La resiliencia empresarial es un concepto utilizado para hablar de la capacidad de las compañías para poder mantener su continuidad operativa ante cualquier incidente producido por factores internos o externos.

En ese contexto, cada vez se ha hecho más común un término que va en la misma línea, aunque apunta específicamente al ámbito digital: la ciberresiliencia o resiliencia cibernética.

La idea cobra especial importancia en medio de la transformación digital que han experimentado las organizaciones en todo el mundo. Las amenazas de ciberseguridad se han complejizado y han pasado a ser uno de los mayores riesgos de las empresas, y saber abordarlas de una manera correcta puede ser una de las mayores virtudes.

“Normalmente en ciberseguridad se hablaba de que tú tenías que estar totalmente protegido. O sea, tenías que impedir que entraran los ciberatacantes y que se generara inestabilidad en tu empresa. Sin embargo, ese enfoque ha cambiado hacia el de ciberresiliencia: asumir que las empresas van a ser atacadas, pero que lo importante es ver cuáles son las acciones que se van a aplicar para poder seguir operando y que se pueda erradicar esa amenaza en un tiempo razonable para que el negocio se vea mínimamente afectado”, explica Juan Pablo Arias, gerente de Ingeniería en Fortinet Chile.

Hoy en día, algunas de las amenazas más comunes que pueden poner a prueba esta resiliencia son el phishing, donde se intenta obtener información de manera fraudulenta; el ransomware, donde hay un secuestro de la información y la petición del pago de un rescate para devolverla; y el malware, que tiene que ver con distintos tipos de infecciones que pueden entrar a los sistemas.

De todos modos, hay otros elementos que también pueden poner en jaque la continuidad operativa y que no se originan en ataques. Por ejemplo, un aumento sustancial del flujo de visitantes a una tienda online debido a un cyber day, o al sitio de una universidad en período de matrículas.

Ante todos estos escenarios, que una empresa demuestre ser ciberresiliente no solo genera los beneficios obvios de poder continuar con sus funciones, sino que también transmite una buena imagen.

“Da confianza a quienes les estás entregando un servicio, Hay servicios que hoy en día son vitales para el funcionamiento del país, como los sistemas de salud o de la banca. Incluso muchos de ellos tienen regulaciones que los obligan a tener una cierta disponibilidad a sus clientes”, señala Charly Leiva, Cloud Engineer de Oracle.

Aunque los ejemplos mencionados tienen que ver con servicios de gran envergadura, Rodrigo Fernández, gerente de Ciberseguridad de EY, asegura que el enfoque de ciberresiliencia es útil para todo tipo de empresas.

“Habitualmente las compañías creen que porque ellos no han tenido incidentes de gravedad están fuera del rango o de la mirada de los ciberdelincuentes. Y eso es un error, porque en cualquier momento esto puede ocurrir. Muchos casos de ataques se concretan cuando ya llevan meses dentro de la organización, revisando y analizando información”, dice.

Una empresa que quiera alcanzar la resiliencia cibernética tiene que enfocarse en potenciar tres ámbitos distintos. El primero es probablemente el más evidente y tiene que ver con lo tecnológico. Esto implica que todas las herramientas implicadas en los procesos de la empresa deberían estar protegidas ante amenazas.

Lo anterior implica, por ejemplo, encriptar datos, autentificar accesos, segmentar las redes, proteger la nube y contar con copias de seguridad y sistemas de respaldo, entre muchos otros.

“Las empresas de telecomunicaciones, por ejemplo, han adoptado muchos controles a nivel de Gobierno Corporativo, Procesos y Tecnología, que permiten hacer frente a las amenazas de ciberseguridad”, cuenta Roberto Zambrano, gerente de Consultoría y Diseño de Claro empresas. “Esto es relevante para la colaboración con diferentes sectores de la industria y sector público con el fin de potenciar el diagnóstico, prevención y respuesta ante ataques cibernéticos”.

“En Claro empresas, adicionalmente, buscamos ofrecer una serie de servicios y estrategias de ciberseguridad acorde a las necesidades específicas de cada sector. Para lograrlo, hemos establecido alianzas con instituciones especializadas en ciberseguridad, entre ellas las principales marcas de tecnología a nivel global y en servicio con una estrecha colaboración con nuestro socio de negocios Scitum los que en la actualidad, entregan los servicios de ciberseguridad a importantes empresas a nivel mundial”, agrega a modo de ejemplo.

“Es súper importante mirar todos los elementos de la cadena, porque al final mi sistema va a ser tan resiliente como el sistema más débil que yo tenga en esa cadena. Por lo tanto, puede que yo tenga cien servidores, pero si todo eso están conectados a solo un balanceador de carga o a un enrutador de red, si ese enrutador se cae, se cae todo el sistema”, opina Charly Leiva.

El segundo ámbito a mirar es el de las personas, lo que quiere decir que todos los empleados o colaboradores de la empresa tienen que estar al tanto de cómo cuidar la seguridad de la organización.

“Hay que posibilitar que el personal que trabaja en la compañía pueda tener una concientización y una formación en ciberseguridad, de forma tal de que ellos mismos identifiquen cuáles son las posibles amenazas y las alerten de manera temprana”, apunta Rodrigo Fernández.

Las capacitaciones a empleados no pueden ser algo puntual, sino que tienen que ser constantes y hacerse cargo de los nuevos desafíos que vayan surgiendo.

“Hay un panorama de amenazas evolutivas, donde los ciberatacantes van perfeccionando sus estrategias para ser efectivos. Por lo mismo, la estrategia ciberresiliente tiene que comprender la mejora continua, o sea, la capacitación tiene que ser consistente, efectiva y adaptándose a las nuevas amenazas”, dice Juan Pablo Arias.

El último foco debería estar puesto en los procesos internos de cada empresa en caso de sufrir un ataque o incidente. La respuesta tiene que ser rápida y enfocada en mantener la continuidad operativa, por lo que una de las opciones más utilizadas es la de seguir un Disaster Recovery Plan.

Los expertos consultados en esta nota coinciden que en Chile cada vez hay una mayor conciencia de lo importante que es que las empresas sean ciberresilientes, aunque aún hay trabajo por hacer en algunas áreas.

“En Chile igual existe mucha obsolescencia de sistemas y es ahí donde actualmente vemos que entran los ataques porque los sistemas son viejos y entonces no están protegidos a los nuevos ataques. Por eso es súper importante estar constantemente actualizando los sistemas”, apunta Charly Leiva.

Rodrigo Fernández, por su parte, destaca los avances que ha significado la Ley de Ciberseguridad y el trabajo que está haciendo el CSIRT (Equipo de Respuesta ante Incidentes de Seguridad Informática del Ministerio del Interior).

“Las regulaciones de alguna manera ayudan a que las compañías se percaten de la necesidad de proteger la integridad de los datos personales que tienen sus clientes o los servicios en los cuales están operando”, valora.

Juan Pablo Arias se suma a la idea de que cada vez hay más conciencia, aunque también da cuenta de una tarea pendiente. “El tema hoy día está instalado y eso es un gran avance, reflejado, por ejemplo, en que octubre sea el mes de la ciberseguridad. Entonces, hoy día hay una preocupación, pero falta mucho porque justamente hay presupuestos que no están acordes con lo que se requiere”.