La resiliencia cibernética es la capacidad de una organización para prevenir, resistir y recuperarse de incidentes de ciberseguridad.
La resiliencia cibernética es un concepto que une la continuidad del negocio, la seguridad de los sistemas de información y la resiliencia organizacional. Es decir, el concepto describe la capacidad de continuar brindando los resultados previstos a pesar de experimentar eventos cibernéticos desafiantes, como ciberataques, desastres naturales o recesiones económicas. En otras palabras, un nivel medido de competencia y resiliencia en seguridad de la información afecta qué tan bien una organización puede continuar las operaciones comerciales con poco o ningún tiempo de inactividad.
Por qué es importante la resiliencia cibernética
Una estrategia de resiliencia cibernética es vital para la continuidad del negocio. Puede brindar beneficios más allá de aumentar la postura de seguridad de una empresa y reducir el riesgo de exposición a su infraestructura crítica. La resiliencia cibernética también ayuda a reducir las pérdidas financieras y los daños a la reputación. Y si una organización recibe la certificación de resiliencia cibernética, puede infundir confianza en sus clientes y usuarios. Además, una empresa con resiliencia cibernética puede optimizar el valor que crea para sus clientes, aumentando su ventaja competitiva mediante operaciones eficaces y eficientes.
Mitigación de pérdidas financieras
La pérdida financiera podría conducir a una pérdida de confianza de los stakeholders de la empresa, como accionistas, inversores, empleados y clientes. Según el Informe de organización ciberresiliente de 2020 por IBM Security™, más del 50 % de las organizaciones experimentaron un incidente de ciberseguridad que interrumpió significativamente la tecnología de la información (TI) y los procesos comerciales. Además, el costo medio de una brecha de seguridad de datos es de 4.24 millones de dólares, según el Estudio del costo de una brecha de Ponemon 2021.
Ganar la confianza del cliente y el negocio
Para atraer clientes y ganar su negocio, algunas organizaciones cumplen con los estándares de gestión internacionales, como ISO/IEC 27001 proporcionado por la Organización Internacional de Normalización. ISO/IEC 27001 proporciona las condiciones para que un sistema de gestión de seguridad de la información (SGSI) gestione la seguridad de los activos, como los detalles de los empleados, la información financiera, la propiedad intelectual o la información confiada por terceros. En los EE. UU., las empresas pueden buscar la certificación con el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS), un requisito previo para procesar pagos, como con tarjetas de crédito.
Aumento de la ventaja competitiva
La resiliencia cibernética brinda a las organizaciones una ventaja competitiva sobre las empresas que no la tienen. Las empresas que desarrollan sistemas de gestión basados en las mejores prácticas, como la Biblioteca de infraestructura de tecnología de la información (ITIL), crean una operación eficaz. También lo hacen cuando desarrollan un sistema de gestión para la resiliencia cibernética. Y como resultado, estos sistemas crean valor para sus clientes.
¿Qué es la resiliencia cibernética eficaz?
La resiliencia cibernética eficaz debe ser una estrategia basada en el riesgo de toda la empresa, un enfoque colaborativo impulsado por los ejecutivos para todos en la organización, asociados, participantes de la cadena de suministro y clientes. Debe gestionar de forma proactiva los riesgos, las amenazas, las vulnerabilidades y los efectos sobre la información crítica y los activos de apoyo.
La resiliencia cibernética eficaz también implica el control, la gestión de riesgos, la comprensión de la propiedad de los datos y la gestión de incidentes. Evaluar estas características también exige experiencia y juicio.
Además, una organización también debe equilibrar los riesgos cibernéticos con oportunidades alcanzables y ventajas competitivas. Debe considerar si la prevención rentable es viable y si, en cambio, puede lograr una detección y corrección rápidas con un buen efecto a corto plazo en la resiliencia cibernética. Para ello, una empresa debe encontrar el equilibrio adecuado entre tres tipos de controles: preventivos, de detección y correctivos. Estos controles previenen, detectan y corrigen incidentes que amenazan la resiliencia cibernética de una organización.
¿Cómo funciona la resiliencia cibernética?
La resiliencia cibernética se puede entender a través de un ciclo de vida basado en las etapas del ciclo de vida del servicio de la Biblioteca de infraestructura de tecnología de la información (ITIL): estrategia, diseño, transición, operación y mejora.
Estrategia de resiliencia cibernética
Con base en los objetivos de la organización, el trabajo de estrategia identifica activos críticos, como información, sistemas y servicios que son más importantes para ella y sus stakeholders. Este trabajo también incluye la identificación de vulnerabilidades y los riesgos que enfrentan.
Diseño de resiliencia cibernética
El trabajo de diseño selecciona los controles, procedimientos y capacitación apropiados y proporcionados del sistema de gestión para evitar daños a los activos críticos, cuando sea práctico hacerlo. El trabajo también identifica quién tiene qué autoridad para decidir y actuar.
Transición de resiliencia cibernética
El trabajo de transición del diseño a las pruebas de uso operativo controla y refina la detección de incidentes para identificar cuándo los activos críticos están bajo estrés por acción interna, externa, intencional o accidental.
Operación de resiliencia cibernética
El trabajo operativo controla, detecta y gestiona los eventos e incidentes cibernéticos, incluidas las pruebas de control continuas para garantizar la eficacia, la eficiencia y la consistencia.
Evolución de la resiliencia cibernética
El trabajo de evolución protege continuamente un entorno en constante cambio. A medida que las organizaciones se recuperan de los incidentes, deben aprender de las experiencias, modificando sus procedimientos, capacitación, diseño e incluso estrategia.
Tomado de: IBM