La resiliencia tiene que ser cada vez más proactiva. No se demuestra al final de un ataque, sino al principio. Los ciberdelincuentes no necesitan mucha más munición, ya existen miles de credenciales robadas circulando por la Dark Web: lo importante es estar preparado para un ataque que, inevitablemente, va a ocurrir, y para ser capaces de recuperar los datos de forma rápida y limpia. Estas fueron algunas de las ideas principales que se escucharon en el encuentro ‘NIS2/DORA sin fricción: del cumplimiento exigido a la resiliencia operativa real’, organizado por CIO ESPAÑA y Commvault, que congregó a una decena de expertos en seguridad y tecnología para abordar el verdadero valor de la resiliencia.
En el nuevo contexto, marcado por las obligaciones normativas derivadas de las nuevas reglamentaciones DORA y NIS2, las empresas van a verse obligadas a notificar los incidentes cibernéticos en caso de horas, si se consideran de gravedad, lo que obliga a las organizaciones a extremar su agilidad. También les exige, al mismo tiempo, mantener su capacidad operativa en caso de crisis, incluso mientras se está produciendo un ataque.
Sergio Chicheri, director general para Iberia de Commvault, apuntó que la mejor manera de hacer frente a estas exigencias es adherirse al concepto de “empresa mínima viable”. En este concepto, las organizaciones definen con precisión —y de antemano— qué infraestructura, sistemas, aplicaciones, procesos y entornos son absolutamente esenciales para mantener las operaciones de emergencia.
Este paquete mínimo se almacena luego de forma segura en un entorno aislado. En caso de ataque, este paquete de emergencia se activa dentro de una sala limpia aislada, desde donde los equipos de seguridad informática y de infraestructura pueden reconstruir y volver a implementar de forma segura el entorno de producción, al tiempo que investigan el ataque en sí, los datos comprometidos y cualquier puerta trasera.
Un proceso que el experto de Commvault presentó como ‘ResOps’ (operaciones de resiliencia), procesos enfocados no solo en la recuperación posterior al ataque sino en la necesidad de mantener la continuidad del negocio durante ciberataques, interrupciones y interrupciones, impulsadas en la mayoría de los casos por IA. David Sanz, director sénior de Experiencia del Cliente para el Sur de EMEA de Commvault, ahondó en esta misma dirección. “Necesitamos un cambio de mentalidad: no solo recuperar rápido, sino limpio”, dijo. A su juicio, si queremos evitar que los ciberdelincuentes rompan nuestra infraestructura y roben nuestros datos “el aislamiento debe ser parte fundamental del plan”.
Las preocupaciones de los CISO
Durante el encuentro, moderado por Fernando Muñoz, director del CIO Executive de Foundry España, los responsables de ciberseguridad de una docena de organizaciones compartieron sus principales preocupaciones a la hora de garantizar el correcto funcionamiento de las mismas.
“Estoy muy preocupado por la cadena de suministro”, dijo Enrique Fernández, director de TI en Ford. “¿Qué pasa si atacan una red de concesionarios? ¿Qué responsabilidad tenemos como fabricantes?”, se preguntó. En este sentido, se cuestionó el encaje de estas regulaciones en una multinacional donde, apuntó, “la indefinición y el desconocimiento de las leyes es grande”.
Para Ana Arredondo Macua, directora del Departamento de Tecnologías de la Información y Transformación Digital de la Oficina Española de Patentes y Marcas, su mayor preocupación reside en “la labor de evangelizar a la Alta Dirección” sobre los riesgos derivados de la ciberdelincuencia.
Vicente Bielza Galindo, director de OT de Repsol Renovables, expresó su inquietud por el coste económico de la resiliencia. “Hay una obligación de ser resiliente, pero el coste de asegurar estas capacidades es muy alto. ¿Cómo se valida esa resiliencia?”, se preguntó. En esta línea incidió también María Jesús Pérez de los Cobos, jefe de proyecto de Iberdrola. “Lo importante es tener una respuesta rápida y un restablecimiento del servicio. La rapidez es importante, necesitas coste y un buen producto”, dijo.
José Borja Tomé, director del Departamento de Informática Tributaria de AEAT, puso sobre la mesa otro debate relevante: cada vez hay más servicios críticos para la sociedad que pueden ser atacados. “Por ejemplo las aduanas. Tener parado un barco porque no funciona los sistemas informáticos tiene un coste altísimo”, dijo. “El número de servicios críticos sube. Pero seguimos con los mismos recursos que hace años. Aunque haya más concienciación, debemos impulsarla, porque de la concienciación a la acción hay un buen trecho”, dijo tras compartir su visión: “Para estar en el puesto de CISO debes ser un poco irresponsable, porque si eres responsable sufres mucho”.
A Jesús Domínguez, principal arquitecto empresarial de de Roche, le preocupan especialmente dos cosas: el factor humano y la cadena de suministro. Y un factor adicional especialmente relevante en el sector farmacéutico, la manufactura. “Si perdemos un lote de medicamentos, son muchos millones que hay que tirar a la basura”, se lamentó.
David Pantaleón, CISO de UCI (Unión de Créditos Inmobiliarios), volvió a insistir en los riesgos de la cadena de suministro. “Hay inmobiliarias pequeñas que funcionan con un antivirus gratuito”, denunció. Pantaleón también expresó su preocupación por la excesiva concentración de servicios en un mismo proveedor. “Cambiar de Google a Amazon no es algo que se puede hacer en un día”, dijo.
Foundry
Los efectos de NIS2 y DORA
El debate abordó también los cambios que las nuevas regulaciones de ciberseguridad han impulsado en las organizaciones, efectos que, a juicio de alguno de los asistentes aún no se han hecho notar. “La NIS2 no ha cambiado nada, porque hasta que la ley no se transponga no hay que hacer nada. Lo dice nuestro abogado, y creo que tiene razón”, dijo Enrique Fernández, de Ford.
“NIS2 nació para cambiar las cosas, para impulsar que los CEO estén pendientes de la ciberseguridad, pero no pone el foco en otro tema preocupante: contar con los mejores medios para luchar contra los ciberataques. Estas normas hay que tenerlas, pero no van a funcionar bien en zonas que no están unidas, como Europa, donde cada país puede trasponer la ley de una forma diferente. En Estados Unidos funcionan mejor”, señaló Jaime González, CISO del Grupo Eulen.
“La regulación es una brújula que sirve para poner foco donde es más necesario. En ese sentido me ayuda. Contribuye a que el CISO no esté tan solo”, dijo Ana Arredondo. Para Vicente Bielza, esta legislación “incorpora costes adicionales” al incidir sobre la cadena de suministro, algo que, recalcó, “requerirá un periodo de adaptación”.
En opinión de Sergio Chicheri, que cerró con ello el debate, el impacto de la regulación es “positivo” y “necesario” porque nos ayuda “a ser resilientes de verdad y a convencer a los consejos de administración de que necesitamos más recursos”.