Resiliencia y ciberresiliencia
El concepto de resiliencia comenzó a utilizarse en la física, siendo una propiedad que explica la recuperación de un material a su forma o estado original luego de ser sometido a energías de deformación.
A fines del siglo XX comenzó a utilizarse en psicología, para explicar por qué algunas personas podían superar situaciones adversas en menor tiempo y de una manera positiva. También se fue aplicando en otras ramas como biología, economía y ecología. En efecto, este vocablo viene del latín resilio que significa “rebotar” o “saltar hacia atrás”.
Para diferenciarlo de los ámbitos mencionados, en seguridad informática comenzó a utilizarse hace muy pocos años la palabra ciberresiliencia para describir la capacidad que posee un sistema para recuperarse ante una falla.
Más precisamente, en términos de The MITRE Corporation, se trata de “la capacidad de
anticipar, resistir, recuperarse y adaptarse a condiciones adversas, tensiones, ataques o
compromisos sobre los recursos cibernéticos”.
¿Qué valor agregado aporta la ciberresiliencia?
Tradicionalmente, se pensaba a la ciberseguridad como un conjunto de políticas, normas y procedimientos para proteger la información que circula por la organización.
Lo novedoso del concepto de ciberresiliencia es alejarse del mero cumplimiento y centrarse en propiciar una cultura de adaptación frente a contextos adversos, estén estos contemplados en documentos escritos o no. Dicho de otra manera, ser capaces de responder con eficacia tanto a situaciones previstas como a las no previstas, incluyendo los denominados cisnes negros o ataques 0-day.
¿Cómo se implementa?
Actualmente se está trabajando en marcos de referencia que incluyan:
– Patrones de diseño.
– Tecnologías.
– Métricas.
No obstante, al centrarse en la cultura su foco principal está puesto sobre los recursos humanos, la mejora continua y la madurez de la organización. De esta manera, las personas pasan de ser el eslabón más débil a actuar como la primera línea de defensa, apoyándose en tecnologías que acompañen, pero también anticipándose a situaciones que puedan estar fuera del alcance de los algoritmos.