- La ciberseguridad de las organizaciones debe evolucionar con el panorama de amenazas,donde los incidentes se intensifican más rápido de lo que los equipos pueden analizar. El desafío reside en la toma de decisiones organizacionales bajo presión, pero con menos tecnología.
- La ciberresiliencia se centra en la capacidad de seguir operando cuando los sistemas se ven interrumpidos, la integridad de los datos es incierta y la presión externa aumenta.
- Una de las formas más efectivas de desarrollar y medir esa capacidad es a través de ejercicios de mesa diseñados para escenarios extremos, donde la recuperación de TI se retrasa y toda la organización debe intervenir para responder.
Durante años, la ciberseguridad se ha considerado principalmente un problema tecnológico. Los firewalls, la protección de endpoints, las herramientas de detección y los manuales de respuesta a incidentes han dominado el debate. Las organizaciones han invertido considerablemente en la prevención de ataques y en la mejora de su capacidad de detección y respuesta.
La prevención es fundamental y debe considerarse la base de la ciberseguridad: reduce el riesgo, las interrupciones y los costos, limita el radio de acción y garantiza la continuidad del negocio. En un entorno donde las amenazas son constantes y los adversarios se mueven con rapidez, los controles preventivos sólidos siguen siendo la forma más eficaz de reducir los daños.
- La realidad es que ya no se trata de si ocurrirá un ataque, sino de cuándo ocurrirá; y cualquier defensa técnica, incluso las más sólidas, puede verse sometida a prueba por la incertidumbre, la complejidad y la presión del tiempo. Esta incertidumbre se ha visto exacerbada por la rápida adopción de la inteligencia artificial, que ha ayudado a los adversarios tanto como ha acelerado las capacidades de defensa.
- Las organizaciones que emergen fortalecidas son aquellas que pueden operar eficazmente ante una falla, incluso cuando la prevención se ha visto comprometida. Cuando la tecnología no puede restaurar la certeza de inmediato, son la disciplina en la toma de decisiones y la coordinación operativa de la organización las que, en última instancia, determinan el resultado.
Aquí es donde la ciberseguridad evoluciona hacia la ciberresiliencia.
La ciberresiliencia es más que ciberseguridad
La ciberseguridad se centra en la protección y la respuesta: detener ataques, reducir el tiempo de permanencia y restaurar sistemas. La ciberresiliencia plantea una pregunta más amplia: ¿cómo puede la organización seguir operando y tomando decisiones cuando la tecnología se ve interrumpida, degradada o no es confiable?
- En ese sentido, la ciberresiliencia refleja otras disciplinas de planificación de la continuidad empresarial. Por ejemplo, las organizaciones se preparan rutinariamente para desastres naturales, interrupciones en la cadena de suministro e interrupciones operativas, asumiendo que los sistemas, el personal o los procesos podrían dejar de estar disponibles y que la empresa debe seguir funcionando.
- De igual manera, un ciberincidente grave podría retrasar o limitar la recuperación de TI. Los sistemas se caen más de lo previsto y la integridad de los datos puede volverse incierta. La presión externa de clientes, organismos reguladores y medios de comunicación también puede aumentar. Por lo tanto, el desafío ya no es puramente técnico, sino también organizativo.
La naturaleza organizacional de una crisis cibernética
- La verdadera resiliencia cibernética requiere que toda la organización actúe en conjunto.
- Los equipos legales deben evaluar la exposición regulatoria y las obligaciones contractuales. El departamento de finanzas debe evaluar el impacto operativo y las responsabilidades. Los equipos de comunicación deben gestionar los mensajes dirigidos a empleados, clientes, socios y el público. Los ejecutivos deben tomar decisiones urgentes con información incompleta y, a veces, contradictoria.
- Si estas funciones no están alineadas, incluso un incidente técnicamente bien gestionado puede escalar hasta convertirse en una crisis empresarial: decisiones retrasadas, mensajes inconsistentes, expectativas no gestionadas y daños a la reputación evitables.
- Sin embargo, muchas organizaciones aún evalúan la preparación cibernética casi exclusivamente dentro del área de TI. Los ejercicios de respuesta a incidentes se centran en el análisis de malware, los plazos de contención y la restauración del sistema. Si bien es necesario, esto no prueba si la organización puede operar bajo una interrupción sostenida ni si el liderazgo puede tomar decisiones con seguridad cuando los hechos no están claros.
La ciberresiliencia exige un enfoque diferente: practicar cómo se comporta la organización cuando la prevención reduce el riesgo, pero no puede eliminarlo y cuando la tecnología no puede resolver instantáneamente la incertidumbre.
Por qué es difícil medir la resiliencia cibernética
- Una razón por la que a menudo se habla de la resiliencia cibernética pero rara vez se mide es que no se puede medir solo con paneles de control.
