7 preguntas apremiantes sobre ciberseguridad que las juntas directivas deben hacer

Por cada nueva tecnología que inventan los profesionales de la ciberseguridad, solo es cuestión de tiempo que los actores malintencionados encuentren una forma de evitarla. Necesitamos nuevos enfoques de liderazgo a medida que pasamos a la siguiente fase de protección de nuestras organizaciones. Para los consejos de administración (BOD), esto requiere desarrollar nuevas formas de cumplir con su responsabilidad fiduciaria con los accionistas y la responsabilidad de supervisar la gestión del riesgo empresarial. Los directores ya no pueden abdicar de la supervisión de la ciberseguridad ni simplemente delegarla en los directores de operaciones. Deben ser líderes bien informados que prioricen la ciberseguridad y demuestren personalmente su compromiso. Muchos directores lo saben, pero aun así buscan respuestas sobre cómo proceder.

Realizamos una encuesta para entender mejor cómo las juntas directivas abordan la ciberseguridad. Preguntamos a los directores con qué frecuencia la junta discutía sobre ciberseguridad y descubrimos que solo el 68% de los encuestados lo decía de forma regular o constante. Lamentablemente, el 9% dijo que no era algo de lo que hablara su junta.

A la hora de entender la función de la junta, había varias opciones. Si bien el 50% de los encuestados dijeron que se había discutido la función de la junta, no hubo consenso sobre cuál debería ser esa función. El 41% de los encuestados consideró que la función del consejo era asesorar a los directores de operaciones o a los líderes de nivel C, el 14% de los encuestados mencionó la participación en un ejercicio de mesa (TTX) y el 23% de los directores mencionó la conciencia general o «estar preparados para responder en caso de que se necesite al consejo». Sin embargo, el 23% de los encuestados también dijo que no había ningún plan o estrategia de junta directiva.

Basándonos en nuestras conclusiones, hemos elaborado las siguientes recomendaciones sobre lo que los consejos de administración deben saber, las medidas prácticas que pueden tomar los directores y las preguntas inteligentes que debe hacer en su próxima reunión.

Cinco cosas que los directores deben saber sobre ciberseguridad.

1. La ciberseguridad va más allá de la protección de los datos.

En los «viejos tiempos», proteger a las organizaciones de los ciberincidentes se consideraba principalmente proteger los datos. A los ejecutivos de la empresa les preocupa que se filtre información personal, que se roben las listas de clientes y que las tarjetas de crédito se utilicen de forma fraudulenta. Siguen siendo problemas, pero la ciberseguridad va más allá de la simple protección de los datos. A medida que hemos digitalizado nuestros procesos y nuestras operaciones, conectado nuestros complejos industriales con sistemas de control que permiten la gestión remota de grandes equipos y hemos vinculado nuestras cadenas de suministro con los procesos automáticos de pedido y gestión logística, la ciberseguridad ha adquirido una posición mucho más importante en nuestro panorama de amenazas. Una supervisión deficiente puede significar algo más que pagar multas porque los datos no estaban protegidos adecuadamente. Los directores necesitan una imagen real de las amenazas ciberfísicas y ciberdigitales a las que se enfrentan sus organizaciones.

2. Los BoD deben participar con conocimiento en la supervisión de la ciberseguridad.

La función del BOD es garantizar que la organización tenga un plan y esté lo más preparada posible. No es responsabilidad de la junta redactar el plan. Hay muchos marcos disponibles para ayudar a una organización con su estrategia de ciberseguridad. Nos gusta el marco de ciberseguridad del NIST, que es un marco desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos. Es simple y ofrece a los ejecutivos y directores una buena estructura para analizar los aspectos importantes de la ciberseguridad. Pero también tiene muchos niveles de detalle que los ciberprofesionales pueden utilizar para instalar controles, procesos y procedimientos. La implementación efectiva del NIST puede preparar a la organización para un ciberataque y mitigar las secuelas negativas de un ataque.

El marco del NIST consta de 5 áreas: identificar, proteger, detectar, responder y recuperar. Las organizaciones que están bien preparadas para un ciberincidente han documentado planes para cada una de estas áreas del marco del NIST, los han compartido con los líderes y han practicado las medidas que deben tomarse para desarrollar la memoria muscular y utilizarlos en una situación de infracción.

3. Los consejos de administración deben centrarse en el riesgo, la reputación y la continuidad empresarial.

Cuando los ciberprofesionales desarrollan políticas y prácticas, la tríada fundamental de objetivos es garantizar la confidencialidad, la integridad y la disponibilidad de los sistemas y los datos (la «CIA» de la ciberseguridad). Eso es necesario, pero el debate sería muy diferente al de los objetivos del riesgo, la reputación y la continuidad empresarial, que son las principales preocupaciones del BOD.

