Un principio clave de la nueva Estrategia Cibernética Nacional es un enfoque de “toda la sociedad”, lo que aumenta el énfasis en el papel que tienen tanto las organizaciones como los ciudadanos para trabajar junto con el gobierno para proteger a la nación de las amenazas cibernéticas.
Muchas empresas, y en particular aquellas que proporcionan elementos de infraestructura nacional crítica (CNI), han sido claras sobre su responsabilidad en este espacio durante muchos años. Sin embargo, a medida que los ataques cibernéticos afectan cada vez más a las empresas, las personas y la economía en general, se reconoce la necesidad de ampliar la responsabilidad de la acción.
El objetivo es que todos se beneficien de la nueva estrategia, habiendo participado también en su implementación. Las organizaciones que aún no se consideran una parte integral de la sociedad ahora deben hacerlo en lugar de creerse una entidad individual y considerar su papel en la lucha contra los ciberdelincuentes. Esto requiere partir de una base sólida, comprobar que su propia casa está en orden, velar por la seguridad de sus redes y sistemas de información y la vigilancia de sus equipos.
En última instancia, la estrategia debe identificar una metodología común para gestionar los riesgos de seguridad cibernética. La coherencia fomentará la eficiencia en todas las organizaciones y respaldará la colaboración necesaria para facilitar el intercambio de información sobre amenazas y riesgos entre sistemas interdependientes.
Para lograrlo, los objetivos estratégicos se han desglosado en cinco pilares para su implementación.
Pilar 1: Fortalecimiento del ecosistema cibernético del Reino Unido
Esto apoya el enfoque de “toda la sociedad”. Su objetivo es impulsar la comprensión dentro de las organizaciones, así como construir las relaciones y la confianza que son clave para la dirección que está tomando el Reino Unido.
Con un diálogo más abierto entre la empresa, el gobierno y la academia, las organizaciones tendrán la oportunidad de participar en la conversación. Al estar en condiciones de ofrecer información valiosa sobre los desafíos, potencialmente podrán dar forma a una política que los respalde.
Desde una perspectiva dentro de la industria, la colaboración alentará a los jugadores en el mismo campo a conectarse y compartir estrategias de defensa cibernética que ofrezcan un beneficio mutuo, utilizando esto para construir una red de disuasión que evite los ataques cibernéticos dirigidos a su sector u organizaciones de un tamaño similar. Del mismo modo, el intercambio de conocimientos entre industrias será vital para ampliar los conjuntos de habilidades a fin de abordar las amenazas del mundo real a medida que evolucionan.
Este pilar también cubre las habilidades, servicios y productos cibernéticos que ayudarán a las organizaciones a mejorar su postura defensiva. La importancia de las habilidades y la conciencia de seguridad cibernética para proteger y asegurar los datos y los sistemas se comprende cada vez mejor. Muchas empresas ya cuentan con una amplia experiencia en el área, lo que las coloca en una buena posición para asesorar al gobierno y a las personas. La incorporación de la lucha contra los ciberdelincuentes en los programas de responsabilidad social empresarial (RSE) podría formalizar el proceso de intercambio de conocimientos.
Pilar 2: Construir un Reino Unido digital resistente y próspero
Aquí, el énfasis está en desarrollar la resiliencia comprendiendo primero y luego gestionando adecuadamente el riesgo cibernético. Se basa en el pilar anterior con la capacidad de identificar riesgos transversales y sistémicos, orientar prioridades e impulsar casos comerciales para actividades de reducción de riesgos.
Las organizaciones se beneficiarán nuevamente del intercambio de conocimientos y amenazas comunes, así como del progreso de la reducción de riesgos en diferentes sectores. Algunos de estos sectores (CNI, por ejemplo) pueden esperar más regulaciones que detallen sus responsabilidades y las acciones apropiadas requeridas para gestionar el riesgo cibernético.
Sin embargo, la gestión del riesgo cibernético y las medidas defensivas nunca detendrán todos los ataques cibernéticos, y este pilar también analiza la importancia de responder y recuperarse de un ataque.
El gobierno buscará mejorar su coordinación de incidentes cibernéticos que tienen un impacto nacional. Las organizaciones deben apuntar a apoyar esos esfuerzos, con actividades que incluyan la notificación temprana de infracciones que creen que pueden ser de importancia nacional (con esto vinculado a la construcción de las relaciones relevantes y la confianza descritas en el pilar 1).
Pilar 3: Tomar la delantera en las tecnologías vitales para el poder cibernético
El tercer pilar sugiere una mayor inversión en el sector tecnológico del Reino Unido. Esta es una buena noticia para las empresas que crean tecnologías de vanguardia, pero con el tiempo todas las organizaciones se beneficiarán de los avances tecnológicos, que deberán ser seguros por diseño y desarrollados con estándares suficientes.
Las tecnologías emergentes en este espacio incluyen 5G/6G, computación cuántica y microprocesadores, entre otras, todas las cuales podrían servir a una organización ayudándola a reforzar sus defensas, independientemente de si ha participado en su desarrollo.
Pilar 4: Promover el liderazgo global y la influencia del Reino Unido para un orden internacional seguro y próspero
Las huellas de las operaciones cibernéticas de muchas organizaciones abarcan varios países, cada uno de los cuales tiene requisitos legales individuales. Dentro de este pilar, el gobierno del Reino Unido espera influir en un impulso multinacional para la gobernanza global, así como mejorar la postura de defensa cibernética de otros países para combatir mejor las amenazas cibernéticas en su conjunto.
La naturaleza de las operaciones digitales significa que las organizaciones globales pueden enfrentar amenazas cibernéticas desde cualquier parte del mundo. Con el tiempo, deberían beneficiarse de un entorno más seguro y enfrentar menos riesgos cibernéticos que perturben el negocio.
Pilar 5: Detectar, interrumpir y disuadir a nuestros adversarios para mejorar la seguridad del Reino Unido en y a través del ciberespacio
El delito cibernético es una industria importante, actualmente demostrado por la ocurrencia frecuente de ataques de ransomware muy publicitados, que causan una interrupción masiva en las organizaciones y requieren altos costos de recuperación.
El pilar final tiene como objetivo mejorar la seguridad del Reino Unido en el ciberespacio al atacar a los ciberdelincuentes y disuadir a los actores malintencionados para reducir el atractivo de cometer delitos cibernéticos.
Un papel clave para las organizaciones es abstenerse de la comprensible tentación de proteger su reputación al encubrir los ataques cibernéticos exitosos, en lugar de informarlos a la Agencia Nacional de Seguridad Cibernética (NCSC) y la Agencia Nacional contra el Crimen (NCA) para que el gobierno esté al tanto y pueda reunir pruebas para hacer frente a los grupos delictivos pertinentes.
En conclusión
La Estrategia Cibernética Nacional debe verse como una inyección bienvenida tanto de enfoque como de inversión para mejorar la defensa cibernética para todos.
Como sugiere el enfoque de “toda la sociedad”, el gobierno del Reino Unido no puede realizar los cambios tan necesarios sin el apoyo de organizaciones e individuos. Las organizaciones deberán dejar de trabajar en silos para colaborar en contramedidas y planes de respaldo, y colocar la defensa cibernética firmemente en la agenda de la sala de juntas. Y a medida que más ciudadanos toman conciencia de los riesgos cibernéticos y la importancia de su papel en la protección de su información, se reducen los riesgos de fugas de datos e infracciones en general.