La cooperación entre el sector público y el privado que necesitamos en materia de ciberseguridad

No hace mucho, la ciberseguridad era un tema de trastienda. Ahora, ha llegado a la sala de juntas y a la sala de situación.

En febrero, el presidente Obama publicó una orden ejecutiva tenía como objetivo proteger la infraestructura crítica, añadir la voz de la administración a la de los miembros del Congreso y los líderes corporativos en la conversación nacional sobre ciberseguridad.

Así como el gobierno y la industria coordinaron la respuesta de las telecomunicaciones tras los ataques terroristas del 11 de septiembre, la orden incluye a entidades públicas y privadas para garantizar que la infraestructura crítica esté continuamente vigilada y protegida de los ataques.

Las ciberamenazas aumentan en intensidad y escala. Hemos visto infracciones importantes en agencias gubernamentales y empresas privadas, incluidas las principales instituciones financieras y grande Empresas de medios estadounidenses. Acusaciones recientes de robo de información de máxima seguridad relacionadas con el desarrollo de armas y sistemas de defensa aérea sofisticados no han hecho más que aumentar la preocupación por la seguridad de las redes nacionales.

Los sectores público y privado tienen que trabajar juntos para proteger los activos críticos con confianza y confianza, ayudando a gestionar los riesgos que conocemos y adelantándose a los que no conocemos.

Hay dos áreas principales de preocupación. La primera se centra en el concepto de mejora de lo público/privado intercambio de información y desarrollar estándares. La segunda es crear una ciberseguridad marco que aborde los riesgos en el gobierno y la industria, y que lo haga rápidamente. El Instituto Nacional de Estándares y Tecnología (NIST) quiere que se establezca un marco preliminar antes de finales de este verano y que el conjunto final de directrices esté listo para febrero de 2014.

La respuesta a las ciberamenazas actuales no puede limitarse a Washington. La ciberseguridad no tiene que ver solo con el cumplimiento de las leyes y los reglamentos, sino con proteger a las empresas del creciente peligro de las amenazas persistentes. Igual de importante es que un marco de ciberseguridad eficaz tiene que superar las barreras que se oponen al crecimiento económico continuo y crear un entorno que proteja y fomente la innovación.

No cabe duda de que el entorno es complejo. Los sectores industriales críticos, desde la energía y la banca hasta el transporte y la atención médica, responden a diferentes agencias gubernamentales o reguladores. Por lo tanto, es imperativo que cualquier oficial de ciberseguridad corporativo designado mantenga relaciones de trabajo sólidas con las partes interesadas gubernamentales correspondientes.

Es alentador que muchos líderes empresariales entiendan la amenaza. Un número creciente de consejos corporativos exigen actualizaciones periódicas a los CISO o CIO sobre su estado de preparación. Los ejecutivos corporativos deberían preguntarse: ¿cómo pueden las organizaciones públicas y privadas trabajar juntas de la manera más eficiente? ¿Cómo debería desarrollarse una relación productiva entre las dos partes en relación con los principales problemas de ciberseguridad? ¿Y cómo se pueden abordar las amenazas y, al mismo tiempo, proteger la propiedad intelectual y los derechos individuales a la privacidad?

Es fundamental que los sectores público y privado trabajar juntos crear un marco de ciberseguridad que tenga en cuenta las preocupaciones empresariales muy legítimas de mantener las obligaciones de privacidad individuales, proteger la información de propiedad corporativa y salvaguardar el posicionamiento competitivo, al tiempo que promueva un intercambio de información eficiente.

No todos los ataques llegan al nivel de un titular de la primera página. De hecho, muchas infracciones pueden dañar a las empresas de manera significativa sin llamar la atención de las noticias. El vandalismo de sitios web y el cortocircuito total de las redes provocan el robo de propiedad intelectual, el fraude y, en los casos más extremos, amenazas a la supervivencia de las empresas.

Tomemos, por ejemplo, la industria energética: según un reciente Informe del Congreso, los sistemas informáticos que impulsan la red eléctrica estadounidense están en ataque frecuente, incluso diario. Esa encuesta a funcionarios corporativos encontró ejemplos llamativos de intentos continuos de robar información crítica; una empresa informó de haber sufrido 10 000 intentos de ataque al mes.

Todos los ejecutivos de nivel C tienen una función a la hora de detener la ola de ciberataques. No es responsabilidad del CIO ni siquiera del CEO únicamente; los directores de operaciones, los directores financieros, los CRO, los CPO y el consejo corporativo deberían dedicarse por igual a compartir la responsabilidad activa de este esfuerzo. Se necesita una estrategia de ciberseguridad corporativa integral.

Con ese fin, todos los líderes empresariales deberían adoptar las cuatro medidas siguientes:

Comprenda el desafío: El perfil de amenazas de una organización debe ser lo más importante para todos los líderes. Crear métodos de supervisión continua y encontrar soluciones a los desafíos de la presentación de informes permitiría a los ejecutivos ir muy por delante de la curva. La inteligencia de riesgos es quizás más valiosa en los negocios del siglo XXI que la inteligencia empresarial convencional.

Establecer la responsabilidad: La dirección de la empresa debería solicitar informes trimestrales sobre las ciberamenazas más apremiantes de la organización, para garantizar que los ejecutivos desarrollen, rastreen y tracen métricas que les permitan cuantificar el impacto de cualquier intrusión. Un líder designado, ya sea el CIO u otro ejecutivo de alto nivel, podría servir de nexo para todas las actividades cibernéticas.

Coordine los esfuerzos: Un enfoque unificado tiene que ser exactamente eso: unificado. Asegúrese de que la ciberseguridad esté bien gestionada no solo en la sede de la empresa, sino en toda la cadena de suministro y valor. Desarrollar un sistema nacional eficaz para proteger nuestra infraestructura crítica requiere la coordinación de los elementos clave: los protocolos, el intercambio de datos confidenciales y las estrategias de TI.

Comunicar: La actividad de regulación gubernamental y gestión de riesgos corporativos es de alto nivel. Los oficiales de ciberseguridad deberían mantener una comunicación regular con sus asociaciones industriales y contactos gubernamentales para asegurarse de que se escuchan las perspectivas de la industria. Dado el papel generalizado y fundamental de la TI para el negocio y el valor de los activos de alta tecnología, los argumentos a favor de aumentar la transparencia y el diálogo entre las partes interesadas nunca han sido tan fuertes.

A nivel nacional, gastamos cientos de millones de dólares en detectar, neutralizar y recuperarnos de los ciberataques. Quizás no haya un aspecto financiero más importante de la gestión de una empresa hoy en día que el mantenimiento y la seguridad de los datos.

Si bien el coste de crear un sistema de ciberdefensa eficaz podría ser alto, el coste de no hacer lo suficiente puede ser aún mayor. Una cosa es segura: los ciberataques no se detendrán mientras hablamos de cómo crear una red de protección, quién debe administrarla y el precio de su implementación.

La solución comienza con la cooperación entre las líneas públicas y privadas y, de forma colectiva, con poner el bien común —la seguridad nacional y la competitividad económica de los Estados Unidos— en lo más alto de nuestra lista de prioridades.

Datos bajo asedio
Un HBR Insight Center

• Por qué las empresas deberían compartir información sobre los ciberataques
• Por qué su CEO representa un riesgo para la seguridad
• Tenga cuidado con la privacidad de las operaciones para mayor comodidad
• Cuatro cosas que el sector privado debe exigir en materia de ciberseguridad