Ciberresiliencia en lugar de perfección: por qué la seguridad al 100 por cien es una ilusión peligrosa

Ninguna empresa puede prevenir cada ataque. Esta constatación no es derrotismo, sino el punto de partida para una estrategia de seguridad realista. La ciberresiliencia no se centra en lo imposible – la prevención exhaustiva – , sino en lo factible: detección rápida, contención eficaz y recuperación ágil.

En resumen

• El marco de ciberseguridad NIST 2.0 añade «Recuperar» como pilar equivalente
• El 76 por ciento de las empresas sufrió al menos un ataque exitoso en 2021 (Sophos)
• El tiempo medio de recuperación (MTTR) determina el daño total
• Enfoque de resiliencia: Assume Breach – planificar para el caso, no contra él

La prevención por sí sola ha fracasado

Durante décadas, la industria de la seguridad ha vendido la promesa: compre este producto y estará seguro. La realidad desmiente esto cada día. El 76 por ciento de las empresas fue atacado con éxito en 2021 a pesar de disponer de cortafuegos, antivirus y formación en concienciación.

El problema no es la falta de tecnología, sino un paradigma erróneo. Quien invierte todos sus recursos en prevención y ahorra en detección y recuperación, queda incapacitado en caso de emergencia.

El modelo de resiliencia: Prevenir, Detectar, Responder, Recuperar

La ciberresiliencia distribuye las inversiones en cuatro pilares: prevención (reducción de la superficie de ataque), detección (identificación de anomalías en minutos en lugar de meses), respuesta (contención y forense) y recuperación (restablecimiento rápido del funcionamiento empresarial).

La pregunta crítica ya no es «¿Podemos prevenir un ataque?», sino «¿Qué rapidez tenemos para restablecer el funcionamiento normal?». Las empresas con un MTTR inferior a 24 horas reducen el daño medio por incidente en un 60 por ciento.

Ejercicios de simulación: ensayar el caso de emergencia

La resiliencia se construye mediante la práctica. Los ejercicios de simulación (tabletop exercises) recrean escenarios – ransomware un viernes por la noche, exfiltración de datos por un insider, fallo del proveedor cloud – y ponen a prueba la capacidad de respuesta del equipo sin riesgo real.

La conclusión tras cada ejercicio: los planes que no se han probado no funcionan en una situación real. Las vías de comunicación son confusas, los responsables de decisiones no están disponibles, y la restauración de copias de seguridad tarda más de lo esperado.

Continuidad del negocio como disciplina de seguridad

La resiliencia conecta la seguridad informática con la continuidad del negocio. Un ataque de ransomware no es solo un problema de TI: afecta a la producción, ventas, comunicación y cumplimiento normativo. La respuesta requiere coordinación entre TI, dirección, legal y comunicación.

La norma ISO 22301 (gestión de la continuidad del negocio) ofrece el marco adecuado. Las empresas que integran BCM y seguridad demuestran una mayor resiliencia que aquellas que gestionan ambas áreas por separado.

Datos clave

Tasa de ataques: 76 por ciento de las empresas atacadas con éxito en 2021

Efecto del MTTR: Un MTTR inferior a 24 horas reduce los costes del incidente en un 60 por ciento (IBM)

Rentabilidad de los ejercicios de simulación: las organizaciones con ejercicios regulares ahorran 2,66 millones de USD por incidente (IBM)

Preguntas frecuentes

¿Es la resiliencia más cara que la prevención?

No – se trata de una redistribución, no de costes adicionales. En lugar de invertir el 80 por ciento del presupuesto en prevención, se recomienda una distribución 40/20/20/20 entre Prevenir/Detectar/Responder/Recuperar.

¿Cómo mido la resiliencia?

KPIs: tiempo medio de detección (MTTD), tiempo medio de respuesta (MTTR), tiempo medio de recuperación (MTTR-R), objetivo de punto de recuperación (RPO) y objetivo de tiempo de recuperación (RTO). Hay que probarlos y documentarlos regularmente.

¿Necesito un SOC para ello?

Para Detectar y Responder, sí – interno o como SOCaaS. Para Recuperar, necesita copias de seguridad probadas, procedimientos de restauración documentados y planes de continuidad del negocio.

Artículos relacionados

• Centro de operaciones de seguridad como servicio: por qué SOCaaS tiene sentido para pymes
• Por qué la formación en concienciación en ciberseguridad falla – y qué funciona en su lugar
• Presupuestos de ciberseguridad 2024: en qué invierten los CISO – y en qué recortan

Más contenido de la red MBF Media

• Cloud Magazin – Cloud, SaaS e infraestructura TI
• myBusinessFuture – Digitalización, IA y negocio
• Digital Chiefs – Liderazgo estratégico a nivel C

Fuente de imagen: Pexels / Engin Akyurt

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow