En la era digital en la que vivimos, los fraudes cibernéticos representan una amenaza para las economías, los gobiernos y nuestro estilo de vida. La ciberseguridad se centra en proteger los datos, pero ya no es suficiente; las empresas necesitan tener resiliencia cibernética. Para ayudar a las empresas a implementar una mayor resiliencia cibernética, se necesita un marco para medirla.
Hoy en día, trabajamos desde cualquier lugar, en más dispositivos, en más redes y enfrentamos más riesgos que nunca. Los ataques de phishing, malware, ransomware y otros fraudes representan un riesgo no solo para los individuos o las plataformas, sino para las economías, los gobiernos y nuestro estilo de vida en general. Sin embargo, la forma en que pensamos en asegurar nuestras empresas y nuestros datos no ha evolucionado lo suficiente. A menudo, los recursos empresariales se asignan aún a la ciberseguridad defensiva, que se centra en proteger la confidencialidad e integridad de los datos. Pero estas defensas resultan insuficientes frente a ataques cada vez más sofisticados.
Necesitamos la resiliencia cibernética además de la ciberseguridad, y es importante entender la diferencia. La resiliencia cibernética comienza por hacer bien los fundamentos de la ciberseguridad; en Salesforce, lo llamamos “hacer lo común de manera excepcional”. Esto incluye corregir vulnerabilidades, detectar y mitigar amenazas y educar a los empleados sobre cómo defender la seguridad de la empresa. Pero necesitamos hacer estas cosas de manera continua, no solo una vez al año.
Además de eso, las empresas necesitan construir resiliencia en cada parte del negocio, desde el mapeo de procesos empresariales hasta la disponibilidad de servicios de ingeniería y la dependencia crítica de proveedores. Necesitan limitar el impacto del cibercrimen en la marca, las finanzas, la legalidad y la confianza del cliente de una empresa. Aunque estas áreas suelen recibir poca atención, recursos o enfoque ejecutivo, son elementos significativos en caso de una amenaza real.
El objetivo de la resiliencia cibernética es claro: garantizar la continuidad operativa y empresarial con un impacto mínimo. Sin embargo, la realidad puede ser difícil de determinar, porque actualmente no existe una buena manera de medir la resiliencia cibernética. Como líderes, necesitamos tener un cierto nivel de confianza en nuestra capacidad para responder a un ataque, mantener la confianza de nuestros clientes, absorber el impacto financiero, legal y de marca, y volver a los negocios. Pero no existe un marco ampliamente aceptado de resiliencia cibernética, ni un modelo de madurez, y creo que debería haberlo.
Después de todo, existen innumerables modelos de madurez que permiten a las empresas medir capacidades, transformación digital, cadena de suministro, ciberseguridad y gestión de datos, por nombrar solo algunos. ¿Cómo podría ser la madurez de la resiliencia cibernética? No se trata solo de la capacidad de responder y recuperarse; es qué tan rápido nos recuperamos y qué priorizamos.
En resumen, la resiliencia cibernética es esencial en el mundo actual. Las empresas deben ir más allá de la ciberseguridad y construir resiliencia en todas las áreas de su negocio. Además, es necesario desarrollar un marco de resiliencia cibernética que permita medir y evaluar la capacidad de respuesta y recuperación de una empresa frente a los ataques cibernéticos. Solo así podremos garantizar la continuidad de nuestras operaciones y proteger la confianza de nuestros clientes.