Si bien la junta tiende a elaborar estrategias sobre las formas de gestionar los riesgos empresariales, los profesionales de la ciberseguridad concentran sus esfuerzos en los niveles técnico, organizativo y operativo. Los idiomas que se utilizan para gestionar la empresa y gestionar la ciberseguridad son diferentes, y esto podría impedir la comprensión del riesgo real y el mejor enfoque para abordarlo. Tal vez debido a que la ciberseguridad es un campo técnico bastante complejo, es posible que la junta no sea plenamente consciente de los ciberriesgos ni de las medidas de protección necesarias que hay que tomar. Sin embargo, hay enfoques prácticos para abordar este problema.

Los directores no necesitan convertirse en ciberexpertos (aunque tener uno en la junta es una buena idea). Al centrarse en los objetivos comunes: mantener la seguridad de la organización y la continuidad operativa, se puede reducir la brecha entre la función del BOD y la de los profesionales de la ciberseguridad. Establecer una comunicación clara y coherente para compartir métricas útiles y objetivas de la información, los controles de los sistemas y el comportamiento humano es el primer paso. Las comparaciones con las mejores prácticas y metodologías existentes para la gestión de los riesgos de ciberseguridad son otra actividad para identificar las áreas de necesidad y los puntos fuertes de la organización. Los directores que hacen preguntas inteligentes a sus ejecutivos de ciberseguridad son una tercera acción para cerrar la brecha.

4. El enfoque predominante en materia de ciberseguridad es la defensa en profundidad.

Una serie de medidas de protección escalonadas pueden proteger la información valiosa y los datos confidenciales, ya que un fallo en uno de los mecanismos de defensa puede ser respaldado por otro, lo que podría impedir el ataque y abordar diferentes vectores de ataque. Este enfoque de varios niveles se conoce comúnmente como «enfoque de castillo» porque refleja las defensas estratificadas de un castillo medieval para evitar ataques externos.

Los niveles de defensa suelen incluir la tecnología, los controles, las políticas y los mecanismos de organización. Por ejemplo, los firewalls (y muchas empresas tienen varios firewalls), las herramientas de gestión de identidad y acceso, el cifrado, las pruebas de penetración y muchos otros son todos defensas tecnológicas que crean barreras o detectan las infracciones. Las tecnologías de inteligencia artificial prometen reforzar estas barreras a medida que surjan amenazas nuevas y persistentes. Pero la tecnología por sí sola no puede mantenernos lo suficientemente seguros. Los centros de operaciones de seguridad (SOC) supervisan y participan personas para detectar cosas que las tecnologías pasan por alto, como ocurrió en la violación de SolarWinds, en la que un astuto asociado vio algo inusual e investigó. Pero ni siquiera los SoC pueden mantener a la organización a salvo al 100%.

Las políticas y los procedimientos son necesarios para cumplir con los requisitos de control y los establece la dirección. Y, francamente, en el mundo actual, necesitamos que todas las personas de nuestras organizaciones ofrezcan algún nivel de defensa. Como mínimo, todo el mundo debe estar al tanto de las estafas y los intentos de ingeniería social para evitar ser víctimas. Por cierto, eso incluye a los directores, que también son objetivos y deben saber lo suficiente como para no dejarse atrapar por correos electrónicos o avisos falaces.

5. La ciberseguridad es un problema organizativo, no solo un problema técnico.

Muchos problemas de ciberseguridad se deben a errores humanos. Un estudio de la Universidad de Stanford reveló que El 88% de los incidentes de violación de datos se debieron a errores de los empleados. Alinear a todos los empleados, no solo al equipo de ciberseguridad, en torno a las prácticas y los procesos para mantener la organización segura no es un problema técnico, sino organizativo. La ciberseguridad exige que todos los miembros de la organización tomen conciencia y actúen para reconocer las anomalías, alertar a los líderes y, en última instancia, mitigar los riesgos.

Nuestra investigación en el MIT sugiere que la mejor forma de hacerlo es crear una cultura de ciberseguridad. Definimos una «cultura de ciberseguridad» como un entorno impregnado de las actitudes, creencias y valores que motivan comportamientos de ciberseguridad. Los empleados no solo siguen las descripciones de sus puestos, sino que también actúan de manera coherente para proteger los activos de la organización. Esto no significa que todos los empleados se conviertan en expertos en ciberseguridad, sino que cada empleado es responsable de supervisar y comportarse como si fuera un «campeón de la seguridad». Esto añade una capa de protección humana para evitar, detectar y denunciar cualquier comportamiento que pueda ser aprovechado por un actor malintencionado.

Los líderes marcan la pauta para priorizar este tipo de cultura, pero también refuerzan y personifican los valores y creencias para la acción. El BOD también tiene un papel en esto. Con solo hacer preguntas sobre ciberseguridad, los directores dan a entender que es un tema importante para ellos y eso envía el mensaje de que debe ser una prioridad para los ejecutivos corporativos.

Las preguntas que su junta necesita escuchar.

He aquí una lista de siete preguntas que debe hacerse para asegurarse de que su junta entiende cómo gestiona su organización la ciberseguridad. El simple hecho de hacer estas preguntas también aumentará la conciencia sobre la importancia de la ciberseguridad y la necesidad de priorizar las acciones.

