¿Calma antes de la cibertormenta? El verdadero riesgo para la resiliencia es la complacencia
Las organizaciones ya no pueden relegar la resiliencia a un segundo plano, es un hecho: hoy en día, la alta dirección debe gestionar activamente los riesgos de la seguridad cibernética, y lograr convertirla en una prioridad empresarial
La única constante es el cambio. Los profesionales de la ciberseguridad lo saben, y ciertamente nadie se adentra en esta industria esperando calma. Pero el aumento en la cantidad, sofisticación y velocidad de las amenazas y ataques es implacable, y se está volviendo inmanejable.
De acuerdo con el World Economic Forum (WEF), en comparación con las demás regiones del mundo, América Latina es la región donde menos directivos de TI, Seguridad de la Información y Negocios se sienten confiados (14%) o muy confiados (4%) de que su país esté bien preparado para responder a incidentes cibernéticos mayores dirigidos a su infraestructura crítica. En contraparte, el 42% de ellos no confían en absoluto. Con esto, la región se “gana” el nada honroso primer lugar en esta materia, incluso por encima de África, donde el 36% no confían, mientras que el 27% están confiados y el 9%, muy confiados.
Para Tomás Dacoba, director senior de Marketing de Veeam para Latinoamérica, la preocupación alrededor del tema no es gratuita. Elementos como la evolución de la IA, que ha pasado de ser una amenaza teórica a convertirse en un arma práctica; la alarmante sofisticación de las técnicas de phishing, y el uso de chatbots para el desarrollo de código malicioso a medida, que está innovando a un ritmo muy acelerado, echan aún más leña al fuego.
Cuidado con la falsa sensación de seguridad
Que la regulación no se ha quedado de brazos cruzados, es una excelente noticia, pero hay que ser cautelosos. A favor de los responsables del cumplimiento hay que decir que contamos ya con importantes normativas enfocadas en la resiliencia de datos, como NIS2 y DORA, que surgieron en la Unión Europea (UE) aplicándose a sectores críticos como Energía, Transporte, Banca, Salud e Infraestructura Digital, la primera, y al sector financiero, la segunda, ambas con implicaciones a organizaciones de cualquier parte del mundo (incluyendo México) que prestan servicios en la UE, así como a filiales de bancos europeos, organizaciones con operaciones globales y proveedores de servicios TIC que trabajan con instituciones financieras europeas, según sea el caso.
NIS2 tuvo un impacto especial, consagrando la resiliencia como una responsabilidad ineludible de la alta dirección. En cuanto a DORA, si bien se limita a los servicios financieros, aborda algunos de los problemas más urgentes, como el riesgo de terceros, en un intento por fortalecer uno de los sectores más atacados. Las regulaciones también introdujeron nuevos estándares para la gestión y mitigación de riesgos organizacionales, y particularmente para la notificación de incidentes, un aspecto fundamental ante el aumento de los ataques.
Que las organizaciones ya no pueden relegar la resiliencia a un segundo plano, es un hecho: hoy en día, la alta dirección debe gestionar activamente los riesgos de la seguridad cibernética, y lograr convertirla en una prioridad empresarial, a la par de la estrategia de negocios y las ventas y ganancias.
Pero aun en el caso de que las empresas logren aplicar las medidas indicadas en las reglamentaciones para desarrollar una resiliencia de datos madura, capaz de soportar las presiones actuales de los ciberdelincuentes (lo cual es complicado, por decir lo menos), una cosa es cierta: estar en cumplimiento no es lo mismo que estar seguro.
Mantenga la calma; la resiliencia sí es posible
En la actualidad, la seguridad empresarial está justo en medio de una tormenta perfecta. Mientras las grandes organizaciones están creando una falsa sensación de seguridad en las empresas, nuevos atacantes emergen con herramientas nuevas y optimizadas. Además, centrarse en el cumplimiento normativo lleva al riesgo de que los negocios se confundan y oculten el verdadero alcance de las mejoras que podrían implementarse en la resiliencia de sus datos. En momentos como éste, la mejor opción para las compañías es enfocar su atención hacia adentro.
En este sentido, hay dos pasos cruciales para acercarse hacia la resiliencia: el primero es aprovechar los Modelos de Madurez de Resiliencia de Datos (DRMM, por sus siglas en inglés), con los que las organizaciones pueden no sólo comprender mejor su nivel actual de resiliencia de datos, sino también crear una ruta para optimizarlo. En vez de analizar cada aspecto de la resiliencia de datos por separado, estos modelos los integran, concentrando los esfuerzos y creando una corriente que beneficia a todos, en lugar del típico enfoque fragmentado de la resiliencia.
El segundo consiste en prestar atención especial a la recuperación, sobre todo ahora que los ataques son más frecuentes e impredecibles que nunca. Si bien una resiliencia de datos madura siempre debe ser el Plan A, es necesario que el Plan B, de recuperación, esté igual de desarrollado, o incluso más.
La resiliencia de datos es un proceso que no se completa de la noche a la mañana, sino que es más bien una carrera de largo alcance. Analice cuánto tardaría su empresa en recuperarse ante un ataque, y si el negocio no podría esperar tanto, quizás necesite revisar su plan de recuperación antes de que le caiga encima la tormenta.
