Red Seguridad 095

72 red seguridad cuarto trimestre 2021 opinión El término ciberresiliencia ya no suena extraño. Aunque solo sea porque el con- cepto de resiliencia pasó a ser un término conocido por el gran público “gracias” al COVID-19, la realidad es que, hoy en día, prácticamente cualquier profesional re- lacionado con el sector TIC es capaz de entenderlo. También es evidente que la prolifera- ción de ataques y secuestros informáti- cos ha contribuido a que todo el mundo sea más consciente de qué significa este término. ¿Quién es el profesional del sec- tor que no tiene un conocido (o incluso él mismo) que haya sufrido las consecuen- cias de un ataque de ransomware exito- so? Lamentablemente, como se dice en el mundo de la ciberseguridad, la pregun- ta no es si vas a ser atacado, sino cuándo lo serás; una expresión que cada vez se pone más de manifiesto. Sin embargo, aunque las organiza- ciones están –en su mayoría– concien- ciadas con esta realidad, muchas otras parecen empeñadas en negarla. Pese a que los profesionales del sector recono- cen que tarde o temprano les acabará tocando, parecen hacer caso omiso de sus propias certezas y siguen actuando, en términos de ciberseguridad, como si a ellos nunca les fuera a pasar. ¿A qué se debe esa dicotomía? Cambio de mentalidad Uno de los principales motivos por los que creo que las organizaciones, en su gran mayoría, no están trabajando su ciberresiliencia es la crudeza de las asun- ciones que hay detrás de ese cambio de paradigma. Hoy en día, las organizacio- nes siguen empeñadas en protegerse, en reducir la probabilidad de éxito de un posible ciberincidente. Para ello, invierten dinero, tecnología y horas en acotar todo lo posible esa superficie de exposición. Pero, probablemente, se olvidan de dos leyes que en ciberseguridad tienen mu- cho que decir: la de Pareto y la de Mur- phy. La primera, totalmente objetiva y ma- temática, nos debería recordar que, una vez alcanzado un determinado nivel de ci- berprotección, mejorarlo requiere una in- versión que en muchas ocasiones puede no justificarse, reconsiderando la relación coste-beneficio de dicha actuación. Y la segunda, totalmente subjetiva pero de- mostrada empíricamente en multitud de ocasiones), que, como la seguridad total no existe, da igual cuánto queramos ele- var nuestro nivel de ciberprotección, por- que tarde o temprano nos encontraremos ante una situación que explote aquellos niveles imposibles de cubrir. Por ello, el punto de partida de la ci- berresiliencia es asumir el fracaso de la estrategia de ciberprotección. Por mucho que invirtamos, no vamos a ser capaces de proteger totalmente a la organización. Lo seremos hasta cierto punto, pero no hasta el nivel que desea la alta dirección (aunque este hecho no será evidente has- ta después de haber sufrido un ciberata- que significativo). No obstante, trasladar a la alta dirección este fracaso “por defecto” no es un paso sencillo, pero sí un paso imprescindible para empezar a avanzar en la estrategia de ciberresiliencia. Porque, si no somos capaces de proteger a la organización, ¿qué podemos hacer? Ese momento de incertidumbre debe durar lo suficiente como para que cale el mensaje: tendre- mos que aclarar que no todo está perdido y que la ciberresiliencia es una solución todavía mejor que la ciberseguridad. Alcance El objetivo de la ciberresiliencia es que a la organización “no le importe” sufrir cibe- rincidentes. Al igual que con la cibersegu- ridad, el cien por cien es inalcanzable; un buen grado de ciberresiliencia va a dejar a los consejos de administración mucho más tranquilos acerca de la eficacia de las inversiones realizadas. Sin embargo, lograrlo no es un camino de rosas... Lo que debemos tener claro es que lo- grar un buen nivel en nuestra capacidad Ciberresiliencia: la última línea de la ciberdefensa J oseba E njuto Head of Consulting Departement de S21sec