Ciber-resiliencia – ZionSupport – Soluciones IT y Soporte Informático Colombia – Bogotá

Ciber-resiliencia

RESILIENCIA Y CIBER-RESILIENCIA: QUÉ ES Y POR QUÉ
Una vez que se ha definido el marco para gestionar la seguridad de la organización, ¿qué
aporta y en qué se diferencia el concepto de resiliencia?

Los conceptos de resiliencia, seguridad y riesgo, o mejor, gestión del riesgo, son diferentes. En algunos casos sus fronteras
se confunden porque, aunque sean distintos, no son independientes, sino que están
relacionados. El concepto de resiliencia es más amplio que el de disminución o análisis del
riesgo, pero este último forma parte de las estrategias para aumentar la resiliencia.
Resiliencia se define como una cualidad intrínseca, una característica propia de una
organización que le permite enfrentarse de forma exitosa a los cambios y a los eventos tanto
internos como externos. La resiliencia forma parte de la naturaleza de dicho organismo y
está implícita en su estructura. Cuando una entidad se etiqueta como resiliente es porque se
observa que ante una serie de sucesos la organización ha sabido reaccionar y externamente
continua operando como si nada hubiera ocurrido. Por lo tanto, el término resiliente se
puede aplicar tanto a una empresa como a un sector económico, a un gobierno, a un estado
nacional o incluso un organismo vivo, a estructuras sociales como mercados, a comunidades
o ejércitos.
Ciber-resiliencia se ha definido partiendo de la definición de resiliencia y restringiendo las
posibles fuentes de crisis a eventos tecnológicos y procedentes del ciberespacio, o también
se ha definido limitando la dimensión afectada de la empresa a lo que son sus sistemas de
proceso de datos y sus comunicaciones. Dada la complejidad de las organizaciones, y la
interdependencia entre los distintos elementos que las forman: personal, entorno social,
suministros, infraestructura TIC, procesos, …; no se puede trazar una línea divisoria clara
entre lo que supone la resiliencia de la misma y la ciber-resiliencia de sus sistemas. Una y
otra están íntimamente relacionadas, es más, son un mismo concepto. No se puede crear
una infraestructura tecnológica ciber-resiliente si la organización en sí no es resiliente. La
organización es un todo, y el departamento TIC no es un ente independiente que puede
sobrevivir o pretender ser inmune a los eventos que pueden sacudir a su personal y sus
usuarios.
El análisis de una organización desde el punto de vista del riesgo se basa en identificar
vulnerabilidades una por una y fijar cada una de ellas. La gestión del riesgo tiene un límite.
Llega un momento en que la naturaleza de la organización, de sus procedimientos, de sus
procesos y la relación con su entorno no permite disminuir el riesgo ni ofrecer una garantía
de continuidad por muchas medidas de seguridad que se implementen. Existe un punto a
partir del cual, si se quiere alcanzar una mayor seguridad, lo que es necesario abordar es un
cambio en los fundamentos de la propia organización. Cuando, añadiendo más elementos,
más procedimientos, más técnicas, no se consigue disminuir los riesgos, sino al contrario, el
sistema es cada vez más complejo y difícil de tratar, es cuando hay que estudiar cómo
aumentar la resiliencia cambiando los principios rectores de la organización.

