Opinión
Mikel Rufian_Bidaidea
Mikel Rufián Albarrán Director global de Ciberseguridad & Inteligencia Bidaidea

Ciberresiliencia, evaluación de impacto, ley y desafío para el tejido empresarial europeo

Ciberresiliencia empresarial

Los productos de hardware y software son cada vez más objeto de ciberamenazas, ciberriesgos y oportunidades, lo que da lugar a un coste anual mundial estimado de la cibercriminalidad de 5,5 billones de euros. De ahí que adquiera una importancia notoria la ciberresiliencia, un concepto que engloba continuidad de negocio, seguridad de los sistemas de información y operación y resiliencia de la organización.

Para conocer si la organización está gestionando correctamente la ciberresiliencia, existen modelos que miden y mejoran su estado, desde la inexistencia hasta el estado óptimo de en sus funciones y procesos.

La propuesta de Reglamento sobre los requisitos de Ciberseguridad de los productos con elementos digitales, conocida como la Ley de Ciberresiliencia, refuerza las normas de ciberseguridad para garantizar unos productos de hardware y software más seguros. De hecho, disponer de una estrategia de ciberresiliencia es vital para la continuidad de negocio. Las ventajas que aporta no se limitan al aumento de la postura de seguridad de la organización y a la reducción del ciberriesgo de exposición de su infraestructura esencial: también ayuda a reducir las pérdidas económicas y los daños a la reputación. Si una organización pública o privada recibe una certificación en ciberresiliencia, infunde confianza en sus clientes. Y si es ciberresiliente, puede optimizar el valor que crea para sus consumidores y aumentar su ventaja competitiva mediante operaciones efectivas y eficientes.

Cinco pilares ciberresiliencia. Recurso de Bidaidea

Problemas

No en vano, los productos anteriormente mencionados sufren dos problemas importantes que añaden costes para los usuarios y la sociedad. Primeramente, un bajo nivel de ciberseguridad, reflejado en vulnerabilidades generalizadas y la provisión insuficiente e incoherente de actualizaciones de seguridad para abordarlas. Y en segundo término, una comprensión y un acceso insuficientes a la información por parte de los usuarios, lo que les impide elegir productos con propiedades de ciberseguridad adecuadas o utilizarlos de manera segura.

Si bien la legislación vigente sobre el mercado interior se aplica a determinados productos con elementos digitales, la mayoría de los productos de hardware y software no están actualmente cubiertos por ninguna legislación de la Unión Europea que aborde su ciberseguridad. En particular, el actual marco jurídico de dicho territorio no aborda la ciberseguridad de los programas informáticos no integrados, aunque los ataques de ciberseguridad se centren cada vez más en las vulnerabilidades de estos productos, lo que genera importantes costes sociales y económicos.

En este sentido, se han identificado dos objetivos principales destinados a garantizar el correcto funcionamiento del mercado interior:

  • Crear las condiciones para el desarrollo de productos seguros con elementos digitales garantizando que los productos de hardware y software se introduzcan en el mercado con menos vulnerabilidades y confirmar que los fabricantes se toman en serio la seguridad a lo largo de todo el ciclo de vida de un producto.
  • Facilitar las condiciones que permitan a los usuarios tener en cuenta la ciberseguridad a la hora de seleccionar y utilizar productos con elementos digitales.

Además, se han establecido cuatro objetivos específicos:

  • Garantizar que los fabricantes mejoren la seguridad de los productos con elementos digitales desde la fase de diseño y desarrollo y a lo largo de todo el ciclo de vida.
  • Respaldar un marco coherente de ciberseguridad, facilitando el cumplimiento por parte de los productores de hardware y software.
  • Aumentar la transparencia de las propiedades de seguridad de los productos con elementos digitales.
  • Permitir a las empresas y a los consumidores utilizar productos con elementos digitales de forma segura.

Indicadores de ciberresiliencia

De todas formas, y continuando con la ciberresiliencia, ésta no se puede establecer en todas las organizaciones de la misma manera debido a la gran cantidad de entidades diferentes. No obstante, es fundamental adaptarla debido al número de ciberataques que se producen hoy en día. Para ello se puede aplicar un conjunto o clase de prácticas y tecnologías destinadas a alcanzar uno o varios objetivos. Por ejemplo, 14 técnicas forman parte del marco de ingeniería de la ciberresiliencia del NIST.

Como dicta el marco de indicadores de ciberresiliencia del MITRE, persigue estos cuatro objetivos:

  • Anticipar (A). Anticiparse es mantener un estado de preparación informado para prevenir que los atacantes consigan comprometer las funciones de la organización. Implica el cumplimiento de tres objetivos: predecir, prevenir y preparar.
  • Resistir (T). Resistir es continuar con las funciones esenciales de la misión/negocio a pesar de un ataque por parte de un adversario. Alcanzar esta meta implica cumplir dos objetivos: “luchar” contra un ataque o mantener las funciones esenciales en presencia de las acciones del adversario; y contener o mitigar las acciones del adversario.
  • Recuperar (R). Recuperar es restaurar las funciones de la misión/negocio lo antes posible tras la ejecución exitosa de un ataque por parte de un adversario. Su cumplimiento implica la consecución de tres objetivos: determinar los daños, restablecer las capacidades y determinar la fiabilidad.
  • Evolucionar (E). Evolucionar es cambiar las misiones/funciones empresariales y/o las cibercapacidades de apoyo con el fin de minimizar los impactos adversos de los ataques reales o previstos de los adversarios. Este objetivo debe alcanzarse en el contexto de los cambios del entorno y conlleva dos metas: transformar los procesos y los comportamientos existentes y, en segundo término, una rearquitectura.
Cuadro de Bideidea
Metas de la ciberresiliencia según el modelo IMC.

Importancia

Las medidas de seguridad tradicionales no son suficientes. Los avances en la ingeniería social, así como en el software malicioso y la detección de vulnerabilidades de los sistemas, permiten a los atacantes infiltrarse rápidamente en los sistemas de información y de operación de las organizaciones. Por tanto, detectar con antelación las brechas de seguridad y disponer de procedimientos para una mejor respuesta y recuperación tras un incidente es fundamental.

Este tipo de iniciativas para la medición de los indicadores y la mejora de la ciberresiliencia proporcionan una visión global del estado de la resiliencia del tejido empresarial europeo sobre un amplio abanico de organizaciones, servicios esenciales, otras entidades estratégicas y numerosos sectores (turístico, industrial, asociaciones…).

Comprender los desafíos de la ciberseguridad a los que se enfrenta el tejido empresarial Europeo es, en definitiva, una necesidad. Todas las organizaciones están igualmente expuestas a sufrir ciberincidentes, tanto externos como internos, pero lo más importante es poder darles las herramientas con las que analizar sus defensas y vulnerabilidades, así como las recomendaciones necesarias para implementar medidas de protección efectivas y de una forma proactiva.

Imagen recurso de Bidaidea.