La resiliencia puede describirse como la capacidad de anticipar, identificar, responder ante, amortiguar y recuperarse de contratiempos. Es algo que conocemos como un rasgo positivo en las personas, pero ahora está siendo exigido por ley como un atributo de las organizaciones que desempeñan un papel en la prestación de servicios y recursos vitales para la sociedad y el funcionamiento de las economías. En este artículo, analizamos las razones por las que la resiliencia debe integrarse en las operaciones de las entidades críticas y en toda su cadena de valor.
Las formas en que se pueden interrumpir las operaciones de cualquier organización son numerosas y crecen cada día.
La proliferación de ciberataques impulsada por la «comercialización» de ransomware es otro ejemplo obvio, pero no todas las posibles interrupciones se deben a intenciones criminales. El error humano y los accidentes siguen siendo la causa más común de interrupción operativa.
La escasez de materias primas y la interrupción de las cadenas de suministro interconectadas a nivel mundial también pueden tener un impacto inmediato. Todos recordamos el caos generado cuando el buque de carga Ever Given se quedó atrapado en el Canal de Suez durante seis días en 2021. La lista continúa con temas tan amplios como el fallo de maquinaria y procesos clave, los conflictos geopolíticos y las guerras comerciales, entre otros.
Por lo tanto, la resiliencia se ha convertido en una prioridad para todas las organizaciones. Sin embargo, para aquellos que proporcionan cualquier aspecto de las infraestructuras críticas de un país, la resiliencia se ha vuelto tan importante que se ha convertido en un imperativo normativo.
Por esta razón, el enfoque se ha ampliado de «infraestructura crítica» a «entidades críticas», abarcando así cualquier organización que desempeñe un papel, por pequeño que sea, en el apoyo a una creciente lista de industrias definidas como centrales para el bienestar económico o social de una nación.
Las crecientes exigencias normativas para entidades críticas
En Europa, la Directiva NIS2 centrada en la ciberseguridad y la Directiva de Resiliencia de Entidades Críticas (REC), más general, se están transponiendo en los estados miembros de la UE. Ambas plantean exigencias significativas a las organizaciones definidas como «entidades críticas», aquellas organizaciones que participan de cualquier manera en la prestación de lo que se consideran servicios esenciales para el mantenimiento de funciones sociales clave, el apoyo a la economía y la garantía de la salud y la seguridad públicas, así como la preservación del medioambiente.
Las dos directivas están estrechamente relacionadas entre sí. Es la primera vez que dos directivas afectan a la misma lista claramente definida de entidades críticas. No solo eso, sino que las leyes también se aplican a todas las cadenas de suministro de estas organizaciones, ampliando considerablemente el impacto de las mismas.
Definición (y demostración) de «resiliencia»
La propia Directiva REC de la Comisión Europea define la resiliencia como «la capacidad de una entidad crítica para prevenir, proteger contra, responder ante, resistir, mitigar, amortiguar, acomodar y recuperarse de un incidente».
La propia definición destaca la amplitud de los requisitos. Además, cuando también se tienen en cuenta la variedad y el número de causas de la posible interrupción de las operaciones, añadida a la necesidad de garantizar que la cadena de suministro de una organización respalde esta definición de resiliencia, queda clara la envergadura del desafío.
A nivel fundamental, las entidades críticas deben demostrar que comprenden de un modo integral TODOS los riesgos potenciales a los que están expuestas. Estos riesgos van desde un ataque físico a la infraestructura hasta el fallo de una pieza crítica de la maquinaria o un componente, así como todo lo que se encuentra entre ellas.
Evaluaciones de riesgos exhaustivas y el coste potencial de las infracciones
Las entidades críticas deben llevar a cabo evaluaciones de riesgos de la evolución de esos riesgos cada cuatro años, evaluando de nuevo todos los riesgos relevantes que podrían interrumpir la prestación de sus servicios esenciales.
Inevitablemente, las evaluaciones de riesgos realizadas por las propias entidades críticas también destacarán el papel en la resiliencia de sus propias cadenas de suministro. Esto creará un «efecto cascada» de las evaluaciones de riesgos, ya que los propios esfuerzos de las entidades críticas para cumplir con las demandas de las directivas en relación con la resiliencia requieren que sus proveedores demuestren un enfoque igual de sólido.
En caso de que se produzca un incidente que interrumpa la prestación de servicios esenciales, las entidades críticas deben demostrar que han tomado las medidas adecuadas para evitar, responder ante y recuperarse del incidente.
En caso de que se demuestre que dichas entidades esenciales hayan incumplido o no hayan tenido en cuenta y se hayan preparado adecuadamente para todos los riesgos, las posibles sanciones son considerables. La NIS2 define multas de hasta 10 millones de euros o el 2 % de los ingresos anuales totales mundiales del ejercicio fiscal anterior de la empresa matriz o del grupo al que pertenezca la entidad crítica, la cifra que sea mayor. Las sanciones por incumplimiento de la REC deberá definirlas cada país, pero podrían ser fácilmente similares a las de la NIS2.
La transparencia en la comunicación es otra exigencia de las directivas. Todos los incidentes deben notificarse y los informes deben compartirse de forma abierta y transparente en cuanto a la naturaleza del incidente, la respuesta y la resolución. Esto se hace para que otras organizaciones puedan aprender de la experiencia y sean capaces de ajustar sus propios enfoques para mitigar los riesgos.
