El término ciberresiliencia ya no suena extraño. Aunque solo sea porque el concepto de resiliencia pasó a ser un término conocido por el gran público «gracias» al COVID-19, la realidad es que, hoy en día, prácticamente cualquier profesional relacionado con el sector TIC es capaz de entenderlo.
También es evidente que la proliferación de ataques y secuestros informáticos ha contribuido a que todo el mundo sea más consciente de qué significa este término. ¿Quién es el profesional del sector que no tiene un conocido (o incluso él mismo) que haya sufrido las consecuencias de un ataque de ransomware exitoso? Lamentablemente, como se dice en el mundo de la ciberseguridad, la pregunta no es si vas a ser atacado, sino cuándo lo serás; una expresión que cada vez se pone más de manifiesto.
Sin embargo, aunque las organizaciones están –en su mayoría– concienciadas con esta realidad, muchas otras parecen empeñadas en negarla. Pese a que los profesionales del sector reconocen que tarde o temprano les acabará tocando, parecen hacer caso omiso de sus propias certezas y siguen actuando, en términos de ciberseguridad, como si a ellos nunca les fuera a pasar. ¿A qué se debe esa dicotomía?
Cambio de mentalidad
Uno de los principales motivos por los que creo que las organizaciones, en su gran mayoría, no están trabajando su ciberresiliencia es la crudeza de las asunciones que hay detrás de ese cambio de paradigma. Hoy en día, las organizaciones siguen empeñadas en protegerse, en reducir la probabilidad de éxito de un posible ciberincidente. Para ello, invierten dinero, tecnología y horas en acotar todo lo posible esa superficie de exposición. Pero, probablemente, se olvidan de dos leyes que en ciberseguridad tienen mucho que decir: la de Pareto y la de Murphy. La primera, totalmente objetiva y matemática, nos debería recordar que, una vez alcanzado un determinado nivel de ciberprotección, mejorarlo requiere una inversión que en muchas ocasiones puede no justificarse, reconsiderando la relación coste-beneficio de dicha actuación. Y la segunda, totalmente subjetiva pero de mostrada empíricamente en multitud de ocasiones), que, como la seguridad total no existe, da igual cuánto queramos elevar nuestro nivel de ciberprotección, porque tarde o temprano nos encontraremos ante una situación que explote aquellos niveles imposibles de cubrir.
Por ello, el punto de partida de la ciberresiliencia es asumir el fracaso de la estrategia de ciberprotección. Por mucho que invirtamos, no vamos a ser capaces de proteger totalmente a la organización. Lo seremos hasta cierto punto, pero no hasta el nivel que desea la alta dirección (aunque este hecho no será evidente hasta después de haber sufrido un ciberataque significativo).
No obstante, trasladar a la alta dirección este fracaso «por defecto» no es un paso sencillo, pero sí un paso imprescindible para empezar a avanzar en la estrategia de ciberresiliencia. Porque, si no somos capaces de proteger a la organización, ¿qué podemos hacer? Ese momento de incertidumbre debe durar lo suficiente como para que cale el mensaje: tendremos que aclarar que no todo está perdido y que la ciberresiliencia es una solución todavía mejor que la ciberseguridad.
Alcance
El objetivo de la ciberresiliencia es que a la organización “no le importe” sufrir ciberincidentes. Al igual que con la ciberseguridad, el cien por cien es inalcanzable; un buen grado de ciberresiliencia va a dejar a los consejos de administración mucho más tranquilos acerca de la eficacia de las inversiones realizadas. Sin embargo, lograrlo no es un camino de rosas…
Lo que debemos tener claro es que lograr un buen nivel en nuestra capacidad de recuperación frente a ciberincidentes, al igual que para cualquier otro aspecto de nuestra vida, solo se consigue de una forma: entrenando. El desarrollo de ciberejercicios es uno de los elementos clave para mejorar nuestra ciberresiliencia. Y no deberíamos pensar que, con un simulacro al año, basado en un contexto muy acotado y simplificado, es suficiente como para estar preparados. Un buen entrenamiento requiere un programa de ejercicios frecuente y completo, y que sea capaz de emular las diferentes situaciones a las que nos vamos a enfrentar.
