La realidad de las amenazas actuales
La única constante es el cambio. Los profesionales de la ciberseguridad lo saben, y ciertamente nadie se adentra en esta industria esperando calma.
Pero el aumento en la cantidad, sofisticación y velocidad de las amenazas y ataques es implacable, y se está volviendo inmanejable.
Situación crítica en América Latina
De acuerdo con el World Economic Forum (WEF), en comparación con las demás regiones del mundo, América Latina es la región donde menos directivos de TI, Seguridad de la Información y Negocios se sienten confiados (14%) o muy confiados (4%) de que su país esté bien preparado para responder a incidentes cibernéticos mayores dirigidos a su infraestructura crítica.
En contraparte, el 42% de ellos no confían en absoluto. Con esto, la región se “gana” el nada honroso primer lugar en esta materia, incluso por encima de África, donde el 36% no confían, mientras que el 27% están confiados y el 9%, muy confiados. La preocupación alrededor del tema no es gratuita.
El impacto de la inteligencia artificial
Elementos como la evolución de la IA, que ha pasado de ser una amenaza teórica a convertirse en un arma práctica; la alarmante sofisticación de las técnicas de phishing, y el uso de chatbots para el desarrollo de código malicioso a medida, que está innovando a un ritmo muy acelerado, echan aún más leña al fuego.
Cuidado con la falsa sensación de seguridad. Que la regulación no se ha quedado de brazos cruzados, es una excelente noticia, pero hay que ser cautelosos.
Marcos regulatorios y cumplimiento
A favor de los responsables del cumplimiento hay que decir que contamos ya con importantes normativas enfocadas en la resiliencia de datos, como NIS2 y DORA, que surgieron en la Unión Europea (UE) aplicándose a sectores críticos como Energía, Transporte, Banca, Salud e Infraestructura Digital.
NIS2 tuvo un impacto especial, consagrando la resiliencia como una responsabilidad ineludible de la alta dirección. En cuanto a DORA, si bien se limita a los servicios financieros, aborda algunos de los problemas más urgentes, como el riesgo de terceros.
Gestión de riesgos organizacionales
Las regulaciones también introdujeron nuevos estándares para la gestión y mitigación de riesgos organizacionales, y particularmente para la notificación de incidentes, un aspecto fundamental ante el aumento de los ataques.
Que las organizaciones ya no pueden relegar la resiliencia a un segundo plano, es un hecho: hoy en día, la alta dirección debe gestionar activamente los riesgos de la seguridad cibernética, y lograr convertirla en una prioridad empresarial, a la par de la estrategia de negocios y las ventas y ganancias.
Más allá del cumplimiento normativo
Pero aun en el caso de que las empresas logren aplicar las medidas indicadas en las reglamentaciones para desarrollar una resiliencia de datos madura, capaz de soportar las presiones actuales de los ciberdelincuentes, una cosa es cierta: estar en cumplimiento no es lo mismo que estar seguro.
Mantenga la calma; la resiliencia sí es posible. En la actualidad, la seguridad empresarial está justo en medio de una tormenta perfecta.
Desafíos frente a nuevos atacantes
Mientras las grandes organizaciones están creando una falsa sensación de seguridad en las empresas, nuevos atacantes emergen con herramientas nuevas y optimizadas.
Además, centrarse en el cumplimiento normativo lleva al riesgo de que los negocios se confundan y oculten el verdadero alcance de las mejoras que podrían implementarse en la resiliencia de sus datos.
Modelos de madurez y recuperación
En momentos como éste, la mejor opción para las compañías es enfocar su atención hacia adentro. En este sentido, hay dos pasos cruciales para acercarse hacia la resiliencia: el primero es aprovechar los Modelos de Madurez de Resiliencia de Datos (DRMM), con los que las organizaciones pueden no sólo comprender mejor su nivel actual de resiliencia de datos, sino también crear una ruta para optimizarlo.
En vez de analizar cada aspecto de la resiliencia de datos por separado, estos modelos los integran, concentrando los esfuerzos y creando una corriente que beneficia a todos, en lugar del típico enfoque fragmentado de la resiliencia. El segundo consiste en prestar atención especial a la recuperación, sobre todo ahora que los ataques son más frecuentes e impredecibles que nunca.
Estrategia de largo alcance
Si bien una resiliencia de datos madura siempre debe ser el Plan A, es necesario que el Plan B, de recuperación, esté igual de desarrollado, o incluso más. La resiliencia de datos es un proceso que no se completa de la noche a la mañana, sino que es más bien una carrera de largo alcance.
Analice cuánto tardaría su empresa en recuperarse ante un ataque, y si el negocio no podría esperar tanto, quizás necesite revisar su plan de recuperación antes de que le caiga encima la tormenta.
