Sean Deuby

Para hacer frente a la explosión de la ciberdelincuencia y su impacto en las operaciones empresariales, muchas organizaciones están actualizando sus planes de recuperación ante desastres para incluir la respuesta ante incidentes cibernéticos. Muchos de los procesos y directrices de los planes tradicionales de recuperación en caso de catástrofe han cambiado poco en años, a veces incluso en más de una década, lo que los hace poco adecuados para hacer frente a las cibercatástrofes. Y lo que es más importante, a nivel empresarial, la recuperación ante desastres es sólo un aspecto de una disciplina más amplia: la resistencia operativa.

Simon Hodgkinson, antiguo Director de Seguridad de la Información de bp y Asesor Estratégico de Semperis, subraya la necesidad de que las organizaciones contemplen la recuperación tras catástrofes en el contexto de la viabilidad general de la empresa, lo que incluye la prevención, detección y respuesta ante ciberataques.

"La recuperación en caso de catástrofe tiene una definición bastante limitada y suele considerarse en un marco temporal pequeño", afirma. "La resiliencia operativa es mucho más amplia e incluye aspectos como el tipo de gobernanza que se ha implantado, cómo se gestiona el riesgo operativo, los planes de continuidad de la actividad y la gestión de riesgos cibernéticos, de la información y de proveedores externos".

En otras palabras, los planes de recuperación en caso de catástrofe se centran principalmente en la recuperación. La resiliencia operativa tiene una visión más amplia: todo el ecosistema y lo que se puede hacer para mantener la empresa operativa durante los eventos perturbadores.

Reparar una cadena rota

El enfoque más amplio de la resistencia operativa requiere la participación de toda la organización. No puede dejarse simplemente en manos de un solo departamento o equipo. Todo el mundo debe participar, desde los ejecutivos y el consejo de administración hasta los empleados de los distintos departamentos.

"La dirección debe entender el riesgo y conocer la tolerancia y el apetito de riesgo de la empresa", afirma Hodgkinson. "Eso incluye incluso cosas como las funciones de adquisición y los acuerdos con proveedores externos. La resistencia debe estar integrada en todo hasta en los flujos de trabajo cotidianos, y si un único proveedor es insuficiente para gestionar el riesgo, la diversidad de la oferta es imprescindible".

Hodgkinson habla de una realidad importante que muchos parecen olvidar: en el clima actual, no sólo su organización está amenazada. Sus proveedores, socios y vendedores también son objetivos. Si un proveedor importante se ve comprometido o cae, su empresa puede caer con él.

"He visto muchos casos interesantes en los que un ciberataque a un proveedor ha impedido a varias organizaciones cumplir sus objetivos empresariales", recuerda Hodgkinson. "Por ejemplo, pensemos en una organización minorista que recurre a un proveedor logístico para hacer llegar los productos a sus estaciones y ese proveedor se queda sin existencias. Evitar este tipo de situaciones requiere una perspectiva más amplia. En el contexto de la resistencia operativa, todos los escenarios y procesos de gestión de riesgos deben tener en cuenta la cadena de suministro."

Poner la "operación" en la resistencia operativa

El Departamento de Transporte de EE.UU. propuso una multa de 1 millón de dólares contra Colonial Pipeline por "fallos en la gestión de la sala de control" en el ciberataque de 2021 que interrumpió el suministro de gas en el este de EE.UU., además de las pérdidas de ingresos de la empresa por el propio ataque. El gobierno considera que la empresa ignoró la capacidad de recuperación operativa: En lugar de planificar cómo gestionar y limitar el alcance de un incidente, la organización simplemente apagó sus redes de control de procesos en el instante en que el malware afectó a sus sistemas.

"Es una situación muy interesante", dice Hodgkinson. "Pero, por desgracia, no creo que sea el único. Diría que muchas organizaciones no comprenden del todo el impacto de la tecnología operativa en un incidente cibernético".

"Lo ideal sería que las organizaciones que gestionan infraestructuras nacionales o suministros críticos pensaran mucho más en la gestión de la continuidad de la actividad y los controles de mitigación", afirma. "Esa reflexión empieza por conocer su perfil de riesgo y planificar adecuadamente su gestión. Las organizaciones también deben probar lo que pueden hacer en términos de apagar sus redes, asegurándose de que tienen la capacidad de cortar la conexión entre la tecnología de la información y la tecnología operativa, para que el malware no lo paralice todo."

Cerrar la brecha entre TI y OT

La tecnología que utilizan sistemas como oleoductos y refinerías es muy distinta de la que se encuentra en un entorno de oficina normal. Existen protocolos de red diferentes, un enfoque distinto de la pila de seguridad y una mayor preocupación por las cuestiones críticas de seguridad. Según Hodgkinson, una de las mayores fuentes de fricción para las empresas industriales -y la razón por la que los esfuerzos de resiliencia operativa fracasan tan a menudo- implica una desconexión entre la tecnología de la información (TI) y la tecnología operativa (TO).

Ninguno de los departamentos comprende plenamente los flujos de trabajo y los retos del otro. Esta desconexión tiene que cambiar. Y eso empieza con un cambio de percepción.

"Creo que parte del problema actual es que la cibernética sigue considerándose algo especial", afirma Hodgkinson. "El debate siempre parece concluir con la suposición de que el equipo de seguridad o el departamento informático gestionan un riesgo concreto, por lo que nadie más debe preocuparse por él. Tenemos que desmitificar la ciberseguridad. Sólo si las empresas comprenden bien el riesgo y lo asumen como propio se pueden poner en marcha mecanismos de resistencia adecuados. Lo que funcionó realmente bien en mi experiencia en bp fue llevar la ingeniería a la ciberseguridad y la ciberseguridad a la ingeniería, dando a cada equipo una experiencia y una perspectiva de la que antes carecía".

Lo cierto es que los distintos equipos tienen prioridades diferentes. El equipo de ingeniería puede ser consciente de la importancia de la ciberseguridad, pero necesita dar prioridad a los elementos de procedimiento y a las cuestiones críticas para la seguridad. Al fomentar la colaboración interdepartamental, las empresas pueden determinar cómo facilitar la implantación de controles y estrategias en cada entorno.

"Creo que, en última instancia, todo depende del contexto", afirma Hodgkinson. "¿Qué intenta conseguir la empresa y qué resultados pretende alcanzar? ¿Cómo apoya esos resultados? ¿Qué tecnología utiliza? Qué le importa en términos de confidencialidad, integridad y disponibilidad".

La importancia de la seguridad y la recuperación de Active Directory en la creación de resistencia operativa

Active Directory (y Azure AD, en entornos de identidad híbrida) ocupa un lugar central en la búsqueda de la resiliencia operativa.

"Tienes un mecanismo para priorizar, pero lo interesante es que creo que la gente olvida a menudo que la aplicación más importante [en] todas las dimensiones es Active Directory", dice Hodgkinson. "Sin él, no es posible alcanzar ninguno de los resultados empresariales. Active Directory es el núcleo de tu capacidad para operar y ofrecer resultados empresariales, y debe formar parte de tu estrategia de resiliencia operativa en lugar de ser tratado como una isla."

Asumir un papel activo en la resistencia operativa

Los planes de recuperación ante desastres que se centran en las catástrofes naturales son insuficientes para hacer frente a las amenazas modernas a la resistencia operativa. Dado que el sistema de identidad de la organización es fundamental para mantener las operaciones en funcionamiento -y es el principal objetivo de los ciberataques-, protegerlo es primordial. Al dar prioridad a la defensa del sistema de identidad, las organizaciones pueden hacer frente a una de las amenazas más graves para la resistencia operativa.

Más información