- No se puede desplegar un agente para decirle con qué rapidez se alinean los ejecutivos bajo presión, si los departamentos legales y de comunicaciones pueden sincronizar los mensajes en una situación que cambia rápidamente o con qué eficacia los equipos comparten información entre silos.
- La ciberresiliencia se centra en la toma de decisiones, la coordinación y la adaptabilidad.Para evaluarla, las organizaciones necesitan una metodología estructurada: una forma de ejercitar, observar y medir el rendimiento de las personas y los procesos en condiciones extremas. Aquí es donde los ejercicios prácticos resultan invaluables.
Ejercicios de mesa: practicando para el punto de quiebre
Los ejercicios prácticos suelen considerarse requisitos de cumplimiento o capacitación básica en respuesta a incidentes. Sin embargo, cuando están bien diseñados, se encuentran entre las maneras más prácticas de desarrollar y medir la resiliencia.
A diferencia de las simulaciones técnicas, los juegos de mesa se centran en las personas y las decisiones, colocando a los participantes en escenarios realistas y obligándolos a navegar por la incertidumbre, las compensaciones y las prioridades en competencia.
Para hacerlo de manera efectiva, el escenario debe ir más allá de un incidente cibernético “normal”, con el objetivo de probar la capacidad de la organización para operar cuando la recuperación se retrasa, la confianza en los datos es cuestionable y la presión externa está aumentando.
Un fuerte ejercicio de resiliencia se intensifica gradualmente:
- Los primeros indicadores sugieren un ataque que afecta a sistemas críticos.
- Los plazos de recuperación se retrasan y las dependencias complican la restauración.
- Surgen preocupaciones sobre la integridad de los datos, lo que exige preguntarse si se puede confiar en lo que hay en los sistemas.
- Los clientes y socios hacen preguntas; los reguladores y los plazos se avecinan.
- La organización debe tomar decisiones antes de restablecer la certeza.
En un momento dado, queda claro que la tecnología por sí sola no resolverá la situación rápidamente.
Aquí es donde el ejercicio se vuelve revelador.
El departamento legal evalúa las obligaciones de notificación y la exposición al riesgo sin conocer todos los hechos. El departamento financiero evalúa el impacto en el negocio mientras los sistemas permanecen inactivos. El departamento de comunicaciones internas gestiona la incertidumbre de los empleados y controla los rumores. El departamento de comunicaciones externas equilibra la transparencia con el riesgo legal y reputacional. Los ejecutivos toman decisiones cruciales bajo presión del tiempo.
El valor no está en encontrar la respuesta “perfecta”; se trata de si la organización puede trabajar junta con rapidez, coherencia y decisión.
Qué puede medir realmente un ejercicio de resiliencia
Un ejercicio práctico de ciberresiliencia bien diseñado revela información que las pruebas puramente técnicas no pueden obtener. Además, crea indicadores medibles que se pueden monitorear a lo largo del tiempo, como:
- Es hora de involucrar a los ejecutivos: qué tan rápido el liderazgo se suma y permanece comprometido.
- Claridad en las decisiones: si la propiedad es clara o si las decisiones se estancan en la ambigüedad.
- Flujo de información: si los datos clave se mueven entre equipos o permanecen aislados.
- Continuidad operativa: Capacidad de ejecutar servicios críticos en modo degradado.
- Preparación para comunicaciones de crisis: mensajes internos y externos alineados y oportunos.
- Objetivo de tiempo de recuperación y objetivo de punto de recuperación bajo estrés: si las suposiciones de recuperación coinciden con la realidad.
- Puntos de conflicto y retraso: donde surge fricción entre funciones.
Estos indicadores permiten a las organizaciones ir más allá de “creemos que estamos listos” y avanzar hacia planes de mejora concretos.
Prevención primero, resiliencia siempre
La prevención sigue siendo el núcleo de cualquier estrategia de ciberseguridad para reducir la probabilidad y el impacto de los incidentes, ganar tiempo y limitar las interrupciones. Sin embargo, la resiliencia garantiza que, cuando la prevención se vea puesta a prueba por la velocidad, la incertidumbre y la complejidad, la organización pueda seguir funcionando.
La ciberresiliencia no es un proyecto puntual. Como cualquier disciplina de planificación de la continuidad del negocio, requiere práctica continua, perfeccionamiento y la participación del liderazgo. Los ejercicios prácticos deben repetirse, adaptarse y ampliarse a medida que la organización evoluciona.
- Las organizaciones más resilientes no son aquellas con defensas perfectas, sino aquellas que han experimentado el fracaso y aprendido de él.
- Si sus ejercicios cibernéticos se detienen cuando el departamento de TI restaura los sistemas, está poniendo a prueba la seguridad, no la resiliencia.
- Construya la prevención como base y luego practique cuando no sea suficiente.