1. ¿Cuáles son nuestros activos más importantes y cómo los protegemos?

Sabemos que no podemos estar seguros al 100%. Hay que tomar decisiones difíciles. El BOD debe asegurarse de que los activos más importantes de la organización estén protegidos al más alto nivel razonable. ¿Son los datos de sus clientes, sus sistemas y procesos operativos o la propiedad intelectual de su empresa? Preguntar qué se protege y qué hay que proteger es un primer paso importante. Si no hay acuerdo sobre qué proteger, el resto de la estrategia de ciberseguridad es discutible.

2. ¿Cuáles son los niveles de protección que hemos establecido?

La protección se realiza con varios niveles de defensa, procedimientos y políticas y otros enfoques de gestión de riesgos. Las juntas directivas no necesitan tomar la decisión sobre cómo implementar cada uno de estos niveles, pero el BOD sí necesita saber qué capas de protección existen y qué tan bien cada capa protege a la organización.

3. ¿Cómo sabemos si nos han violado? ¿Cómo detectamos una infracción?

El BOD estaría ignorando una parte importante de su responsabilidad fiduciaria si no se asegura de que la organización cuente con capacidades de protección y detección. Como muchas infracciones no se detectan inmediatamente después de producirse, el BOD debe asegurarse de saber cómo se detecta una infracción y estar de acuerdo con el nivel de riesgo que se deriva de este enfoque.

4. ¿Cuáles son nuestros planes de respuesta en caso de incidente?

Si se pide un rescate, ¿cuál es nuestra política de pago? Aunque no es probable que la junta forme parte del plan de respuesta detallado en sí misma, el BOD sí quiere asegurarse de que hay un plan. ¿Qué ejecutivos y líderes forman parte del plan de respuesta? ¿Cuál es su función? ¿Cuáles son los planes de comunicación (al fin y al cabo, si los sistemas se infringen o no son fiables, cómo nos comunicaremos?). ¿Quién alerta a las autoridades? ¿Qué autoridades están alertadas? ¿Quién habla con la prensa? ¿Nuestros clientes? ¿Nuestros proveedores? Tener un plan es fundamental para responder de manera adecuada. Es muy poco probable que el plan se ejecute exactamente como se diseñó, pero no querrá esperar a que se produzca una infracción para empezar a planificar la respuesta.

5. ¿Cuál es la función de la junta en caso de incidente?

Sería útil que el BOD supiera cuál será su función y la practique. ¿La función de la junta es decidir si pagar un rescate o no, hablar con los clientes más importantes, estar disponible para reuniones de emergencia con los ejecutivos de la organización y tomar decisiones justo a tiempo? En un artículo anterior nuestro se hablaba de importancia de practicar las respuestas. Utilizar simulacros de incendio y ejercicios de mesa para desarrollar la memoria muscular parece un lujo, pero si su empresa tiene un incidente, querrá asegurarse de que ese músculo de respuesta está preparado para funcionar.

6. ¿Cuáles son nuestros planes de recuperación empresarial en caso de un ciberincidente?

Muchos ejecutivos a los que hemos entrevistado no han puesto a prueba sus planes de recuperación empresarial. Puede haber diferencias significativas en la recuperación de una interrupción empresarial provocada por un ciberincidente. La recuperación de datos puede ser diferente si todos los registros son destruidos o corrompidos por un actor malintencionado que cifra los archivos o los manipula. Los BOD quieren saber quién es el «propietario» de la recuperación empresarial, si existe un plan para hacerlo realidad y si se ha puesto a prueba teniendo en cuenta un ciberincidente.

7. ¿Nuestra inversión en ciberseguridad es suficiente?

No puede invertir lo suficiente como para estar seguro al 100%. Pero dado que hay que fijar un presupuesto, es crucial que las empresas se aseguren de contar con un equipo de seguridad excelente con la experiencia adecuada para abordar los problemas técnicos y entender las vulnerabilidades de las principales funciones críticas de la empresa. De este modo, la empresa estará mejor preparada para asignar la inversión donde más se necesite. Las empresas deberían evaluar su nivel de protección y su tolerancia al riesgo antes de realizar nuevas inversiones. Dos formas de hacerlo son mediante simulaciones de ciberataques y pruebas de penetración/vulnerabilidad. Estas acciones exponen las vulnerabilidades, permiten minimizar los posibles daños en función de la prioridad, la exposición al riesgo y el presupuesto y, en última instancia, garantizan una inversión adecuada de tiempo, dinero y recursos.

Las juntas directivas desempeñan una función única a la hora de ayudar a sus organizaciones a gestionar las amenazas a la ciberseguridad. No tienen la responsabilidad de la gestión diaria, pero sí la responsabilidad fiduciaria y de supervisión. No deje ninguna pregunta sobre las vulnerabilidades críticas para mañana. Hacer las preguntas inteligentes en la próxima reunión de la junta podría evitar que una infracción se convierta en un desastre total.

UN Reconocimiento: Esta investigación se financió, en parte, con fondos de los miembros del consorcio Cybersecurity at MIT Sloan (CAMS).