109 126 incidentes de ciberseguridad. Es el balance de los ciberataques gestionados el año pasado por el Instituto Nacional de Ciberseguridad (INCIBE) solo en España. Casi uno de cada tres se produjo a través de software malicioso o malware. Año a año, los ataques ganan en complejidad y sofisticación, y el escenario de los ciberriesgos se complica. Por eso, cada vez es más importante ir un paso más allá de la ciberseguridad y empezar a implementar un enfoque centrado en la ciberresiliencia.
En un mundo hiperconectado, en el que las sociedades, los mercados, las empresas y las personas dependen de forma creciente de las tecnologías digitales, las amenazas cibernéticas se multiplican. Tal como señalan desde el INCIBE, cada vez tiene menos sentido construir barreras y defensas con el ánimo de hacerlas inquebrantables, sino que se debería apostar más por anticiparse a las amenazas, ser capaz de amortiguar el impacto de los incidentes y, sobre todo, poder responder con agilidad a los ataques de forma que la continuidad de negocio no se vea afectada.
De esta manera, la ciberresiliencia se define, según recoge el INCIBE, como “la capacidad de un proceso, negocio, organización o nación para anticipar, resistir, recuperarse y evolucionar para mejorar sus capacidades de sobreponerse ante condiciones adversas, estrés o ataques a los recursos cibernéticos que necesita para funcionar”. Es decir, la ciberresiliencia va de asumir que va a haber ciberataques y que tenemos que estar preparados para minimizar daños y mantener la actividad.
La ciberresiliencia y la ciberseguridad no son conceptos que se excluyan, sino que se complementan. Mientras que la ciberseguridad se centra en proteger los sistemas, las redes y los datos frente a los ataques (y lo hace mediante tecnologías, procesos, buenas prácticas o medidas concretas), la ciberresiliencia va más allá. La resiliencia cibernética ayuda a las organizaciones a estar preparadas, prevenir, responder y recuperarse con éxito en el caso de que se produzca un ataque.
Las medidas de ciberseguridad tradicionales no han perdido eficacia frente a los ciberataques. Sin embargo, no son suficientes para garantizar la seguridad de los datos, cada vez más valiosos, ni el correcto funcionamiento de la infraestructura de las organizaciones. Como consecuencia, no se bastan por sí mismas para garantizar la continuidad del negocio y mantener la buena reputación de las compañías. Hoy en día, es tan importante evitar y contener los ataques como responder de forma adecuada y recuperarse lo antes posible.
Una estrategia de ciberresiliencia bien implementada ayuda a proteger a una empresa a través de estos cuatro pilares:
De acuerdo con el Foro Económico Mundial, el papel de la industria aseguradora es clave a la hora de impulsar la ciberresiliencia de empresas, organizaciones y hasta países. El sector seguros puede aportar su conocimiento en el campo del análisis y la gestión de ciberriesgos, facilitar la implementación de herramientas de monitorización y contribuir con instrumentos para protegerse frente a los riesgos y poder responder adecuadamente a los incidentes.
Partiendo de los cuatro pilares anteriores, todos los elementos de una estrategia de ciberresiliencia adecuada podrían agruparse alrededor de cuatro grandes temas. Estos serían, tal como recogen los Indicadores para la Medición de la Ciberresiliencia (IMC) del INCIBE:
A la hora de implementar una estrategia de ciberresiliencia, deben tenerse en cuenta todos los actores implicados y las características de cada organización, así como los riesgos específicos a los que está expuesta. Tal como señalan desde el INCIBE, no se puede generalizar una forma única de implementar la ciberresiliencia. Sin embargo, el instituto sí señala los siguientes pasos esenciales:
En definitiva, la ciberresiliencia va un paso más allá de la ciberseguridad. Se construye sobre las medidas de protección frente a los ciberataques para transformar las organizaciones y lograr que, además de resistir, sean capaces de prevenir, amortiguar los impactos y, sobre todo, recuperarse en tiempo récord para que el negocio y la reputación no se vean afectados.