Ciberresiliencia. Un concepto que aúna seguridad y negocio
Tabla de contenidos
Las compañías deben contar con estrategias para mejorar su ciberresiliencia y garantizar la continuidad de negocio en caso de que sufran un ataque
Hace unos días, la Policía Nacional de España alertaba sobre una nueva campaña de distribución del célebre ransomware Lockbit Locker, que tiene por objetivo a empresas de arquitectura. Los delincuentes envían a sus potenciales víctimas emails haciéndose pasar por la compañía de fotografía Fotoprix. En estos emails solicitan a las empresas presupuestos para realizar reformas en un local. Con el objetivo de que las compañías puedan elaborar los presupuestos, los delincuentes envían un fichero que teóricamente contiene las especificaciones de la reforma. Sin embargo, al descargarlo y ejecutarlo, se instala el ransomware y los datos sensibles del equipo corporativo acaban siendo cifrados.
Este caso se suma a una infinita lista de ataques contra empresas de todos los sectores económicos, sin importar sus dimensiones o facturación. Y evidencia, una vez más, la necesidad de que los negocios presten especial atención a un concepto cada día más relevante: la ciberresiliencia.
Optimizar la ciberresiliencia frente a los ataques es de vital importancia para que las empresas puedan detectar y responder a las actuaciones hostiles, garantizar la continuidad de negocio, recuperar la normalidad, salvaguardar sus activos y conjugar los objetivos empresariales con los requisitos y necesidades en materia de ciberseguridad.
En este artículo vamos a diseccionar el concepto de ciberresiliencia, presentar el futuro reglamento europeo de ciberresiliencia y destacar la importancia de contratar servicios de ciberseguridad integrales para proteger a un negocio a lo largo del tiempo.
1. ¿Qué es la ciberresiliencia?
El Diccionario de la lengua española contempla dos acepciones para la palabra resiliencia, que nos permiten sentar las bases de lo que significa el concepto de ciberresiliencia y por qué es relevante hoy en día:
- Capacidad de adaptación de un ser vivo frente a un agente perturbador o un estado o situación adversos.
- Capacidad de un material, mecanismo o sistema para recuperar su estado inicial cuando ha cesado la perturbación a la que había estado sometido.
Si trasladamos este concepto al terreno de la ciberseguridad, podemos observar que la ciberresiliencia se refiere, por un lado, a la capacidad que tienen las compañías de adaptar sus estrategias de seguridad al cambiante panorama de amenazas para hacer frente con éxito a los ciberataques, optimizando sus mecanismos y políticas de detección, contención y respuesta. Y, por otro, a la capacidad de garantizar la continuidad de negocio y recuperar la normalidad cuando se produce un incidente de seguridad.
El concepto de ciberresiliencia aúna los planes de seguridad y las capacidades defensivas de una compañía para proteger sus sistemas e información con la salvaguarda de los intereses empresariales. De tal forma que, en caso de que se produzca un incidente de seguridad, la empresa pueda seguir operando de manera efectiva, evitando la parálisis y las consecuencias económicas y reputaciones derivadas de ella. O, por lo menos, pueda retomar sus operaciones empresariales en el menor tiempo posible.
En un contexto como el actual, en el que cada día se detectan nuevas vulnerabilidades que afectan a los activos digitales y los ciberataques son cada vez más comunes, sofisticados y potencialmente dañinos, resulta capital que las compañías dispongan de una estrategia de ciberresiliencia para hacer frente a los riesgos y las amenazas a los que se enfrentan.
2. Características y objetivos de los sistemas ciberresilientes
¿Cuáles son los objetivos que debe perseguir una estrategia de ciberresiliencia? El National Institute of Standards and Technology (NIST) de Estados Unidos diseñó una guía para ayudar a las compañías y a los profesionales de ciberseguridad a desarrollar sistemas ciberresilientes.
En esta guía, el NIST hace hincapié en que toda estrategia de ciberresiliencia debe:
- Centrarse en proteger los elementos y sistemas que soportan misiones y funciones de negocio críticas, de cara a garantizar la continuidad de negocio en caso de incidente de seguridad, aunque ello conlleve sacrificar componentes no críticos.
- Partir de la base de que el entorno de amenazas es cambiante. La tecnología evoluciona a gran velocidad y los actores hostiles desarrollan de forma continua técnicas, tácticas y procedimientos nuevos. Por ello, las estrategias de seguridad de las compañías deben ser capaces de adaptarse a los cambios técnicos y operativos.
- Poner el foco sobre los efectos de las amenazas persistentes avanzadas. Las estrategias de ciberresiliencia deben tener en cuenta todo el panorama de amenazas, pero, sobre todo, han de centrarse en las APT, es decir, las amenazas más sofisticadas y complejas, cuyo impacto en la operatividad de una compañía puede ser mayor y más difícil de mitigar, llegando a afectar seriamente a la continuidad de negocio.
- Asumir que los actores hostiles pueden comprometer los sistemas de una compañía sin ser rápidamente detectados y ser capaces de persistir durante un largo periodo de tiempo en la infraestructura IT de la empresa. Tener en cuenta este escenario hipotético es esencial para diseñar una estrategia de ciberresiliencia integral, cuyas capacidades defensivas estén optimizadas para hacer frente a los escenarios más peligrosos y complejos.
2.1. Objetivos de una estrategia de ciberresiliencia
A partir de estas características básicas de un sistema ciberresiliente, el NIST resume y sistematiza los objetivos fundamentales que deben perseguirse a la hora de mejorar la ciberresiliencia de una empresa:
- Impedir la ejecución exitosa de un ataque.
- Prepararse frente a las posibles acciones hostiles, previéndolas y anticipándose a ellas.
- Conseguir mantener la continuidad de las funciones esenciales de la compañía durante un incidente de seguridad.
- Limitar los daños provocados por un incidente de seguridad.
- Restablecer las funciones y actividades de la empresa tras un incidente.
- Comprender las dependencias y el estado de los recursos en relación con una posible situación adversa.
- Modificar los flujos de trabajo relacionados con funciones esenciales y los planes de respuesta y recuperación ante incidentes que afectan a activos críticos para hacer frente a las amenazas.
- Implementar cambios en las arquitecturas de los sistemas e infraestructuras críticos que soportan funciones esenciales para incrementar su protección.
3. Ciberresiliencia para securizarse frente a los riesgos más comunes y las APT
El ciberataque que describimos al inicio de este artículo visibiliza algunas de las tendencias más comunes del ecosistema de ciberataques actual: campañas de phishing, proliferación de ransomware as a service, ataques a gran escala dirigidos no solo contra grandes compañías, sino también contra pymes…
Gracias a este ejemplo podemos poner en valor la importancia de que toda clase de empresas diseñe e implemente una estrategia para mejorar su ciberresiliencia frente a las tipologías de ataques más habituales.
Sin embargo, como señala el NIST, el concepto de ciberresiliencia adquiere mayor relevancia cuando ponemos el foco sobre las amenazas persistentes avanzadas (APT). Es decir, aquellas amenazas que se caracterizan por:
- El nivel de experiencia, la motivación y los elevados recursos de los atacantes.
- La utilización de diversos vectores de ataque.
- Dirigirse contra targets específicos.
- Los objetivos maliciosos: obtener información confidencial, robar propiedad intelectual, dañar los sistemas de las empresas e, incluso, poner en riesgo la salud de las personas y socavar la reputación y la operatividad de la compañía atacada.
- La duración y evolución de los ataques.
Al tratarse de amenazas altamente sofisticadas y persistentes en el tiempo, requieren que las empresas dispongan de una estrategia de seguridad integral y avanzada para optimizar sus capacidades de detección, respuesta, contención y recuperación.
Dicha estrategia ha de combinar un monitoreo permanente y proactivo para detectar las tácticas, técnicas y procedimientos de los grupos APT, con el fortalecimiento de las capacidades defensivas, por ejemplo, a través de servicios de Red Team que implementen ejercicios de compromiso mediante APT.
4. De DORA a CRA, la ciberresiliencia en el marco normativo europeo
Lograr que las compañías europeas sean cada vez más ciberresilientes es una meta central de la Unión Europea, como demuestra la consolidación de un marco normativo cada vez más exigente. Tal es así que el año pasado se aprobó definitivamente el reglamento DORA, cuyo objetivo es asegurar la resiliencia digital de las entidades financieras de la Unión Europea.
Para lograrlo, el reglamento pone el foco sobre la gestión de los riesgos IT y la realización de pruebas de resiliencia operativa digital a cargo de profesionales de ciberseguridad altamente cualificados. Cabe señalar que DORA sanciona el incumplimiento de las acciones exigidas con sanciones administrativas y medidas correctoras contra los miembros del órgano directivo de la compañía que no cumple con sus obligaciones.
También en 2022, la Comisión Europea hizo pública su propuesta de reglamento de ciberresiliencia, conocido popularmente por sus siglas en inglés: CRA (Cyber Resilience Act).
Este reglamento, que debe ser negociado aún entre el Parlamento y el Consejo, tiene por objetivo principal proteger a las empresas y a los consumidores frente a productos digitales con características de seguridad inadecuadas, contribuyendo a mejorar la ciberresiliencia de las organizaciones frente a ataques contra sus activos digitales.
El borrador actual del reglamento, que debería aprobarse en los próximos meses, contempla cuatro objetivos específicos de la futura norma:
- Garantizar que los fabricantes de hardware y software mejoran la seguridad de sus productos desde el diseño y a lo largo de todo su ciclo de vida.
- Poner en marcha un marco de ciberseguridad coherente que ha de ser cumplido por los productores de equipos y programas informáticos.
- Lograr que los productos digitales sean más transparentes en lo relativo a sus características de seguridad.
- Conseguir que las empresas y los consumidores utilicen productos digitales de forma segura.
4.1. CRA: Sanciones de hasta 15 millones de euros por incumplir los requisitos esenciales
Para ello, se establecen una serie de obligaciones para los fabricantes, incluida la necesidad de realizar una evaluación de riesgos de ciberseguridad al introducir un producto en el mercado común, así como diversos requisitos esenciales de ciberseguridad que se dividen en dos grandes grupos:
- Requisitos relativos a las propiedades de los productos con elementos digitales. Por ejemplo, los productos se han de diseñar y producir de forma segura, han de entregarse con una configuración segura, deben disponer de mecanismos para controlar el acceso no autorizado, han de proteger la confidencialidad e integridad de los datos o han de proteger la disponibilidad de funciones esenciales, incluida la resiliencia frente a ataques de denegación de servicio.
- Requisitos de gestión de las vulnerabilidades. Por ejemplo, identificar y documentar las vulnerabilidades y los componentes de un producto, crear actualizaciones de seguridad para subsanar vulnerabilidades en el menor tiempo posible o realizar pruebas de seguridad periódicas de los productos.
La propuesta de la Comisión Europea, que aún ha de ser modificada y negociada por el Parlamento y el Consejo, contempla multas de hasta 15 millones de euros o hasta el 2,5% del volumen de negocio mundial de las empresas que infrinjan los requisitos esenciales de ciberseguridad.
5. Servicios de ciberseguridad integrales para garantizar la continuidad de negocio
Como hemos ido señalando a lo largo del artículo, las estrategias para mejorar la ciberresiliencia frente a los ataques tienen como misiones prioritarias fortalecer las capacidades defensivas de la organización, garantizar la continuidad de negocio y facilitar la recuperación de la normalidad tras un incidente de seguridad.
Para cumplir estas misiones, resulta imprescindible recurrir a servicios de ciberseguridad avanzados que ayuden a las empresas a detectar y prevenir amenazas, gestionar las vulnerabilidades de su infraestructura IT y optimizar los mecanismos, políticas y planes de seguridad.
Tarlogic Security ofrece a las empresas una solución 360 para mejorar la ciberresiliencia de las compañías, fortalecer la seguridad de sus activos y mantener la continuidad de negocio cuando se produce un incidente de seguridad, aunque se enfrenten a amenazas persistentes avanzadas.
5.1. Pruebas de seguridad, gestión de vulnerabilidades, compromise assessment y formación
- El catálogo de servicios de ciberseguridad y ciberinteligencia de Tarlogic incluye todas las actividades esenciales para desplegar una estrategia de ciberresiliencia eficaz y adaptativa:
- Auditorías de seguridad (DAST, SAST, SCA, SCS) continuas para detectar vulnerabilidades que afectan a los activos del negocio y poder mitigarlas antes de que sean explotadas con éxito.
- Gestión de vulnerabilidades IT, detección de vulnerabilidades emergentes 24×7, pruebas de denegación de servicio (DoS) y riesgo dinámico de ciberseguridad y priorización de amenazas para detectar problemas, priorizar su mitigación y evitar ataques que amenacen la continuidad de negocio.
- Servicios de compromise assessment, para detectar y analizar las actividades maliciosas, aislar los sistemas comprometidos y lograr expulsar a los actores hostiles.
- Actividades de formación y concienciación para los profesionales de una compañía: campañas de ingeniería social avanzada, programación segura, acompañamiento y concienciación de los cargos directivos, formación de los equipos de respuesta y mitigación en nuevas TTP delictivas…
5.2. Mejorar la ciberresiliencia frente a las APT
Más allá contar con una amplia experiencia en el diseño y despliegue de los servicios de ciberseguridad que venimos de desgranar, Tarlogic ha desarrollado una estrategia para mejorar la ciberresiliencia de una empresa frente a las amenazas persistentes avanzadas. Este programa combina servicios de seguridad ofensiva, como los ejercicios de Red Team, con servicios de seguridad defensiva como el Threat Hunting:
- Ataque dirigido contra la organización para desplegar un APT y lograr infectar los sistemas corporativos, controlar los equipos comprometidos y efectuar todas las actividades de impacto acordadas previamente con la empresa para analizar la eficacia de sus mecanismos y políticas de seguridad y mejorar la ciberresiliencia.
- Identificación de oportunidades de mejora de ciberresiliencia ante APT. Los profesionales de Threat Hunting de Tarlogic llevan a cabo una monitorización contante de los principales grupos APT para estudiar sus TTP, lo que les permite disponer de una ingente cantidad de información para diseñar mejoras relativas a la detección de amenazas, la respuesta ante APT, la formación de los equipos de seguridad (Blue Tea, Threat Hunting, SOC) o la madurez de las capacidades defensivas de la empresa.
En definitiva, cada año se producen más ciberataques que causan enormes pérdidas económicas a las empresas a nivel global, sobre todo, cuando se tratan de incidentes de seguridad que afectan a la continuidad de negocio.
Para combatir esta tendencia, las compañías deben poner en marcha estrategias para mejorar su ciberresiliencia frente a los ataques más comunes y, sobre todo, ante las amenazas persistentes avanzadas. Seguridad y negocio deben ir de la mano y los órganos directivos de las compañías deben situar a este binomio en la cúspide de sus prioridades estratégicas. Proteger sus modelos de negocio pasa por contratar servicios de ciberseguridad avanzados, cumplir con el marco normativo y mejorar su postura de seguridad.