¿Cómo los gigantes tecnológicos están construyendo resiliencia cibernética?
La desconfianza nos empuja a estigmas autolimitantes, pero los Estándares Internacionales pueden ayudarnos a ser vulnerables y resilientes con confianza.
¿Qué tienen en común Microsoft, Apple, Google, Intel e IBM? Además de ser todas empresas Fortune 500, estos gigantes tecnológicos utilizan ISO/IEC 27001 . Con una aceptación global cada vez mayor y en exhibición en miles de sitios en todo el mundo, ISO/IEC 27001 se ha convertido en el estándar de facto para los sistemas de gestión de seguridad de la información.
Para proteger sus activos de datos críticos de las amenazas y vulnerabilidades digitales, las organizaciones deben adoptar una mentalidad de resiliencia cibernética. La resiliencia cibernética debe ser parte integral no solo de los sistemas técnicos, sino también de los equipos, la cultura organizacional y las operaciones diarias. De hecho, los líderes empresariales de hoy son mucho más conscientes de la ciberamenaza que el año anterior. Según el Global Security Outlook 2023 del Foro Económico Mundial (WEF) , el 91 % de los encuestados dijo que cree que un evento cibernético catastrófico y de gran alcance es “al menos algo probable en los próximos dos años”.
Empresas de todo el mundo han respondido a las presiones implementando ISO/IEC 27001 [ 1 ] , el estándar más conocido del mundo para sistemas de gestión de seguridad de la información (ISMS). Es un conjunto documentado de políticas, procedimientos, procesos y sistemas que gestiona los riesgos de pérdida de datos por ataques cibernéticos, piratería informática, fugas de datos o robo.
Las organizaciones deben adoptar una mentalidad de resiliencia cibernética.
¿Qué es la resiliencia cibernética?
La resiliencia cibernética es la capacidad de una organización para operar frente a un ataque cibernético u otro incidente cibernético. Implica disponer de las medidas técnicas y organizativas necesarias para detectar, responder y recuperarse de tales incidentes, así como la capacidad de adaptarse y aprender de ellos para mejorar la resiliencia futura.
“La resiliencia cibernética es lo que se hace cargo cuando fallan las medidas de prevención de seguridad”, dice Andreas Wolf, quien lidera el grupo de expertos responsables de los estándares de seguridad de TI ISO/IEC. “En la economía digital, la capacidad de trascender la interrupción cibernética distingue a los campeones del mercado. Las organizaciones que conviertan la vulnerabilidad en fortaleza tendrán la confianza para asumir riesgos saludables”.
Wolf no es un extraño cuando se trata de seguridad. Él y su equipo son responsables de la versión nueva y mejorada de ISO/IEC 27001 publicada en octubre del año pasado para abordar los desafíos globales de seguridad de TI y mejorar la confianza digital. Beneficia a las organizaciones al alentarlas a asegurar todas las formas de información, desarrollar un marco administrado centralmente, reducir el gasto en tecnología de defensa ineficaz y proteger la integridad, confidencialidad y disponibilidad de sus datos.
Normas ISO y ciberseguridad
Pero la resiliencia no solo se refiere al funcionamiento interno de una organización; debe aplicarse en todas las asociaciones con terceros y en toda la cadena de suministro. Afortunadamente, The Cyber Resilience Index (CRI): Advancing Organizational Cyber Resilience , también publicado por el WEF, busca servir como un marco de referencia para brindar visibilidad y transparencia sobre las prácticas de ciberresiliencia en todas las industrias, pares y la cadena de suministro.
El CRI proporciona a los líderes cibernéticos del sector público y privado un marco común de mejores prácticas para una verdadera resiliencia cibernética, un mecanismo para medir el desempeño organizacional y un lenguaje claro para comunicar valor. Según los principios de CRI, las prácticas y subprácticas subsiguientes para una resiliencia cibernética organizacional saludable es el uso de marcos de seguridad reconocidos y estándares de la industria como ISO/IEC 27001 .
No podemos permitirnos comprometer la resiliencia cibernética en la era digital.
La vulnerabilidad como componente básico de la resiliencia
Ser transparente sobre las prácticas internas y compartir información con competidores y legisladores puede hacer que las organizaciones se sientan vulnerables. Pero es esta vulnerabilidad la que conducirá a una verdadera colaboración y progreso.
No podemos permitirnos comprometer la resiliencia cibernética en la era digital. También hay un caso comercial para ello. Las organizaciones que adoptan la resiliencia cibernética a través de una vulnerabilidad segura emergen rápidamente como líderes en su industria y establecen el estándar para su ecosistema. El enfoque holístico de ISO/IEC 27001 significa que toda la organización está cubierta, no solo TI. Las personas, la tecnología y los procesos se benefician.
Fuente: https://www.iso.org/contents/news/2023/02/how-to-build-cyber-resilience.html