De acuerdo con la Instituto Nacional de Estándares y Tecnología (NIST), ciberresiliencia es «la capacidad de anticipar, resistir, recuperarse y adaptarse a condiciones adversas, tensiones, ataques o compromisos en los sistemas que utilizan o están habilitados por recursos cibernéticos». La resiliencia se centra en reducir las consecuencias que podría provocar un ciberincidente. Cuanto más resiliente sea una organización, mayor será su capacidad para recuperarse después de un incidente cibernético o mantener funciones esenciales para la misión en un entorno degradado.
La resiliencia niega a un adversario los beneficios que busca, lo que potencialmente sirve como elemento disuasorio al alterar su análisis de costo-beneficio. Para un municipio o una empresa, por ejemplo, la resiliencia ante un ataque de ransomware proporciona más tiempo y opciones para decidir cómo responder a la demanda del atacante.
Para fortalecer verdaderamente la resiliencia cibernética, el gobierno federal, los gobiernos estatales y locales, las entidades cuasi gubernamentales y el sector privado deben trabajar en estrecha colaboración, particularmente para comprender los vectores cambiantes de la disrupción y los posibles efectos en cascada que una sola entidad puede no ser capaz de anticipar o mitigar.
Como ocurre con cualquier tipo de relación, compartir información y conocimientos es un componente importante de esta colaboración. Evaluar y priorizar las consecuencias para la infraestructura crítica requiere la participación de empresas y gobiernos, particularmente cuando se trata de comprender el impacto total de un incidente cibernético.
Creando una cultura de transparencia
Aunque compartir información es clave, crear una cultura de transparencia no siempre es fácil. Las organizaciones del sector privado a menudo se muestran reacias a compartir información sobre el impacto de los ciberataques porque les preocupa la óptica, la posible responsabilidad y acción regulatoria, y las implicaciones para sus resultados. En algunos casos, las organizaciones pueden tener preocupaciones persistentes sobre la capacidad del gobierno para proteger su información a pesar del excelente historial del gobierno al respecto. Muchas empresas analizan estos costos y creen que superan cualquier beneficio esperado que puedan obtener al compartir información.
Frente a estos costos, será más probable que se comparta información si se considera que promueve la colaboración operativa y la resiliencia. Entidades como Cyber Threat Alliance, que Fortinet ayudó a establecer, ya han demostrado que compartir inteligencia sobre amenazas y trabajar con organizaciones públicas o privadas de inteligencia sobre amenazas puede mejorar la protección de organizaciones de todos los tamaños y en todas las industrias, mejorando la efectividad de toda la industria de la ciberseguridad. Este mismo espíritu de colaboración debe aplicarse a la misión de generar resiliencia. Todos deben trabajar juntos para desbaratar los esfuerzos de los adversarios en tantos puntos como sea posible. Cada individuo y organización en la industria tiene un papel que desempeñar.
Un buen ejemplo de este tipo de colaboración es la Joint Cyber Defense Collaborative (JCDC). En 2021, el Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) estableció JCDC para reunir a entidades públicas y privadas para promover la colaboración operativa mediante la recopilación, el análisis y el intercambio de información procesable para proteger y defenderse proactivamente contra las ciberamenazas. Fortinet es un miembro del JCDC, y esta colaboración es un ejemplo de cómo los sectores público y privado pueden trabajar juntos para mejorar la resiliencia cibernética de nuestra nación. También lo son los modelos de intercambio de información establecidos entre el gobierno y los Centros de Análisis e Intercambio de Información (ISAC) de sectores específicos.
Desarrollar la fuerza laboral cibernética para generar resiliencia
Mantenerse alerta contra los riesgos cibernéticos requiere mucho trabajo y el agotamiento del personal de seguridad es una preocupación clave. Este problema pone de relieve una pieza fundamental para mejorar la resiliencia cibernética. Una fuerza laboral con todo el personal y preparada es esencial para continuar las operaciones a altos niveles durante una crisis prolongada y frente a amenazas cada vez más sofisticadas. Y la preparación debe ir más allá del personal de TI. Como mínimo, todos los empleados deben estar capacitados para seguir protocolos básicos de ciberhigiene. Esta capacitación es importante no sólo para ayudar con la prevención sino también para ayudar con la situación una vez que ocurre un incidente. Una fuerza laboral disciplinada puede tomar medidas para ayudar a contener la situación.
El siguiente paso es capacitar a la fuerza laboral en continuidad de operaciones. Este tipo de capacitación y ejercicios asociados siempre deben incluir un elemento de disrupción cibernética para que los trabajadores estén preparados. Deben ser capaces de gestionar perturbaciones cibernéticas más pequeñas, no sólo incidentes cibernéticos más grandes. Los datos respaldados solo son útiles si el personal sabe cómo acceder a esos datos y trabajar con ellos. De manera similar, se deben implementar planes para pasar a procesos analógicos para garantizar una transición más fluida en caso de interrupciones en la red. Una fuerza laboral bien capacitada puede mantener las luces encendidas y ser más capaz de idear formas innovadoras de generar mayor resiliencia en el futuro.
Un ejemplo de los esfuerzos para abordar esta cuestión es la Estrategia nacional de educación y fuerza laboral cibernética de la Casa Blanca (NCWES), desarrollado por la Oficina del Director Nacional Cibernético como parte de la Estrategia Nacional de Ciberseguridad 2023 para ampliar la fuerza laboral cibernética nacional, aumentar su diversidad y ampliar el acceso a la educación y capacitación cibernética. La implementación de la NCWES ampliará las oportunidades en todo el país para empleos bien remunerados y de clase media en el sector cibernético con compromisos asumidos por organizaciones de los sectores público y privado, incluido Fortinet. Una fuerza laboral sólida y diversa fortalece la resiliencia, permitiendo la innovación y promoviendo la continuidad.
Fortinet apoya al NCWES y, vinculado a esta iniciativa, también está implementando su servicio de capacitación y concientización sobre seguridad de la información personalizado para el sector educativo. Como continuación del compromiso de Fortinet para 2022 de cerrar la brecha de habilidades cibernéticas, esta capacitación está disponible sin costo para los distritos y sistemas escolares K-12 en todo Estados Unidos. Esta iniciativa contribuye aún más al compromiso de Fortinet de formar a 1 millón de personas en ciberseguridad para 2026.
Construyendo hacia la resiliencia
La resiliencia cibernética es un desafío que cruza fronteras políticas, geográficas y tecnológicas. Proteger la superficie de ataque en constante expansión y avanzar hacia una verdadera resiliencia cibernética requerirá una respuesta integrada que involucre tanto al gobierno como al sector privado.
Suzanne Spaulding es miembro del Consejo Asesor Estratégico de Fortinet, ex subsecretaria del Departamento de Seguridad Nacional (DHS) y directora del proyecto de Defensa de las Instituciones Democráticas en el Centro de Estudios Estratégicos e Internacionales (CSIS).
Aprende más sobre el Consejo Asesor Estratégico de Fortinet.