En el panorama empresarial actual, la ciberseguridad se ha convertido en una preocupación crítica para organizaciones de todos los tamaños. Los ataques cibernéticos son cada vez más sofisticados y frecuentes, representando una amenaza significativa para la integridad, confidencialidad y disponibilidad de la información empresarial.
Pero ¿cuán preparada está realmente su organización para enfrentar las amenazas cibernéticas? o "¿Qué tan efectivo han sido los recursos que se han empleado en la preparación de ciberseguridad?"
Pero ¿cuán preparada está realmente su organización para enfrentar las amenazas cibernéticas? o "¿Qué tan efectivo han sido los recursos que se han empleado en la preparación de ciberseguridad?"
En este artículo, exploraremos estas cuestiones cruciales y ofreceremos una perspectiva práctica sobre cómo abordar los desafíos de ciberseguridad en el contexto del riesgo operacional. En este blog -basado en un artículo de una de las autoridades en el tema en el país, Milton Quiroga[1], -examinaremos estrategias efectivas para mejorar la postura de seguridad de su organización y proteger sus activos más valiosos.
La creciente amenaza cibernética y su impacto en el riesgo operacional
Los ciberataques han experimentado un aumento alarmante en los últimos años, ocurriendo en promedio cada 39 segundos. Estos ataques toman diversas formas, desde el robo de datos, pishing, y el ransomware[1] hasta el espionaje industrial y la interrupción de servicios críticos. Las consecuencias pueden ser devastadoras, incluyendo pérdidas financieras, daño reputacional y sanciones legales.
Un caso notable que ejemplifica las consecuencias devastadoras de un ciberataque es el de Equifax en 2017. La empresa sufrió una brecha de seguridad que expuso los datos personales de aproximadamente 147 millones de personas. Las consecuencias incluyeron una pérdida financiera significativa, con costos estimados en más de $1.4 mil millones de dólares, un grave daño a la reputación de la empresa, y sanciones legales que culminaron en un acuerdo de $700 millones con la Comisión Federal de Comercio de Estados Unidos (FTC).
El panorama de amenazas es dinámico y en constante evolución, con ciberdelincuentes desarrollando continuamente nuevas técnicas para evadir las medidas de seguridad
existentes. Esto hace que la protección contra estas amenazas sea un desafío que requiere vigilancia y adaptación continua.
La ciberseguridad tiene un impacto directo en el riesgo operacional de las organizaciones. Un incidente de seguridad no sólo puede interrumpir las operaciones comerciales de una organización, sino que también la expone a multas significativas por incumplimiento de las normativas de protección de datos y obligaciones contractuales con los clientes.
Es crucial que las organizaciones comprendan que la ciberseguridad, además de ser un problema técnico, tiene un riesgo empresarial que requiere atención a nivel de la alta dirección. La gestión efectiva del riesgo cibernético debe integrarse en la estrategia general de gestión de riesgos de la organización para proteger sus activos, reputación y continuidad operativa.
El riesgo reputacional: la amenaza silenciosa de los ciberataques
Tampoco podemos dejar de lado el riesgo reputacional, puesto que este es uno de los impactos más significativos de los ciberataques en las organizaciones. Un incidente de seguridad no sólo puede interrumpir las operaciones, sino también afectar gravemente la confianza de los clientes, inversores y socios comerciales. Las violaciones de datos, el robo de información confidencial, activos valiosos para la compañía o la inactividad prolongada de los servicios generan desconfianza y dañan la percepción pública de la empresa.
La falta de una respuesta adecuada o transparente ante un ciberataque puede amplificar aún más este riesgo, prolongando las consecuencias negativas. Las organizaciones deben abordar la ciberseguridad no únicamente como una cuestión operativa, sino como un pilar fundamental para proteger su reputación a largo plazo.
Responsabilidad de la Junta Directiva y Altos Ejecutivos en la gestión del riesgo cibernético
En el panorama actual de amenazas cibernéticas en constante evolución, la Junta Directiva y los Altos Ejecutivos juegan un papel crucial en la protección de los activos digitales y la reputación de la organización. Su liderazgo y compromiso son fundamentales para establecer una cultura de ciberseguridad robusta y resiliente. A continuación, se detallan las principales responsabilidades y acciones que deben asumir:
1. Establecer una cultura de ciberseguridad:
- Liderar con el ejemplo, demostrando un compromiso visible con las prácticas de
seguridad.
- Comunicar regularmente la importancia de la ciberseguridad a todos los niveles de la
organización.
- Fomentar un ambiente donde los empleados se sientan cómodos reportando incidentes o
preocupaciones de seguridad.
- Implementar programas de capacitación y sensibilización en ciberseguridad para todos los
impleados.
