En un mundo en el que cada vez es más importante para las empresas protegerse de ciberataques de todo tipo, el término ciberresiliencia empieza a escucharse con bastante fuerza. En función de las conversaciones y los contextos en las que lo escuches, podrás hacerte una ligera idea de a qué se refiere. Pero es probable que no tengas un conocimiento a fondo de lo que implica. Tampoco de las leyes que están a punto de entrar en vigor en la UE relacionadas con ella.
Por concretar, la ciberresiliencia es la capacidad de una empresa o una entidad para conseguir que su negocio o actividad siga creciendo a través de la preparación, respuesta y recuperación ante ciberamenazas de todo tipo. Una entidad que se preocupe por cuidar su ciberresiliencia tendrá más facilidades para solventar crisis y estar preparada frente a amenazas y peligros online, tanto de los conocidos en la actualidad como de los que acechen en el futuro. No solo ciberataques, sino también a ciertas situaciones de volatilidad financiera o a distintos tipos de crisis.
¿Qué es la ciberresiliencia?
La ciberresiliencia empresarial es la capacidad que tiene una organización para afrontar los riesgos y ataques cibernéticos que puedan afectarle, resistir ante un ataque y recuperarse de él. Cuanto más resistentes sean las organizaciones a los ciberataques, y de manera más rápida y segura se recuperen de ellos, más ciberresilientes serán. Además, se acercarán más a su objetivo: mantener la seguridad de los datos y la protección de las operaciones comerciales, y por tanto de la continuidad de la empresa.
Para mejorar en ciberresiliencia es imprescindible poner en marcha una estrategia específica, con base en la integración y suma de varias acciones para mantener o restaurar la continuidad operativa cuando se da una interrupción causada por un fallo o por un ciberataque. Gracias a la puesta en marcha de esta estrategia, se podrá identificar con rapidez un ataque para contenerlo con rapidez, al mismo tiempo que se prepara la mejor manera para recuperarse del mismo y estar inoperativa durante el menor tiempo posible.
Entre las ciberamenazas a las que puede estar expuesta una organización está la filtración y el secuestro de datos, la eliminación de bases de datos y el robo de identidad.
Ventajas de poner en marcha un plan de ciberresiliencia
La preparación de un plan de ciberresiliencia no se limita a la contención de los ataques actuales, sino que también prepara a la organización para combatir los futuros. Dado que los sistemas para cometer delitos cibernéticos están en continua evolución, por muy buenos que sean estos planes, no es posible ser inmune a ellos. Por eso el plan debe revisarse cada cierto tiempo.
Además, es aconsejabl contar con medidas de seguridad adecuadas, y hace tiempo que los antivirus convencionales se quedaron desfasados. Es mejor contar con herramientas que protejan la mayor cantidad posible de superficie de ataque, y que proporcionen protección tanto en los sistemas locales centrales como en el edge y, a ser posible, en la nube.
La combinación de estos sistemas con un plan de ciberresiliencia aportan numerosas ventajas. Entre ellas, la rebaja de las probabilidades de caer víctima de un ciberataque. Esto lleva también a una caída de las pérdidas económicas que provocan los ciberataques. Cuantos menos ciberataques, menores pérdidas de dinero, y también mejor reputación, ya que la empresa no verá su imagen afectada por la pérdida de datos propios o de sus clientes.
Por otro lado, el negocio sufrirá menos interrupciones si sufre menos ciberataques, pero también si la organización tiene más capacidad para recuperarse de los que la afecten. Cuanto más rápido se recupere, menos interrupción sufrirá su servicio, e incluso puede que no se vea afectado en absoluto. Así, consigue ventaja además frente a su competencia en caso de que no estén tan preparados para hacer frente a las amenazas.
Qué hacer para que una empresa sea ciberresiliente
Para conseguir que una organización sea ciberresiliente es necesario no solo poner en marcha un plan para ello, como hemos visto, sino también concienciarse de que por muchas medidas que se tomen, no es inmune a los ataques y, por tanto, hay que estar pendientes y vigilantes siempre de lo que sucede en los sistemas de la empresa y en los de terceros que haya información de la misma.
