia global de Accenture Security.

El uso de la IA también tiene beneficios en la creación y el mantenimiento de programas de resiliencia cibernética. "Desde el desarrollo de políticas de seguridad de IA personalizadas hasta la implementación de tecnologías avanzadas de IA y la prestación de soporte continuo a las operaciones, las soluciones de las organizaciones deben garantizar la fiabilidad, la transparencia y el cumplimiento a lo largo de su viaje hacia la IA", afirma Tamara Nolan, directora de resiliencia cibernética y operativa de MorganFranklin Consulting.

Por ahora, sin embargo, la IA en ciberseguridad sigue siendo una ayuda en lugar de un sustituto de la supervisión humana. "Si bien la IA puede ayudar con ciertos aspectos instrumentales, su contribución a la gestión de riesgos sigue siendo limitada en esta etapa de la evolución de la IA", dice Anastasiia Voitova, jefa de ingeniería de seguridad de Cossack Labs. "Es una herramienta para profesionales de la seguridad, no para un profesional de la seguridad en sí mismo".

Farimani, de RapidFort, está de acuerdo, y añade que las herramientas de IA pueden ayudar a formular y comunicar planes de resiliencia, pero están lejos de ser lo suficientemente fiables como para ponerlas en piloto automático y asumir que están protegiendo un sistema.

Es probable que el papel de la IA en la resiliencia se amplíe en los próximos años, ya que las herramientas impulsadas por la IA mejorarán a la hora de detectar y responder a las amenazas en tiempo real. Además, es probable que la IA se aproveche para mejorar la autenticación de los usuarios y los mecanismos de control de acceso y mejorar la resiliencia general de los sistemas de infraestructura crítica, según Abend.

 

Cómo las regulaciones complican la resiliencia cibernética

La evolución del panorama normativo en todo el mundo puede dificultar que los líderes de seguridad se mantengan al día con todo lo que deben cumplir. Pero cumplir con estos requisitos legales puede ayudar a mitigar los riesgos y mantener la reputación de la organización.

"Las regulaciones pueden ayudar a las organizaciones a aumentar su enfoque en los esfuerzos de gestión de riesgos empresariales y hacer un gran trabajo al hacer que las organizaciones sean más responsables de sus estrategias de resiliencia, entre otros beneficios", indica Trevin Edgeworth, director de práctica del equipo rojo de Bishop Fox. Seguir estas reglas ayudará a aumentar la transparencia en torno a las brechas y las prácticas de seguridad, dice.

Las regulaciones relacionadas con la Ley de Resiliencia Operativa Digital (DORA) en la Unión Europea y las emitidas por la Comisión de Bolsa y Valores (SEC) en los Estados Unidos están cambiando la forma en que las empresas abordan la resiliencia cibernética. DORA entrará en vigor el 17 de enero de 2025 y está diseñado para reforzar la seguridad de entidades financieras como bancos, compañías de seguros y empresas de inversión. Las entidades financieras y los proveedores de servicios de tecnologías de la información y la comunicación de fuera de la UE también deben cumplir la DORA si prestan servicios tecnológicos esenciales a instituciones financieras con sede en la UE.

"Dada esta nueva regulación y las preocupaciones generales sobre los ciberataques en curso, las empresas de asesoría están dedicando menos tiempo a la planificación de la resiliencia de todos los peligros y más tiempo a la resiliencia de TI, específicamente a la conexión entre los procesos comerciales y las aplicaciones e infraestructura de soporte", dice Nolan de MorganFranklin.

Aconseja a las empresas que vayan más allá de simplemente marcar las casillas requeridas por regulaciones como DORA y, en cambio, se esfuercen por cubrir todos los aspectos de la resiliencia porque "la regulación asume que los elementos fundamentales de resiliencia operativa ya están en su lugar antes de tratar de cumplir con los requisitos de DORA".

Las empresas que operan en el mercado estadounidense también deben estar atentas y garantizar el cumplimiento de las regulaciones en evolución. En julio de 2023, la Comisión de Bolsa y Valores (SEC) introdujo nuevos requisitos de información para las empresas que cotizan en bolsa. Estas normas exigen una divulgación 8-K de los incidentes materiales de ciberseguridad y exigen a las empresas que proporcionen anualmente información material sobre su gestión, estrategia y gobernanza de riesgos de ciberseguridad.

Para cumplir con los requisitos, la mayoría de las empresas públicas toman medidas proactivas para asegurarse de que cuentan con sistemas para evaluar, evaluar y responder a los incidentes.

"Los cambios regulatorios en una jurisdicción a menudo tienen implicaciones transfronterizas, ya que las empresas multinacionales que operan a nivel mundial necesitan cumplir con múltiples marcos regulatorios", dice. "Esto ha llevado a la necesidad de que las organizaciones armonicen sus estrategias de resiliencia cibernética en diferentes mercados, asegurando prácticas de seguridad consistentes y el cumplimiento de diversas regulaciones".

Las regulaciones también han desempeñado un papel clave en la concienciación sobre la importancia de la ciberresiliencia. Animan a las empresas a evaluar su postura de seguridad, así como la supervisión y la gobernanza de su consejo de administración, según Abend de Accenture Security.

"Sin embargo, estamos siendo testigos de una creciente conciencia entre los directores ejecutivos, la alta dirección y los consejos de administración con respecto a estos riesgos, impulsada no solo por las regulaciones, sino también por una preocupación empresarial genuina", afirma.

Pero si bien las regulaciones ayudan, el cumplimiento por sí solo no significa necesariamente resiliencia. Las organizaciones podrían "correr el riesgo de caer en una falsa sensación de seguridad de que su sólida postura de cumplimiento equivale a una sólida postura de seguridad", señala Edgeworth, de Bishop Fox.

 

La importancia de las personas

Si bien muchas organizaciones invierten en soluciones técnicas para la resiliencia cibernética, a menudo pasan por alto la importancia de contar con las personas adecuadas a bordo y fomentar una cultura de conciencia de seguridad entre ellas. "La capacidad de encontrar rápidamente talento cibernético a un precio asequible está creando vulnerabilidades dentro de la industria", dice Shaha de CyberMaxx.

Como tal, los líderes de seguridad deben desarrollar estrategias de abastecimiento sólidas y diversas para garantizar que se satisfagan las necesidades de talento en evolución.

Además, también deberían invertir en programas de capacitación que vayan más allá de la conciencia básica de los correos electrónicos de phishing y la seguridad de las contraseñas, dice Daniels de Trustwave. En cambio, la formación debería "abarcar una comprensión más profunda de las amenazas cibernéticas, la importancia de la protección de datos y el papel de todos en el mantenimiento de la resiliencia cibernética", añade.

Los ejercicios y las simulaciones de crisis también ayudan. "Las empresas deben asegurarse de que sus ejercicios utilicen una variedad de escenarios para garantizar que los planes de respuesta puedan manejar eventos inesperados", dice Williams de GuidePoint. "Estos eventos de cisne negro se pueden manejar con confianza si el proceso de planificación se mantiene relevante y actualizado".

Tales ejercicios deben realizarse con regularidad y deben ser difíciles. "Solo mediante la realización de ejercicios desafiantes que superen los límites de los equipos, las políticas y los procedimientos, una organización sabrá dónde están sus límites y dónde necesita mejorar", dice Dicker de FS-ISAC. "Un incidente nunca debe ser la primera vez que se pone a prueba el plan de respuesta".



TE PUEDE INTERESAR...

Contenido Patrocinado

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper