La ciberresiliencia es un elemento con una importancia cada vez mayor en la estrategia de ciberseguridad de las organizaciones. ¿En qué situación se encuentran las empresas en este aspecto? ¿Es una realidad o aún un deseo?
Las empresas cada vez son más conscientes de los riesgos e impactos que supone un incidente de seguridad, aunque aún queda mucho camino por recorrer. Por ejemplo, aún no se tienen en cuenta muchas derivadas del incidente: el impacto reputacional, la gestión de las comunicaciones internas y externas, la imagen de marca, la relación con proveedores, etcétera.
¿Qué elementos debe reunir una organización para considerarse ciberresiliente?
Una organización debe entender que los incidentes de seguridad son parte del día a día y que debe estar preparada para afrontarlos de la manera más eficiente y organizada.
La Unión Europea ha publicado recientemente la Directiva de resiliencia de las entidades críticas. ¿Cuáles son las principales novedades que trae consigo esta nueva legislación y cuál es su opinión al respecto?
En mi opinión, creo que la principal novedad de la Directiva de resiliencia de las entidades críticas es que el alcance crítico se amplía a los sectores y los tipos de entidades más acordes a la realidad en la que vivimos. Asimismo, es más estricta en los controles de los riesgos de seguridad, adaptándose a los mecanismos que realmente son necesarios si no queremos sufrir el mayor de los impactos cuando los cibercriminales entren en nuestra organización.
Te interesa: Ciberresiliencia: la última línea de la ciberdefensa.
Otra normativa que acaba de llegar es el Reglamento DORA, la cual refuerza la ciberresiliencia del sector financiero. ¿Qué beneficios conlleva su llegada e implementación tanto para la industria financiera como para sus usuarios?
Desde mi punto de vista, creo que, hasta ahora, a nivel de entidades financieras había cierta incoherencia entre ámbitos regulatorios que funcionaban de manera aislada y, como comentaba, de manera un tanto incoherente. Por ejemplo, la Directiva NIS, las regulaciones propias de la Unión Europea en el sector financiero y las que a nivel cíber se marcaban en los países iban en direcciones divergentes.
Estas armonizaciones deberían aportar más estabilidad al sector financiero frente a ciberataques y, por tanto, más tranquilidad para las empresas y el usuario de a pie. Esto se debe a que el financiero es el que hace de rueda de muchos otros sectores, los cuales acaban repercutiendo en las personas y en su día a día.
¿Cómo ayuda S21sec a las organizaciones a conseguir un nivel óptimo de ciberresiliencia?
En S21sec se muestra el riesgo real de un ciberataque de manera numérica y realista. Tenemos mucha experiencia en la gestión de incidentes críticos mediante nuestro equipo de DFIR (Digital Forensics and Incident Response), además de que explicamos a nuestros clientes el impacto de incidentes críticos reales a los que hemos tenido que hacer frente. Esta es la mejor manera de entender ante qué nos estamos enfrentando realmente: entendiendo y viendo cómo es realmente el lobo.
Por ejemplo, a veces, cuando leemos en los medios la doble extorsión en un ataque de ransomware, vemos que todavía estamos muy atrás en el pasado. Los ataques modernos pueden provocar hasta tres o cuatro tipos distintos de extorsión a la víctima, y esto es algo que como organización hemos de entender para prepararnos y hacer frente.
