¿Cuánto hemos escrito acerca de la resiliencia en los últimos meses? Ha sido el concepto en mayúsculas durante el último año, junto con la ciberseguridad. La resiliencia es la capacidad de una organización de recuperarse rápidamente de ataques o incidentes. La resiliencia se consigue a través de planes de continuidad de negocio, planes de recuperación ante desastres y planes de contingencia. Cuando en los ataques o incidentes está implicado el uso de las tecnologías de la información, lo denominamos ciber-resiliencia. Cuando la organización que aplica este concepto es una ciudad, hablamos de resiliencia urbana. Pero, ¿cuál es el origen del concepto resiliencia?
Resiliencia viene del término latín resilio, “volver atrás, volver de un salto, resaltar, rebotar”. El término se adaptó al uso en psicología y otras ciencias sociales para referirse a las personas que, a pesar de sufrir situaciones estresantes, no se ven afectadas psicológicamente por ellas. Es decir, que originalmente la resiliencia es un concepto vinculado a las personas que podríamos definir como la capacidad de los seres humanos para adaptarse positivamente a las situaciones adversas. Estas situaciones estresantes y desfavorables propician el error humano.
¿Hemos tenido en cuenta el factor humano dentro de nuestro plan de resiliencia? Todos los profesionales del sector sabemos que el gran agujero de seguridad son las personas. Ocurre en la seguridad física, cuando los vigilantes no se encuentran en plenas condiciones y no ven el indicio de intrusión a través de las cámaras. Sucede en la seguridad electrónica, cuando el técnico se descuida al cambiar la contraseña del sistema de seguridad. Ocurre en la ciberseguridad, cuando un informático no cierra un puerto de comunicación. Y, en general, se produce en todas las organizaciones cuando un empleado cae en la trampa del phishing comprometiendo su propia economía y la de toda la organización.
Resiliencia humana
Los Estados y las organizaciones han trabajado intensamente en los últimos años en la resiliencia, desarrollando proyectos centrados en la continuidad de los sistemas informáticos y las comunicaciones, así como en medidas de seguridad física, electrónica y ciberseguridad. En estos momentos, viéndolo en perspectiva, no nos hemos planteado un proyecto de resiliencia humana como se merecía. Estamos acostumbrados a cubrir con cierta facilidad las bajas médicas, las bajas laborales voluntarias y las excedencias, porque éstas ocurren eventualmente.
En el análisis de riesgos de las organizaciones antes de la crisis del COVID-19, el riesgo natural posiblemente obtuvo una clasificación baja. Probablemente no se contemplaba la posibilidad de que afectara a gran parte de los empleados, o a todo el país; ni que a su vez paralizara ciertos sectores, propiciando un frenazo de la actividad empresarial sin precedentes. Quién iba a imaginar que un virus pudiera extenderse sin medida de seguridad posible en el corto plazo y que fuera capaz, tan rápidamente, de amenazar el funcionamiento de todo un país a través de un ataque dirigido, simple y eficaz, a las personas.
Durante esta crisis médica, los ataques a compañías no descansan. Parece ser que quienes realizan estas acciones no se ven afectados por el COVID-19. Posiblemente siempre han estado confinados, quien sabe dónde, delante de sus ordenadores, programando la nueva versión de algún cryptolocker. También, en otros ratos libres, estarán analizando cuál es el precio adecuado para vender en la Deep Web las bases de datos y las carpetas de archivos que han secuestrado. Así que, lamentablemente, una vez analizado el modus operandi de los ciberdelincuentes, parece que el virus no les va a afectar en gran medida.
Estrategia cíber
Ante hechos tan graves como se están viviendo, la estrategia de ciberseguridad debe ser considerada una prioridad para la continuidad del negocio. En esta situación tan excepcional, existen negocios cerrados físicamente que esperan abrir cuando la coyuntura se normalice. Mientras tanto, los servicios y servidores con los datos empresariales siguen estando a disposición de los trabajadores. Por ello es necesario protegerlos de la manera adecuada a los nuevos retos introducidos por el teletrabajo.
Los ciberdelincuentes eran capaces de penetrar la red perimetral de las empresas o de engañar a los empleados con campañas de phishing cuando estos últimos estaban en sus puestos de trabajo, concentrados, bajo la tutela de los departamentos de seguridad e informática. Ahora la situación es muy diferente, ya que los empleados utilizan en sus hogares routers convencionales, en ocasiones sus propios ordenadores. Además, el entorno doméstico, sobre todo en caso de tener carga familiar, no es el mejor para estar concentrado. Entre las medidas de seguridad a aplicar en estos casos, los sistemas más adecuados son las conexiones VPN (Virtual Private Network) y los VDI (Virtual Desktop Infraestructure). Las demás soluciones, como programas de acceso remoto o conexiones RDP (Remote Desktop Protocol), deberían descartarse. Y si no es posible evitarlas, aplicar medidas de seguridad muy estrictas y controladas.
Los departamentos de sistemas de información han trabajado a contrarreloj para poder dar la mayor cobertura posible al teletrabajo, para que la actividad empresarial no se viera afectada en su totalidad. Este despliegue tecnológico, por su urgencia, hace que las medidas de seguridad se relajen, priorizando el abastecimiento del hardware y software necesario para albergar el mayor número posible de usuarios que puedan realizar su trabajo de forma remota.
Al relajar la seguridad hemos aumentado los riesgos, por lo que, una vez aumentada la infraestructura, es necesario realizar una auditoría de ciberseguridad del estado de los nuevos riesgos que se han introducido, para luego elaborar un plan para mitigar dichos riesgos. Este proceso no se puede demorar en el tiempo, ya que las herramientas automatizadas de los ciberdelincuentes serán las que detecten nuestras brechas de seguridad antes que nosotros. Todo esto nos plantea la necesidad de tener un Plan de Continuidad de Negocio y un Plan de Recuperación de Desastres que sean revisables anualmente y, sobre todo, que sean supervisados obligatoriamente ante un incidente que pueda comprometer las medidas que se plantean en él.
Los planes de continuidad de negocio no deben redactarse solo de forma teórica, pensando que nunca se van a ejecutar porque no va a ocurrir un hecho excepcional. Hay que elaborarlos de manera realista para que puedan ejecutarse de una forma práctica, con un presupuesto definido y aprobado por la dirección de la empresa. Estos planes de continuidad de negocio deben implicar la adopción de medidas de seguridad física, de seguridad electrónica y de ciberseguridad, así como de seguridad de las personas. Respecto a estas últimas, el departamento de Prevención de Riesgos Laborales juega un papel crucial en la adopción de medidas preventivas y destinadas a reducir los riesgos vinculados con la salud de los trabajadores.
Me gustaría destacar una medida, por encima de todas, en un plan de continuidad: la redundancia. Esta medida se suele aplicar en los recursos de seguridad, informáticos y de comunicaciones, pero también debería aplicarse en los humanos, procurando que la organización no dependa de una única persona para llevar a cabo una tarea. Esto es solo un ejemplo de medida de resiliencia humana. Estoy convencido que después de esta crisis sanitaria vamos a pensar, entre todos, muchas otras medidas orientadas a reducir los riesgos vinculados con las personas que ayuden a los Estados y las organizaciones a alcanzar una resiliencia global.