Tema
Resiliencia es un término que ha hecho fortuna en el campo de la seguridad, incluida la ciberseguridad. Todas las estrategias y políticas de seguridad fomentan la capacidad de recuperación, la resiliencia, también las de ciberseguridad, pero ¿en qué se diferencian la ciberseguridad y la ciberresiliencia? [1]
Resumen
Resiliencia es la palabra de moda en el campo de la seguridad. En sentido amplio se refiere a la capacidad de recuperación tras las crisis o incidentes y, en el estricto, a las medidas que se adoptan para asegurar esa capacidad. En este ARI se analiza la evolución de la resiliencia y su impacto en la ciberseguridad, la ciberdefensa y la ciberdiplomacia, junto a las principales aportaciones de cada iniciativa europea y nacional de los últimos años. El análisis plantea la duda de si la ciberresiliencia sirve sólo para designar la resiliencia de la ciberseguridad o si altera el modelo de gestión de la ciberseguridad y las funciones de sus responsables.
Análisis
Resiliencia se aplica a todo lo que tenga que ver con la capacidad de recuperación, tanto a las medidas preventivas como a las reactivas para minimizar daños y agilizar la recuperación. Como ejemplo, las estrategias españolas de Seguridad Nacional han asociado el término de resiliencia a la gestión de las crisis para normalizar cuanto antes el funcionamiento de los servicios esenciales. En su último informe de 2024, se considera la ciberresiliencia, la resiliencia de la ciberseguridad, como uno más de los componentes de la resiliencia nacional, para los que se ha creado un Grupo Permanente de Coordinación dentro del Comité de Situación del sistema de Seguridad Nacional.[2] Dentro de la ciberseguridad, la resiliencia se ha asociado a la protección de las infraestructuras críticas y la provisión de los servicios esenciales ofrecidos por éstas, mediante la aplicación de medidas de seguridad que han evolucionado desde un enfoque de cumplimiento de obligaciones regladas hacia otro orientado a la gestión de los riesgos (risk-based approach) en la que se incluyen toda clase de riesgos, como los tecnológicos, que no se contemplaban en la ciberseguridad.[3]
La ciberseguridad y resiliencia están significativamente relacionadas. Los modelos de evaluación de la ciberseguridad, tales como ISO 27001 o el Esquema Nacional de Seguridad, contemplan habitualmente medidas a caballo entre la ciberseguridad y la resiliencia, como la exigencia de desarrollar planes de contingencia. Sin embargo, estos modelos no suelen incluir otros elementos o acciones, más propios de la resiliencia, tales como las dirigidas a informar al público del incidente para recuperar la confianza en la organización, en el sector o en el propio Estado a través, por ejemplo, de la notificación a los organismos supervisores, a las Fuerzas y cuerpos de seguridad o medidas de respuesta de carácter social o económico.
Figura 1. Superposición y convergencia de la ciberresiliencia
Ciberseguridad y resiliencia son dos conceptos superpuestos con una frontera más o menos difusa. Se puede considerar que son dos conceptos diferentes (ciberseguridad o resiliencia) cuya interacción se estrecha según la Figura 1, o que la resiliencia es un estado o cualidad aplicable a la ciberseguridad (la resiliencia de la ciberseguridad o ciberresiliencia). La relativa dificultad de deslindar ambos conceptos ha podido provocar una cierta inadecuación de la terminología, especialmente cuando se han empleado indistintamente, como en la Unión Europea (UE).[4]
El término ganó popularidad en Europa durante la pandemia del COVID-19, que desencadenó una oleada de crisis sanitarias, económicas, logísticas y digitales que obligó a la UE a reforzar sus mecanismos de preparación, respuesta y resiliencia ante futuras crisis.[5] El término se aplicó enseguida a la economía mediante el Fondo de Recuperación y Resiliencia (NextGenerationEU), lo que unido a la confrontación geopolítica con China y a la invasión rusa de Ucrania ampliaron aún más el interés por ella dentro de la Unión. En el ámbito de la seguridad y la defensa, la Brújula Estratégica incluyó un análisis de riesgos de la UE en el que se describían los retos y amenazas que afectaban a la seguridad europea y que obligaban a reforzar la resiliencia europea en sus distintos ámbitos, incluido el de la ciberseguridad.
A la “europeización” de la resiliencia, le siguió su “atlantización” en el Concepto Estratégico de la Organización del Tratado del Atlántico Norte (OTAN) de 2022. La Alianza tenía que protegerse frente a la hostilidad de las tácticas híbridas que obligan a reforzar todas las dimensiones de la resiliencia, tanto civiles como militares, incluidas la ciberseguridad y la ciberdefensa. La OTAN dispone de una Estrategia contra las Amenazas Híbridas desde 2015 y de un Centro de Excelencia al respecto desde 2017. También coopera con la UE para fomentar la resiliencia de las infraestructuras críticas, aunque corresponde a los Estados miembros supervisar su evolución.[6]
A la resiliencia colectiva y nacional se añade la corporativa. A medida que la resiliencia ha escalado posiciones en el enfoque de riesgo de las entidades privadas, se está convirtiendo en la medida de la continuidad del negocio. En ese sentido, proliferan los índices que miden la ciberresiliencia corporativa, como el Cyber Resilience Index del Foro Económico Mundial. Emplean variables que se corresponden, en líneas generales, con las que se utilizan para medir la ciberseguridad, pero enfocadas a permitir que las organizaciones continúen con su funcionamiento en las condiciones de ciberseguridad más difíciles (evalúan la resiliencia de la ciberseguridad o la ciberresiliencia).
Los riesgos afectan a la democracia, la seguridad económica y la energética, las libertades, las infraestructuras críticas, las políticas exterior, de seguridad y de defensa, los cinco dominios estratégicos, el cambio climático, emergencias, cadenas de suministro, tecnologías y asociaciones estratégicas de la UE. La Estrategia de Ciberseguridad de 2013 identificó la resiliencia de sus redes y sistemas de información como uno de sus cinco objetivos estratégicos y, para desarrollarla, se propuso incrementar las capacidades de prevención y respuesta mediante una Directiva con el fin de armonizar los niveles de seguridad de las redes y sistemas de información de la UE (conocida como Directiva NIS), así como los sistemas de control industrial y la colaboración público-privada. Progresivamente, y sin perjuicio de las competencias nacionales, la UE ha ido asumiendo el papel de dinamizador y regulador de la ciberresiliencia del mercado interior y dotándose de los instrumentos necesarios para ello.[7]
La UE aprobó en 2016, la mencionada Directiva NIS para proteger las infraestructuras críticas y armonizar las obligaciones de los operadores de los servicios críticos.[8] Los Estados miembros tuvieron que designar autoridades nacionales, elaborar estrategias y planes de cooperación NIS y disponer de equipos de respuesta a los incidentes (Computer Emergency Response Teams, CERT), así como establecer mecanismos de prevención, mitigación y respuesta frente a incidentes. Los actores privados y públicos de la ciberseguridad en sectores críticos tuvieron que pasar de una cultura de cooperación voluntaria (European Public Private Cooperation, EP3R) a una cultura de gestión de riesgo cada vez más reglada en el plano nacional y europeo.
La UE estableció su propio CERT-EU y, aunque ya contaba con una agencia de ciberseguridad (ENISA) desde 2004, tuvo que reforzar sus competencias para apoyar a los Estados miembros y a las empresas en la implantación de las nuevas medidas de cooperación y resiliencia mediante la Cybersecurity Act de 2019, modificada en 2023. El nuevo reglamento incluyó los esquemas europeos de certificación, imprescindibles para garantizar un nivel adecuado de ciberseguridad de los productos, servicios y procesos europeos, tal y como se analizará más adelante.
En mayo de 2020, se aprobó la Estrategia de Ciberseguridad de la UE en la que se ampliaron y profundizaron las medidas para la “ciberresiliencia” de todos los sectores relevantes. La Estrategia puso en marcha la revisión de la Directiva NIS, una nueva Directiva sobre la resiliencia de las entidades críticas, una red de centros de operaciones (SOC) y la Unidad Conjunta de Ciberseguridad de la UE. La Estrategia europea siguió reforzando el papel de la UE como coordinador de las respuestas a incidentes a gran escala[9] y, también, se preocupó por canalizar inversiones aprovechando los fondos europeos de investigación para desarrollar competencias industriales[10], tecnológicas y de investigación europeas mediante un reglamento para establecer el Centro Europeo de Competencia en Ciberseguridad.
Posteriormente, en mayo de 2022, el Consejo hizo pública la ciberpostura de la UE, es decir la forma en la que la UE se propone combinar los distintos instrumentos y políticas de la UE para preservar un ciberespacio abierto, libre y seguro y defenderlo de las amenazas y ciberataques.[11] Esta doctrina de acción reivindica la necesidad de reforzar la ciberresiliencia de la UE, a través de todas las iniciativas normativas señaladas anteriormente, junto a la de sus aliados y socios mediante la cooperación y la construcción de capacidades. Comprende todas las fases de actuación, desde la prevención a las opciones de respuesta, incluidas las de responder “con firmeza” a los ciberataques.[12]
La Comisión puso en marcha un plan de acción en 2018 que ha llevado al reglamento de resiliencia operativa digital (Digital Operational Resilience Act, DORA) de diciembre de 2022.[13] Es un reglamento sectorial que se aplica a un gran número de entidades de crédito, de pago, de dinero electrónico, agencias de calificación, gestores de fondos, empresas de seguros y reaseguros, proveedores de servicios de criptoactivos o de servicios de Tecnologías de la Información y la Comunicación (TIC) tales como plataformas de cloud y análisis de datos. DORA incide en afrontar la gestión de riesgos tecnológicos y en particular de ciberseguridad.