En este sentido, otra «mala» noticia: la mejor manera de simular una caída de los sistemas es haciendo que los sistemas se caigan de verdad. Estoy seguro de que en este momento cualquier CIO o administrador de sistemas me estará tachando de loco, pero voy a insistir en el mensaje. ¿Qué mejor manera de entrenar la respuesta frente a una caída de los sistemas que tirando los sistemas a propósito?
Obviamente, una arquitectura de sistemas «clásica» no va a estar bien preparada para resistir una caída; y, por lo tanto, el equipo encargado de su recuperación no va a estar preparado para provocar intencionadamente el fallo en unos sistemas que puede que tarden varias horas, sino días, en recuperar. Por lo tanto, una buena ciberresiliencia implica un cambio profundo no solo en la mentalidad de las personas encargadas de proteger
los sistemas de información, sino también en las de diseñarlos y desplegarlos. Y probablemente un cambio tecnológico importante si queremos que nuestros sistemas TIC estén preparados para ser ciberresilientes. Nadie dijo que mejorar en ciberresiliencia fuese sencillo… ni barato.
El inicio de la ciberresiliencia es asumir el fracaso de la estrategia de ciberprotección
Erigiendo la ciberresiliencia
Pese a todo lo anterior, tenemos que reconocer que las tecnologías actuales favorecen enormemente los avances en materia de ciberresiliencia. Hoy en día, el uso del cloud permite poder levantar sistemas de información de manera sencilla en cualquier sitio, si la ubicación de partida se ha visto afectada por un ciberincidente. Tanto las tecnologías más asentadas de virtualización como las más novedosas orientadas al uso de contenedores y microservicios permiten no solo que ese despliegue sea posible, sino también desarrollar mecanismos de automatización para ello. Y esto es clave porque una infraestructura ciberresiliente debería ser capaz de enfrentarse al Simian Army desarrollado por Netflix y salir victoriosa de la contienda…; aunque probablemente no en el primer enfrentamiento, ni en el segundo. Pero desarrollar sistemas de información que sean capaces de autorrecuperarse tras un suceso inesperado, incluso desde cero, va a ser uno de los principales paradigmas a la hora de desarrollar una infraestructura TIC ciberresiliente, no solo frente a ataques, sino también frente a los problemas del día a día.
Sin embargo, no podemos olvidar que la ciberresiliencia no debe preocuparse solo por la disponibilidad, pese a que esa haya sido siempre la dimensión de la ciberseguridad más perseguida. Los incidentes de seguridad también pueden atentar (de hecho cada vez lo hacen con mayor frecuencia y precisión) contra la confidencialidad de nuestros datos. Por lo tanto, la existencia de mecanismos que puedan proteger la información, incluso cuando ya no obra en nuestro poder, es algo cada vez más necesario en esta nueva visión de la ciberseguridad. En este sentido, las diferentes tecnologías IRM (Information Rights Management) que las organizaciones tienen a su disposición van a ser clave para poder mitigar los efectos que podría llegar a tener una divulgación de información no autorizada.
Objetivo: ciberresiliencia
Por todo lo indicado anteriormente, la ciberresiliencia debería ser la nueva prioridad de todo CIO preocupado por la ciberseguridad. Cuando somos conscientes de que tarde o temprano acabaremos sufriendo un ataque, el objetivo principal de la ciberseguridad tendría que dejar de ser la ciberprotección y empezar a ser la capacidad para minimizar al máximo los posibles efectos de dicho ciberataque. No es un camino fácil, y los cambios tanto
filosóficos como tecnológicos que implica no se pueden abordar de un día para otro; pero disponer de sistemas de información resilientes es, en última instancia, lo que va a condicionar la supervivencia de la organización cuando el temido ciberataque tenga lugar. Por lo tanto, es un camino que se debería empezar a recorrer cuanto antes, porque, aunque el destino final pueda parecer prácticamente inalcanzable en algunos casos, si vamos
dando los pasos necesarios acabaremos dándonos cuenta de que, más pronto que tarde, está al alcance de nuestra mano y tan solo a unos pocos proyectos de distancia.