Además, es conveniente poner en marcha un plan de acción en caso de que un ciberdelincuente consiga robar datos, para tener claros los pasos a seguir en este caso. También dotar a los miembros de los distintos equipos de trabajo de las habilidades necesarias para evitar un ciberataque y para saber cómo actuar en caso de sufrir uno. También hay que elaborar un plan de contingencia para detallar los pasos a dar en caso de ataque y mitigar sus daños.
Es necesario mantener una monitorización constante del sistema para identificar ataques y vulnerabilidades lo antes posible, y crear copias de seguridad de manera periódica para poder utilizarlas en caso de pérdida de información. Con estas copias, es necesario probar cada cierto tiempo si funcionan, mediante simulacros de restauración de datos. Y siempre tener claro que todos los planes que se pongan en marcha tienen que ser revisados de manera periódica para ir adaptándose a medida que cambien los ataques.
La ley de ciberresiliencia de la UE
Dado que la protección contra los ciberataques es un tema muy preocupante no solo para las empresas, sino también para los distintos organismos oficiales de varios países, ya son varios los que se han puesto manos a la obra para aprobar normativas y leyes para fomentar la protección frente a ellos. En la Unión Europea, como consecuencia, se aprobó en septiembre de 2022 la conocida como Ley de Ciberresiliencia, que entrará en vigor este año 2024 y que establece una relación de normas y exigencias que tendrán que cumplir las organizaciones no solo para cumplirla, sino también para estar protegidas.
La ley fija las exigencias en materia de ciberseguridad para los productos digitales, tanto de hardware como de software, a lo largo de todo su ciclo de vida. Como hemos mencionado tendría que entrar en vigor este año, aunque según sus disposiciones hay un periodo de tres años para que las entidades afectadas puedan adaptarse a ella.
Se trata de una normativa que establece requisitos más firmes y estrictos que los observados hasta ahora para la protección frente a ciberataques y riesgos online. Se basa en la implementación de diversas medidas de seguridad para la protección de sistemas e información sensible. Además, los fabricantes tienen que informar de todas las vulnerabilidades e incidentes que sufran, además de tener la obligación de ofrecer actualizaciones de seguridad continuas para sus productos durante un periodo concreto.
Por otra parte, todas las empresas y entidades tendrán que llevar a cabo evaluaciones periódicas de su seguridad, y poner en marcha distintos planes para tener respuesta a los incidentes. Además, entre otras medidas, la Ley de Ciberresiliencia busca que los consumidores tengan garantizada la recepción de información suficiente y detallada de la ciberseguridad de los productos y servicios que compran y usan, lo que llevará a un mayor nivel de confianza y transparencia.
Quizá la medida más visible es la obligación que tienen las empresas y entidades de notificar a las autoridades competentes todos los ciberataques graves que sufran. SI no lo hacen, o no cumplen los requisitos que marca esta ley, pueden recibir una fuerte sanción, que incluso puede llegar hasta los 15 millones de euros o el 2,5% de sus ingresos anuales a nivel mundial.
Esta ley afecta a fabricantes, distribuidores e importadores de cualquier producto digital en los países de la Unión Europea. No solo hardware, también al software con elementos conectados a redes o a los dispositivos que sí estén conectados. También a todos los dispositivos de Internet de las Cosas, cuyos fabricantes tendrán que estar seguros antes de que cumplen unos requisitos mípnimos de seguridad antes de poder venderlos en la UE.
Por tanto, la ley afecta a empresas de todos los tamaños, proveedores de servicios y operadores de infraestructuras consideradas críticas. Especialmente afectados quedarán estos últimos, así como las empresas de ciertos sectores. Son los proveedores de servicios a terceros, las empresas de energía, las de transporte y las de salud. Estas tendrán que adoptar medidas centradas en proteger la seguridad de los datos de sus clientes.
