La empresa ciber-resiliente: la nueva estrella de la ciberseguridad

La digitalización de las sociedades y su dependencia de la tecnología, así como la creciente complejidad de los sistemas actuales, deriva en que organizaciones, personas y naciones están expuestas a recibir ataques cada vez más sofisticados. En este contexto, surge el término de empresa ciber-resiliente que, según Miriam Puente, técnica del Instituto Nacional de Ciberseguridad (Incibe), “es una empresa que tiene la capacidad de sobreponerse a un incidente de seguridad y mantener la continuidad de su negocio”.

¿Cómo detectar si una empresa es ciber-resiliente? La fórmula para saberlo es muy sencilla: si es víctima de ‘ransomware’ (secuestro de datos) y no es capaz de seguir funcionando, entonces no lo es. ¿Por qué? Porque en el mundo digitalizado actual las empresas tienen que tener las medidas de seguridad necesarias para sobrevivir a cualquier ciberataque que puedan sufrir. Si no, posiblemente, no tenga las suficientes medidas de seguridad implantadas, como, por ejemplo, copias de seguridad que le permitan reanudar en el menor tiempo posible su actividad.

Más que construir grandes fortalezas y empresas impenetrables a los ataques, el objetivo es ser capaz de anticiparse a las amenazas, absorber el impacto y responder de forma rápida para que una empresa continúe con su actividad normal. La seguridad al 100% no existe. “Siempre va a pasar algo”, arguye Antonio Fernandes, experto independiente en ciberseguridad con más de 20 años de experiencia en la materia. “Por eso es importante diseñar una estrategia en la que la ciberseguridad y los objetivos del negocio vayan de la mano y mantenga a todo el entorno tecnológico funcionando pese a que ocurra un incidente cibernético”.

Ser ciber-resilientes es fundamental para cualquier empresa, dado el creciente el número de ataques que se producen, y su mayor sofisticación. Por ejemplo, en 2021, el 94% de las empresas sufrieron al menos un incidente grave de ciberseguridad, según el informe El estado de la ciberseguridad en España, elaborado por Deloitte. Entre las amenazas más habituales, las más preocupan a los responsables de seguridad de las empresas son el ‘malware’, el ‘phishing’ y el ‘ransomware’. Este último, explica Fernandes, es una plaga peligrosa para la reputación de la empresa y la protección de sus clientes: “Cifran los datos del negocio y piden un rescate por ellos. Pueden amenazar con publicarlos en internet o usar esos datos para extorsionar directamente a los clientes o a los proveedores”.

El estudio Estado de resiliencia en ciberseguridad, elaborado por Accenture en 2021, a partir de una encuesta a nivel internacional, realiza una clasificación de las compañías en función de su ciber-resiliencia. Según el mismo, el 55% de las empresas son “vulnerables” (las operaciones de ciberseguridad aseguran lo mínimo), el 25% “asume ciberriesgos” (priorizan el crecimiento del negocio y aceptan mayores ciberriesgos) y solo el 5% son “ciberdefensores” (sólida alineación entre ciberseguridad y los objetivos empresariales). Aunque son una minoría, los “ciberdefensores” tienen una respuesta de detección y remedio más ágil: un día extra de productividad empresarial, y son más capaces de protegerse frente a las pérdidas de datos.

¿Qué implica ser una empresa ciber-resiliente?

Una empresa resiliente se anticipa, resiste, se recupera y mejora de forma continua. Las compañías y organizaciones deben tener preparados sus sistemas para los “por si acaso” y contar con actualizaciones de ‘software’, cifrado de las comunicaciones, uso de antivirus y VPN para la conexión remota de teletrabajadores. “Los empleados son un eslabón muy importante, son el primer muro contra los ciberataques, por lo que deberían recibir una formación especializada en ciberseguridad”, destaca.

También son cruciales las copias de seguridad para, en el caso de recibir un ataque de ‘ransomware’, poder resistir y recuperar la información sin que se vea alterada la continuidad del negocio. “Deberíamos contar también con planes de crisis para poder seguir los pasos estipulados a la hora de enfrentarnos y no actuar de forma desorganizada. Cada persona debería saber cómo proceder”, indica Puente.

La normativa protege al usuario

Actualmente existen distintas normas y regulaciones que tratan la ciberseguridad desde distintos puntos de vista y con distintos alcances. Este es un entramado complejo, en el que se encuentra, por ejemplo, el Reglamento Europeo de Protección de Datos. Esta directiva requiere que las empresas y organizaciones establezcan medidas para asegurar el correcto tratamiento y almacenamiento de los datos de sus usuarios. Incorporando, por ejemplo, accesos seguros a las bases de datos de la empresa, copias de seguridad o medidas especiales para evitar las fugas de datos o los virus. La empresa debe comunicar este tipo de incidentes a los usuarios afectados cuando se ponga en riesgo su privacidad o intimidad.

También cabe destacar la Directiva NIS2 publicada en diciembre de 2022, y que tiene como objetivo garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea. Esta directiva establece obligaciones para los estados, que deben desarrollar una infraestructura nacional de ciberseguridad (incluyendo, entre otros, una estrategia nacional, unas autoridades de gestión de crisis y unos equipos de respuesta ante incidentes), para empresas y organismos públicos considerados relevantes, que deben implementar un conjunto de medidas de ciberseguridad y para la propia Unión Europea, que debe establecer un conjunto de mecanismos de cooperación y colaboración.

El pasado septiembre, la Comisión Europea presentó la Ley de Ciber-resiliencia, que fortalece los requisitos para que los objetos digitales que salgan al mercado cumplan unas mínimas garantías de ciberseguridad y que los usuarios dispongan de esta información. Los productos podrán adquirir el sello “CE” si son seguros. El comisario del Mercado Interior, Thierry Breton, recordó en la presentación que “Europa es tan fuerte como su eslabón más débil” y que el ‘ransomware’ afecta a una organización cada 11 segundos en el mundo.

Un ejemplo de regulación a nivel sectorial puede ser la Directiva DORA sobre la resiliencia operativa digital del sector financiero, publicada en diciembre de 2022, que establece medidas de ciberseguridad y ciber-resiliencia adicionales adaptadas a la actividad y los riesgos propios de las entidades financieras.