El sector financiero ha sido un pionero en la lucha contra la ciberdelincuencia y sigue siendo uno de los sectores más expuestos a los ciberataques de los grupos criminales organizados. La regulación es muy intensa y demandará cambios en la gestión del riesgo tecnológico y en la gobernanza interna de la ciberseguridad, incluidas las nuevas responsabilidades de los consejos de administración. El sector cuenta con actores públicos y privados dentro de un ecosistema de instituciones internacionales, europeas y nacionales de gobernanza bancaria como el Comité de Supervisión Bancaria de Basilea (BCBS), el Comité de Pagos e Infraestructura del Mercado (CPMI), entre muchos otros. La regulación sobre resiliencia ha pasado de un enfoque de prevención de los ciberataques dentro de la gestión de riesgos a otro que asume la posibilidad de un fallo (breach mentality) y está más alineado con el concepto de resiliencia operativa.[14] El Banco Central Europeo también ha adoptado este enfoque combinado para proteger los datos y sistemas de los ciberataques, minimizar las disrupciones y reanudar las operaciones cuanto antes, para lo que realiza pruebas de ciberresiliencia a entidades europeas de crédito.[15]
La Directiva sobre las medidas para aumentar el nivel de seguridad común en la UE (Security of Network and Information Systems, NIS2) de diciembre de 2022 revisó la Directiva NIS de 2016 y debe trasponerse en octubre de 2024.[16] Es una regulación transversal que establece exigencias mínimas comunes de ciberresiliencia a las entidades obligadas establecidas en la UE y que ofrecen servicios esenciales. Los Estados miembros deberán adecuar sus estrategias nacionales a la NIS2, definir autoridades competentes, designar equipos de respuesta (CSIRT.es) y habilitar regímenes de supervisión y sanciones. Las entidades implicadas, –las anteriores más las administraciones públicas, proveedores de servicios digitales, comunicaciones electrónicas, productos críticos, servicios postales y aguas–, aumentarán sus obligaciones de gobernanza, notificación, certificación y cadena de suministro, entre otros. Además, la NIS2 formalizó la red europea para la gestión de crisis (European Cyber Crises Liaison Organisation Network, EU-CyCLONe) que funcionaba informalmente desde 2020 entre las autoridades nacionales y ENISA para mejorar la respuesta a los incidentes.
La Directiva sobre la resiliencia de entidades críticas (Critical Entities Resilience, CER) de enero de 2023 aportó una definición de la misma en la que se diferencian elementos cibernéticos y no cibernéticos, y dentro de los cibernéticos valoran capacidades desde la prevención a la recuperación.[17] Persigue la resiliencia de las entidades críticas frente a emergencias naturales o causadas por cualquier tipo de amenaza y deroga la Directiva 2008/114 sobre la identificación y designación de infraestructuras críticas europeas (conocida como Directiva PIC). Son entidades críticas las que proporcionan servicios de banca, transporte, salud, agua, residuos, infraestructuras digitales y financieros, espacio, administración pública y alimentos (10 sectores). Los países europeos deberán trasponer la Directiva en 2024 y disponer en enero de 2026 de una estrategia específica de resiliencia (no de ciberresiliencia), con objetivos, medidas de actuación y un marco de gobernanza, junto con una evaluación de riesgos específica y un listado de entidades críticas. Por su parte, las entidades críticas deberán disponer de un plan de resiliencia y ponerlo en práctica bajo la supervisión de las autoridades nacionales, mientras que la Comisión supervisará los resultados nacionales a través de su Grupo de Resiliencia de las Entidades Críticas (al igual que el Grupo de Cooperación supervisa los avances de la resiliencia en aplicación de la Directiva NIS).[18] De esta forma, la gestión de la resiliencia, y no sólo de la ciberseguridad, ha entrado en la gestión de riesgos corporativos de las entidades críticas.
El Reglamento sobre cibersolidaridad (EU Cyber Solidarity Act, CSA) de abril de 2023 reforzó la conciencia situacional, el intercambio de información y el apoyo a la preparación ante ciberincidentes a gran escala que puedan afectar a varios Estados miembros. Para alcanzar estos objetivos se creó el denominado ciberescudo europeo (European Cybersecurity Shield) con una red de SOC interconectados junto a un mecanismo de emergencia (cyber emergency mechanism) y otro de revisión de incidentes (cyber security review mechanism). El ciberescudo se apoya en los SOC nacionales y en los SOC transfronterizos (consorcios de al menos tres países) para detectar incidentes y coordinar la respuesta con la Comisión, la red CSIRT y la red EU-CyCLONe.
El Reglamento de Ciberresiliencia (Cyber Resilience Act, CRA) extiende las obligaciones de resiliencia a los fabricantes de productos conectables, software y hardware. Anunciado en la Estrategia de Ciberseguridad de la UE de 2020, y a partir de su entrada en vigor en 2024, no se podrán comercializar productos que no cumplan los requisitos/certificación y los consumidores sabrán si compran o no productos protegidos y, además, si la protección se mantendrá o no durante la vida útil del producto.[19] En contrapartida, contarán con un etiquetado CE que contribuirá a la armonización y mejora de la