La rápida evolución de las amenazas implica que, utilizando soluciones específicas para
cada una de ellas, siempre nos colocaremos en un plano de vulnerabilidad. Para evitarlo es
necesario adoptar una aproximación basada en principios, como resiliencia. Esta es la
medida de cuán poco vulnerable es una organización por su diseño, y la gestión de la
resiliencia es la modificación de la naturaleza de la misma para llegar a lo que podríamos
denominar «security-by-design», pero extendido desde el producto a la misma organización,
pasando por cada uno de sus sistemas, consiguiendo una disminución de las
vulnerabilidades por la propia concepción de la organización y de sus procesos. Una entidad será
resiliente cuando se enfrente de forma exitosa tanto a los cambios que se desarrollan de
forma progresiva, como a los que se desaten de forma violenta. Las alteraciones del entorno
pueden ser desde ciberataques hasta catástrofes naturales, y podrían tomar cualquier otra
forma: problemas energéticos, de suministros, políticos, financieros, contractuales, etc. Por
otro lado, considerar que la única fuente de problemas puede ser un ataque externo es un
gran error. El origen de una crisis que afecta de forma traumática a dicho organismo puede
ser de origen interno. Centrar la estrategia en repeler ataques externos, subrayando la
palabra ataques, es enfocar el problema de forma errónea. Una crisis interna puede
generarse por la influencia de agentes externos o tener carácter mixto. Puede ser el caso de
la crisis que se genera debido a una prolongada situación de estrés, condicionada por
factores ambientales, que desgasta los recursos propios. En ese caso, los recursos más
críticos son fundamentalmente humanos, sensibles a los fenómenos sociales. El personal en
riesgo no es solo el equipo clave de toma de decisiones, puede ser parte del personal menos
cualificado pero que son parte necesaria de los procesos de soporte de la organización. De
especial sensibilidad son los mandos intermedios.
El concepto de resiliencia está íntimamente ligado con el concepto de sostenibilidad. En la
mayor parte de los casos, los problemas internos que causan el colapso de una organización
ante un escenario de crisis se encuentran latentes en la misma naturaleza y estructura de
dicha organización. Por supuesto, antes del colapso se manifestarán problemas puntuales
que se podrán señalar como síntomas, y dicho colapso comenzará por el punto más débil de
la estructura. De ello se deduce que la capacidad de resiliencia no reside en una parte de la
organización, no se puede señalar y acotar en un departamento o en una función. Aún
menos es una capa o un barniz que se pueda extender en la superficie del organismo, ni es
un escudo que se superpone a su estructura. La resiliencia forma parte de la propia
naturaleza de la organización y está tan íntimamente ligada a ella que forma parte de su
esencia.
Existirán grados en la capacidad de resiliencia de un organismo. Cuanto más traumática
sea la crisis que es capaz de superar dicho organismo podemos hablar que es mayor su
capacidad de resiliencia. Una crisis puede suponer una alteración transitoria de condiciones
internas o externas, por ejemplo una huelga, un ataque informático o unas condiciones
meteorológicas anormalmente adversas. Pero también puede suponer cambios
permanentes, de carácter irreversible o con una duración prolongada en el tiempo.
Puede  ser el caso de cambios políticos, de mercado, catástrofes naturales a escala regional o global.
En el primer caso, la resiliencia se estimará en el grado en el que los procesos esenciales del
organismo, los procesos de negocio en el caso de organizaciones, se vean afectados, y
durante cuánto tiempo la organización puede seguir operando en esas condiciones,
operando de forma efectiva, tal vez con una caída de rendimiento o de calidad que no sea de
carácter esencial. En el segundo caso, en el caso de cambios permanentes, será más
resiliente cuanto menos tiempo trascurra entre la crisis y la recuperación total del
organismo, y cuantas más funciones estén operativas en ese lapso de tiempo.
Las organizaciones, todas en cuanto se consideran a largo plazo, se comportan como un
organismo vivo. Ciertos cambios pueden originar un shock que paralice completamente su
funcionamiento, o esta parálisis puede ser ocasionada por ciertas carencias. Cuando una
organización se detiene tiene un plazo para reiniciar sus actividades antes de que el daño a
la misma sea irreversible. La irreversibilidad supone pérdida permanente de capacidades o la
desaparición de la misma. Este plazo de tiempo que mide el punto de no retorno es también
una medida de resiliencia.
Resiliencia es un estado. El tener dicha cualidad implica que esa adaptación se ha de
realizar en el mínimo intervalo de tiempo, a la máxima velocidad, incluso en tiempo real.
Además, la recuperación debe implicar la continuidad de las funciones esenciales y la menor
pérdida de capacidades. Por lo tanto, una organización resiliente es aquella con capacidad
de toma rápida de decisiones, y también la capacidad del sistema para implementar dichas
decisiones.
Resiliencia supone admitir que se producirán fallos, errores, y que tenemos los medios
para restaurar la operación normal y asegurar los bienes y reputaciones. Por lo tanto, un
aspecto importante que también mide el grado de resiliencia de una organización es su
capacidad de anticipación a las crisis. Una justificación fácil es que las crisis o los ataques no
son previsibles, que es imposible conocer cuándo se van a materializar, pero esto no es
cierto. Excepto algunas catástrofes naturales y muy contados ataques, la mayor parte de las
crisis de una organización se pueden prever, bien mediante un análisis de las series
históricas, bien prestando atención a los sucesos en organizaciones similares, bien llevando a
cabo una tarea efectiva de inteligencia o tan solo asumiendo lo que todos los días se lee en
los periódicos.
Finalmente, una organización no será igual de resiliente a cualquier tipo de crisis. No es
una cualidad que se pueda aplicar de forma homogénea en todas sus actividades o cada una
de sus dimensiones. Un organismo puede ser muy resiliente a ataques técnicos, pero no a
ataques sociales, o no muy preparada para crisis a corto plazo pero demasiado rígida para
cambios del entorno a largo plazo.

RESILIENCIA COMO PRINCIPIO DE SEGURIDAD
La ciber-resiliencia aparece en primer lugar en la lista de las cinco prioridades y medidas
del documento de Estrategia de Ciberseguridad de la Unión Europea
, por delante de la
reducción del cibercrimen, el desarrollo de los recursos industriales y tecnológicos o del
establecimiento de una política internacional coherente sobre el ciberespacio a nivel de la
Unión Europea.

Una organización resiliente será aquella en la que el árbol de relaciones humanas y
materiales que la conforman sea lo más sencillo posible. Un aspecto clave para lograr la
ciber-resiliencia es la simplificación de la organización, y en particular de sus sistemas de
información. Una organización más simple es aquella que lleva a cabo menos procesos, en
menos unidades, con menor diversidad de sistemas y con menos interfaces entre ellos y,
sobre todo, con el exterior. Si la estructura de la organización es muy compleja, y la
dependencia entre sus sistemas es alta, será muy difícil determinar el grado de impacto que
un evento simple puede tener en la operativa global de la misma, ya que será imposible
obtener un modelo realista de su funcionamiento.

Párrafos obtenidos del artículo publicado por  Luis de Salvador Carrasco en el boletín del Instituto Español de Estudios Estratégicos (ieee.es) el 3/4/2015

Copyright © 2018 - ZionWeb.