Beth Stackpole, periodista especializada en cubrir temas que vinculan la tecnología y los negocios, publicaba recientemente en el sitio web de la Escuela de Administración y Dirección de Empresas Sloan del MIT (Instituto de Tecnología de Massachusetts, por sus siglas en inglés), un artículo sobre la necesidad de políticas de ciberresiliencia para empresas y organizaciones.
La tesis de la que parte este artículo es que, ante el incremento de las brechas de datos (de un 20% entre el 2022 y el 2023), y la entrada en escena de la IA generativa como herramienta para mejorar la eficacia de los ciberataques, ninguna organización -sea esta una empresa o de otro tipo- puede estar segura al 100% de poder protegerse ante los ciberataques, por lo que hay que ir más allá y asegurarse que, tras sufrir uno, la organización pueda recuperar sus sistemas y su normal funcionamiento con la mayor velocidad posible.
Es lo que la autora llama ciberresiliencia, definiendo a una organización ciberresiliente como aquella que tiene la capacidad de responder prontamente a los ataques, restaurando sus operaciones rápidamente con el mínimo impacto posible en su trabajo diario, incluyendo en ello la disminución o eliminación de la posibilidad que pierda datos o estos sean filtrados.
Este enfoque hacia la resiliencia requiere de una cultura de la seguridad compartida y de estrategias bien definidas. Durante un reciente seminario web, Keri Pearlson -directora ejecutiva de Ciberseguridad en la Escuela Sloan- enfatizó que la ciberseguridad debe ser una responsabilidad colectiva, instando a cada miembro de la organización a adoptar prácticas de vigilancia.
Para fortalecer la ciberresiliencia, las organizaciones deben centrarse en la planificación y pruebas, anticipando amenazas y evaluando su potencial impacto. La preparación implica no solo elaborar planes de recuperación (por ejemplo, backups, aunque no sólo), sino también realizar simulacros y asegurar la capacidad de recuperación instantánea.
Además, cambiar la percepción de los empleados hacia la ciberseguridad es vital. Pearlson sugiere fomentar una cultura orientada a la seguridad mediante narrativas, formaciones e incentivos que promuevan los comportamientos adecuados.
La adopción de un enfoque equilibrado en la gestión del riesgo, utilizando marcos como el del Instituto Nacional de Estándares y Tecnología estadounidense, permite a las empresas evaluar y responder a amenazas de manera estructurada.
Y si bien antes he indicado que en el artículo, la autora advierte sobre el uso de la IA como una nueva herramienta por parte de los ciberdelincuentes, también quienes se defienden de las ciberamenazas pueden utilizarla para mejorar sus ciberdefensas, manteniendo las salvaguardas de los sistemas a la par con las amenazas que los acechan para contrarrestar las amenazas emergentes.
