La transformación digital y el desarrollo tecnológico propios de nuestra era han aportado innumerables beneficios a la productividad de las empresas, sin embargo, la conectividad de nuestros sistemas de información tienen la necesidad de protegerse frente a las amenazas del ciberespacio.
Ciberseguridad, el Gran Reto de la Era Digital
El ritmo al que sigue evolucionando la tecnología, unido a la conectividad prácticamente total con otras organizaciones, proveedores y consumidores finales, amplía la superficie de ataque y hace más vulnerables a nuestros activos. La respuesta a este desafío pasa en gran medida por potenciar y gestionar la resiliencia cibernética adecuadamente, yendo más allá de la visión convencional que se tiene de la seguridad informática como una cuestión meramente tecnológica. Mejorar la ciber-resiliencia no es solo un reto tecnológico: la ciberseguridad debe ser un enfoque 360º en la empresa del siglo XXI.
Las ciberamenazas son cada vez mayores y más sofisticadas. En la actualidad conviven las más tradiciones (spam/phising, fugas de información, infecciones por malware, etc.) con nuevos modelos de cibercrimen organizado (ramsomware, wipers, APT, ataques contra infraestructuras críticas, ciberespionaje, etc.). Es por ello que la ciberseguridad es el gran reto que deben afrontar las empresas en la era digital.
Continuidad y Cumplimiento Normativo
No cabe duda que una un brecha de seguridad puede ocasionar un importante impacto reputacional y financiero, y puede poner en peligro la continuidad de nuestro negocio. Cada vez se oye más este concepto junto a otros como recuperación ante desastres y ciberresiliencia, entendidos como soluciones para recuperarse de un ataque informático que afecte a los sistemas de información y funciones críticas sobre las que se sustentan los procesos de negocio. La continuidad de negocio puede verse como una derivada de la seguridad de la información, focalizándose esencialmente en la dimensión de la disponibilidad.
Precisamente es necesario tomar medidas de disponibilidad y continuidad de operaciones. La continuidad del negocio puede verse como una derivada de la seguridad de la información, focalizándose esencialmente en la dimensión de la disponibilidad.
La aplicación de medidas de disponibilidad en las organizaciones no es que sea algo nuevo, ya se han venido tomando medidas (aunque sea a un nivel mínimo y de carácter puramente técnico), como la realización de copias de seguridad. Hace ya tiempo que, países como España cuentan con una legislación en materia de protección, obligando a la realización de copias de seguridad (al menos, de los datos personales), lo cual, de alguna forma, potenció la aplicación de ciertas medidas de mejora de la disponibilidad.
Las medidas de disponibilidad, aplicadas hasta el momento, amenazan con ser insuficientes en una realidad en la que los factores cambian a un ritmo trepidante desde varios frentes:
Escalada de Ciberamenazas
Existe una alerta real ante el creciente número de ciberamenazas que pueden terminar en un incidente disruptivo.
Uno de los agentes de amenazas más significativos es la interrupción de servicios, es decir, el deterioro intencionado y temporal de la disponibilidad de la información, los sistemas de información o los servicios de información.
Una de las amenazas que afecta directamente a la continuidad, es el ransomware, es decir, malware que imposibilita o restringe el acceso a un equipo a menos que se satisfaga un rescate (extorsión). Recordemos, por ejemplo, la campaña del WannaCry, de importante repercusión mediática. Tampoco podemos olvidar las amenazas de denegación de servicio (DDoS).
Y a este creciente número de amenazas que afectan a la disponibilidad, se suman otros agravantes, como puede ser la existencia de nuevas técnicas de distribución masiva de malware. Y ello sin olvidar que ya no hace falta ser un experto para producir un ataque que pueda generar una indisponibilidad, sino que ya se puede incluso adquirir como servicio: Crime-as-a-Service (CaaS), Ransomware-as-a-Service, servicios de botnet disponibles para ataques DDoS.
Dependencia Tecnológica
La Transformación Digital de las empresas ha traído consigo una mayor dependencia de nuestros sistemas de información, lo cual se traduce en un aumento considerable del riesgo de sufrir ciberataques, particularmente incidentes disruptivos, como pérdida de datos cruciales.
La Continuidad Pasa de la Acción Puntual a la Estrategia Global
Todo apunta a que las organizaciones deberían plantearse un nuevo enfoque de la continuidad de forma que, no solo consista en tener mecanismos de copias de seguridad, sino en disponer de una estrategia de respaldo y recuperación alineadas con el entorno actual (nuevas amenazas y requisitos legales) y las necesidades del negocio.
Plan de Contingencia
En primera instancia, las organizaciones deben abordar la realización de un Análisis de Impacto en el Negocio (BIA) en el que se calculen los daños causados a la organización por la indisponibilidad de recursos ante un incidente disruptivo en función del tiempo y, en base a los resultados de este análisis, determinar los tiempos máximos de recuperación.
Según cuales sean estos tiempos de recuperación, se determinarán las diferentes estrategias de respaldo y recuperación y, por ende, el Plan de Continuidad (Business Continuity), incluyendo el Plan de Recuperación ante Desastres (por sus siglas en inglés DRP: Disaster Recovery Plan). Es importante que los dueños de los procesos corporativos y la dirección se impliquen en este análisis, ya son ellos quienes tienen los criterios para mejor valorar las consecuencias por indisponibilidad de las operaciones.
Entre las metodologías de análisis de impacto en el negocio cabe destacar MAGERIT, que puede abordarse mediante la herramienta PILAR.
Este ejercicio es clave para optimizar la inversión en Continuidad, puesto que se recuperarán los recursos en la medida en que no sea más costoso recuperarlos que lo que se pierda por la indisponibilidad de los mismos. Al igual que las inversiones en seguridad deben abordarse conforme a riesgos, en el caso de la continuidad las inversiones de respaldo y recuperación debe realizarse conforme a impactos por indisponibilidad.
Gestión de la Continuidad
Activar el Plan de Continuidad no es suficiente, es necesario un mantenimiento y mejora continuos si no queremos que estos mecanismos dejen de ser efectivos con el tiempo.
Y para gestionar la continuidad es preciso un marco de gestión que contemple todo el ciclo de vida (planificación, implementación de planes, pruebas, mejoras) y todo ello sin dejar de lado la formación y concienciación de los implicados, así como la participación activa y soporte de la dirección.
La gestión puede basarse en el estándar internacional ISO 22301, que contempla el mencionado ciclo (ciclo PDCA: Plan, Do, Check, Act) y, además, su cumplimiento es certificable por una entidad acreditada.
La Respuesta Tecnológica a la Continuidad
El mercado tecnológico, consciente de las crecientes necesidades de ciberresiliencia, también ofrece soluciones de continuidad mucho más avanzadas y sofisticadas que las que había hace algunos años. Desde la realización de copias de seguridad en modalidad cloud a la contratación online de plataformas de respaldo en tiempos récord.
Claves de la Continuidad
Estrategia de respaldo y recuperación: Basada en un análisis de impacto en el negocio en el que se implique la dirección.
Cumplimiento estándares: Una adecuada consideración de los requisitos normativos o estándares relacionados con la continuidad.
Estrategia de gestión: Un adecuado marco de gestión que abarque todo el ciclo de vida (Plan, do, Check, Act).
Con ello garantizaremos la minimización del impacto que un incidente disruptivo pueda causar en la continuidad de nuestras operaciones, a la vez que optimizaremos los costos asociados a los mecanismos empleados para implementar dicha continuidad.