Soporte a la resiliencia con tecnologías de red
Al satisfacer la necesidad de resiliencia, las entidades críticas se están replanteando el uso de las tecnologías basadas en IP que ya tienen implementadas (incluidas las cámaras de videovigilancia, los dispositivos de audio, las soluciones de control de acceso, los intercomunicadores, los sensores medioambientales, etc.), junto con capacidades analíticas cada vez más avanzadas.
Prácticamente todos los aspectos de la definición de resiliencia pueden estar respaldados por estas tecnologías, incluidas las propias evaluaciones de riesgos iniciales. Los datos y metadatos creados por el vídeo en red y otros dispositivos y sensores conectados se pueden analizar para crear conciencia de casi cualquier situación que pueda presentar un riesgo, un factor esencial para proporcionar la prueba de resiliencia exigida por la normativa.
Gracias a los avances en la calidad de imagen y el análisis basado en IA, se ha mejorado enormemente la capacidad de identificar, con antelación y mayor precisión, problemas de todo tipo. El flujo digital de información creado, cuando se gestiona correctamente, aumenta la concienciación general, lo que es clave para anticipar y evitar problemas. Los avisos automatizados habilitan una respuesta rápida y una acción focalizada, lo que significa que las amenazas y los posibles problemas se pueden abordar antes de que se conviertan en incidentes.
Mitigación de todo el panorama de riesgos
Aunque los casos prácticos de seguridad tradicionales son un ejemplo obvio de dónde ha desempeñado un papel central la videovigilancia, una mejor comprensión y capacidad para analizar el entorno respalda numerosos casos prácticos en salud y seguridad, y eficiencia operativa.
Al emplearse para agregar una capa adicional de transparencia en las áreas de producción, la combinación de sensores (de vídeo, de audio y térmicos) puede proporcionar una advertencia temprana de problemas en activos críticos, como maquinaria o procesos clave. Esto permite la solución antes de un posible fallo, y los datos recopilados a lo largo del tiempo respaldarán el mantenimiento predictivo de los activos críticos.
Los fallos de cumplimiento en los procesos de salud y seguridad relevantes también representan un riesgo significativo, con cualquier incidente que pueda causar una interrupción de las operaciones. Un sólido control de acceso (garantizar que solo el personal autorizado acceda a las áreas sensibles de una instalación), junto con los análisis para garantizar que se cumplan las medidas de salud y seguridad adecuadas, son solo dos ejemplos de cómo la tecnología de red puede ayudar a mitigar los riesgos internos.
Los ataques físicos de partes externas suelen acaparar los titulares, pero la mayoría de los incidentes que causan interrupciones en las operaciones son el resultado de acciones o fallos internos, generalmente inocentes pero a veces deliberados. Por ejemplo, los estudios han demostrado sistemáticamente que el error humano es responsable de la gran mayoría de los ciberataques, y lo mismo ocurre a menudo con los incidentes de salud y seguridad, los fallos en las máquinas o los bloqueos de la cadena de suministro.
La ciberseguridad sigue siendo un área clave de riesgo
Es esencial que cualquier tecnología utilizada por entidades críticas respalde la postura de seguridad general de la organización y ayude a reducir el riesgo de ciberataques. Un dispositivo diseñado para proteger un aspecto de las operaciones de una entidad crítica no debe presentar un riesgo o vulnerabilidad en sí mismo. Los dispositivos deben ser seguros por diseño y contar con procesos para mantenerlos lo más seguros posible a lo largo de su vida útil, para lo que deben colaborar el proveedor y la entidad crítica.
Algo que la normativa demanda cada vez más, tanto de un modo amplio como específico. Esto incluye la Ley Europea de Ciberresiliencia, que se aplica a cualquier dispositivo electrónico conectado directa o indirectamente a una red, desde un altavoz inteligente en el hogar hasta un servidor en un centro de datos, y las Directivas REC y NIS2, con relevancia más específica para entidades críticas. Resulta fundamental trabajar con proveedores que demuestren un claro compromiso con la transparencia en torno a la ciberseguridad.
La resiliencia es imprescindible en la actualidad
Todas las organizaciones deben tener interés en aumentar la resiliencia. En el mejor de los casos, cualquier interrupción de las operaciones puede tener un impacto a corto plazo en la rentabilidad. En el peor de los casos, puede amenazar a toda la empresa. Los costes pueden ser directos e indirectos, tangibles e intangibles, predecibles e imprevistos. El coste para la reputación de una organización a largo plazo puede superar con creces el impacto financiero a corto plazo.
Respecto a las entidades críticas, desde la sanidad hasta las finanzas y desde el tratamiento del agua hasta la energía, los reguladores han reconocido la gravedad del posible impacto de las interrupciones en el suministro de estos servicios. Una cosa es la amenaza a la rentabilidad y otra, la amenaza para la salud pública.
Las nuevas directivas deben considerarse positivas, pero no puede subestimarse el trabajo necesario para cumplirlas. Aunque las entidades y organizaciones críticas más grandes ya se han embarcado en este viaje, muchas otras a lo largo de la cadena de suministro de infraestructuras críticas no lo han hecho. Las directivas abarcan a un gran número de pequeñas y medianas empresas, muchas de las cuales pueden carecer de los conocimientos, la experiencia y la capacidad necesarios para cumplirlas. La experiencia y las habilidades de terceros están disponibles para ayudar, pero la demanda de estos puede superar pronto la oferta. Ahora es el momento de actuar.