- Promover y recompensar las buenas prácticas, incentivar el comportamiento seguro con
reconocimientos para quienes contribuyan activamente a la ciberseguridad, reforzando así
su importancia en toda la organización.
2. Asignar recursos adecuados:
- Garantizar un presupuesto suficiente para inversiones en tecnología de seguridad, personal
especializado y servicios de consultoría.
- Apoyar la contratación y retención de profesionales de ciberseguridad altamente
calificados.
- Invertir en herramientas y tecnologías de seguridad de vanguardia.
- Asegurar que los recursos se distribuyan de manera efectiva entre la prevención, detección
y respuesta a incidentes.
3. Supervisar la estrategia de ciberseguridad:
- Participar activamente en la formulación y aprobación de la estrategia de seguridad de la
información.
- Enfocar los esfuerzos en los “critical-few”, aquellos procesos de negocio que son vitales
para el cumplimiento de la misión organizacional.
- Establecer métricas claras para evaluar la efectividad de las medidas deseguridad
implementadas.
- Realizar revisiones periódicas de la estrategia para asegurar su alineación con los objetivos
comerciales y el panorama de amenazas en evolución.
- Fomentar la colaboración entre los departamentos de TI, seguridad y las unidades de
negocio para una implementación efectiva de la estrategia.
4. Mantenerse informados:
- Recibir informes regulares del CISO (Chief Information Security Officer) o el responsable de
seguridad sobre el estado de la postura de seguridad de la organización.
- Participar en sesiones de actualización sobre las últimas tendencias en ciber amenazas
y mejores prácticas de seguridad.
- Solicitar evaluaciones independientes y auditorías de seguridad para obtener una
visión objetiva de la postura de seguridad de la organización.
- Mantenerse al día sobre las regulaciones y requisitos legales relacionados con la
ciberseguridad en los sectores y regiones donde opera la empresa.
5. Integrar la ciberseguridad en la planificación estratégica:
- Incorporar consideraciones de ciberseguridad en todas las decisiones comerciales
importantes, como fusiones y adquisiciones, lanzamiento de nuevos productos o expansión
a nuevos mercados.
- Evaluar los riesgos cibernéticos asociados con nuevas iniciativas tecnológicas,
como la adopción de tecnologías emergentes o la migración a la nube.
- Asegurar que la estrategia de ciberseguridad esté alineada con los objetivos
comerciales generales y la gestión de riesgos de la organización.
- Fomentar la innovación en seguridad para mantener una ventaja competitiva en
la protección de los activos digitales.
6. Establecer una gobernanza clara:
- Definir roles y responsabilidades claros en relación con la ciberseguridad en todos
los niveles de la organización.
- Establecer un comité de ciberseguridad a nivel de Junta Directiva para supervisar los
esfuerzos de seguridad de la información.
- Implementar procesos de escalamiento y toma de decisiones rápidos para responder
a incidentes de seguridad críticos.
- Asegurar la rendición de cuentas en todos los niveles de la organización
para el cumplimiento de las políticas y procedimientos de seguridad.
- Verificar que la organización cuenta con un procedimiento definido para manejo de
incidentes de seguridad.
- Desarrollar y mantener políticas de ciberseguridad claras y actualizadas que
definan estándares, procedimientos y expectativas para todos los empleados y
socios de la organización, asegurando que estén alineadas con los objetivos estratégicos
y regulatorios de la empresa.
7. Fomentar la resiliencia y la preparación para crisis:
- Aprobar y participar en simulacros regulares de respuesta a incidentes cibernéticos.
- Asegurar la existencia de planes de continuidad del negocio y recuperación ante desastres
que aborden escenarios de ciberataques.
- Establecer relaciones con las fuerzas del orden, reguladores y otras partes
interesadas relevantes para una respuesta coordinada en caso de un incidente grave.
- Promover una cultura de mejora continua, aprendiendo de los incidentes y casi
incidentes para fortalecer las defensas de la organización.
En suma: la Junta Directiva y los Altos Ejecutivos tienen la responsabilidad fundamental de establecer el tono y la dirección de la ciberseguridad en la organización. Su liderazgo activo y compromiso visible son esenciales para crear una cultura de seguridad resiliente, asignar recursos adecuados y garantizar que la ciberseguridad se integre en todos los aspectos de la estrategia y operaciones comerciales.
El papel de los Oficiales de Cumplimiento en ciberseguridad
En este contexto, el papel de los oficiales de cumplimiento en la ciberseguridad se vuelve cada vez más crucial.
Desarrollo de políticas: crean y mantienen políticas de ciberseguridad alineadas con estándares de industria y requisitos regulatorios.
Gestión de riesgos: colaboran con TI y otras áreas para identificar, evaluar y mitigar riesgos cibernéticos.
Formación y concienciación: implementan programas de capacitación en ciberseguridad. Cabe destacar que sólo el 45% de las organizaciones ofrecen esta formación a todos sus empleados.
Monitoreo del cumplimiento: aseguran que la organización cumpla con regulaciones como el RGPD en la UE o la CCPA en California.
Gestión de incidentes: desarrollan y mantienen planes de respuesta a incidentes cibernéticos, coordinando su ejecución en caso de brechas de seguridad.
Reporte a la dirección: informan regularmente a la alta dirección sobre el estado del riesgo cibernético y el cumplimiento de las políticas de seguridad.
Estos profesionales deben trabajar en estrecha colaboración con los equipos de TI y de gestión de riesgos para desarrollar e implementar políticas y procedimientos de seguridad efectivos.
Estrategias de mitigación de riesgos
Para abordar eficazmente los riesgos cibernéticos, las organizaciones deben implementar un enfoque integral que incluya:
·Evaluación continua de riesgos: realizar evaluaciones regulares para identificar vulnerabilidades y amenazas potenciales.
·Implementación de controles de seguridad: utilizar una combinación de controles técnicos, administrativos y físicos para proteger los activos de información.
·Gestión de accesos: implementar el principio de mínimo privilegio y autenticación multifactor para controlar el acceso a sistemas y datos sensibles.
·Proteger criptográficamente la información sensible de la organización, de acuerdo con los resultados de la evaluación de riesgos.
Respuesta a incidentes: desarrollar y probar planes de respuesta a incidentes para garantizar una reacción rápida y efectiva ante un ataque.
Educación y concienciación: proporcionar capacitación regular a todos los empleados sobre las mejores prácticas de seguridad y las amenazas emergentes.
·Colaboración con terceros: trabajar con proveedores, socios y autoridades para compartir información sobre amenazas y mejores prácticas.
Tecnologías emergentes y nuevos desafíos
A medida que las organizaciones adoptan nuevas tecnologías como la inteligencia artificial, el Internet de las cosas y la computación en la nube, surgen nuevos desafíos de seguridad. Es esencial que las empresas consideren los riesgos de seguridad asociados con estas tecnologías y desarrollen estrategias para mitigarlos.
Por ejemplo, el uso creciente de dispositivos IoT en entornos corporativos puede ampliar significativamente la superficie de ataque de una organización. Las empresas deben implementar medidas para asegurar estos dispositivos y monitorear su actividad en busca de comportamientos anómalos.
Del mismo modo, mientras que la IA puede mejorar las capacidades de detección y respuesta a amenazas, también puede ser utilizada por los atacantes para crear ataques más sofisticados y difíciles de detectar. Las organizaciones deben mantenerse al día con estos desarrollos y ajustar sus estrategias de seguridad en consecuencia.
Por otra parte, la adopción de la computación en la nube introduce riesgos relacionados con la gestión de datos y el control de acceso. Las brechas de seguridad pueden exponer información sensible si los entornos no se configuran correctamente. Además, la dependencia de terceros complica la supervisión de la seguridad. Las organizaciones deben implementar políticas estrictas y garantizar que sus proveedores cumplan con altos estándares de seguridad.
Creando una cultura de ciberseguridad
Uno de los aspectos más críticos de la ciberseguridad es la creación de una cultura organizacional que priorice la seguridad de la información. Esto implica:
Liderazgo visible: la alta dirección debe demostrar su compromiso con la seguridad de la información a través de sus acciones y comunicaciones.
Responsabilidad compartida: enfatizar que la seguridad es responsabilidad de todos, no solo del departamento de TI.
Comunicación abierta: fomentar un entorno donde los empleados se sientan cómodos reportando incidentes o preocupaciones de seguridad.
Mejora continua: revisar y actualizar regularmente las políticas y prácticas de seguridad basándose en las lecciones aprendidas y las amenazas emergentes.
Reconocimiento y recompensa: reconocer y recompensar a los empleados que demuestren buenas prácticas de seguridad.
Conclusión
La ciberseguridad es un desafío complejo y en constante evolución que requiere un enfoque holístico y proactivo. Las organizaciones deben reconocer que la seguridad de la información es una responsabilidad compartida que involucra a todos los niveles de la empresa, desde la Junta Directiva y Altos Ejecutivos hasta cada empleado individual. En medio de este desafío mundial, es esencial que las organizaciones establezcan una cultura de seguridad sólida que promueva la concienciación continua y la capacitación de su personal, asegurando que todos comprendan las políticas de seguridad y las mejores prácticas para mitigar eventuales riesgos.
___________________________ [1] CyTe - Infosec Technology Newsletter, junio 2020, No. 2. En: https://www.linkedin.com/pulse/ciberseguridad-y-riesgo-operacional-milton-quiroga/
[2] Este tipo de ataque se basa en mantener los datos o el sistema como rehenes hasta que la víctima cumpla con las demandas del cibercriminal.
Commenti