El papel de la alta dirección en la ciberseguridad
En nuestra serie de artículos sobre «Introducción a la Ciberseguridad» hemos cubierto los aspectos más importantes de la protección y gestión de riesgos cibernéticos. Con esta última entrega, concluimos nuestro recorrido centrándonos en otro aspecto clave: el papel estratégico de la alta dirección en la ciberseguridad.
La alta dirección debe considerar la seguridad cibernética de forma estratégica. Es crucial para garantizar la resiliencia operativa de la organización y su continuidad durante y después de un incidente. Un ejemplo fueron las organizaciones que con un enfoque proactivo en materia de ciberseguridad se adaptaron rápidamente al desafío que supuso el trabajo en remoto durante la pandemia del COVID-19.
Tenemos dos conceptos que desempeñan un importante papel en la reducción del riesgo cibernético en las organizaciones:
- La ciberseguridad que se centra en evitar que los ciberatacantes informáticos penetren en los sistemas de TI.
- La ciberresiliencia es la capacidad de una organización para protegerse, detectar, responder y recuperarse de un ciberataque.
Las organizaciones con sistemas ciberfísicos también deben considerar la seguridad y resiliencia de la tecnología operativa (OT) y los sistemas de control industrial (ICS).
Se debe adoptar un enfoque metódico y proactivo en seguridad cibernética, implementando medidas de seguridad básicas para reducir el riesgo para la organización.
La Alta Dirección es la responsable de garantizar que los riesgos sean identificados, evaluados y mitigados adaptándolos al apetito de riesgo del negocio.
La alta dirección debe garantizar que la seguridad cibernética reciba una inversión adecuada y confiar en sus expertos en ciberseguridad para que les faciliten la información necesaria para tomar decisiones sobre seguridad cibernética, alineadas con los riesgos del negocio.
Es importante tener presente que cualquier organización que dependa de la tecnología digital está expuesta al riesgo de sufrir un incidente cibernético. En muchas ocasiones, los ciberdelincuentes tratarán de explotar una vulnerabilidad de un sistema.
Ante un ataque cibernético, como un ataque ransomware, ya no solo se trata del perjuicio económico que pueda suponer el pago del rescate para recuperar los datos, también hay que tener en cuenta el coste de la interrupción del servicio, la pérdida de negocios, el daño reputacional, el coste de la investigación y recuperación del ataque, o las repercusiones legales en las que se pueda incurrir.
La seguridad cibernética afecta a todos los aspectos de la organización por ello es necesario que se disponga de una estrategia cibernética clara y efectiva, que cubra todo el ciclo de vida (planificación, detección, respuesta y recuperación) de un ciberataque. Es crucial que todos los componentes de la organización tengan clara sus obligaciones y responsabilidades en materia de ciberseguridad:
- Equipos técnicos que aseguran y protegen los datos y sistemas con los controles adecuados,
- Recursos humanos, garantizando la ciberseguridad durante todo el ciclo de vida del personal (contratación, cambio de puesto de trabajo, cese),
- Equipos de comunicación para coordinar las comunicaciones internas y externas con la prensa,
- Equipos de legal, asegurando los riesgos de responsabilidad ante posibles incidentes,
- Equipos de seguridad cibernética, con el diseño e implementación de las políticas de protección,
- Equipos de compras, considerando el riesgo cibernético en las relaciones con proveedores de servicios, software, hardware.
Es esencial que la seguridad cibernética esté integrada en los marcos de gobierno de toda la organización, incluyendo su estrategia, las políticas, los procesos de gestión de riesgos, los procedimientos de cumplimiento, los roles y responsabilidades, la estructura organizacional y controles para proteger a la organización de las amenazas cibernéticas.
Además, mediante auditorías, se deberá determinar la efectividad de la gobernanza de riesgos cibernéticos identificando brechas y oportunidades de mejora.
Otro de los puntos fundamentales en la organización es la cultura de seguridad, valores que determinan cómo se espera que las personas sean conscientes y afronten la seguridad en una organización. No olvidemos que son las personas las que hacen que una organización sea segura, no solo la tecnología y los procesos.
Una buena cultura de seguridad permite:
- Que los empleados se involucren, detecten posibles problemas y propongan posibles mejoras aumentando así la resiliencia,
- Que exista una comunicación abierta entre los empleados y los responsables de seguridad sin temor a represalias, y al mismo tiempo se evita la utilización negligente de los servicios TI,
- Que mejore el bienestar de los empleados en la organización, lo que facilita la retención de conocimiento, y la comprensión del porqué de las reglas de seguridad. Organizaciones que conservan experiencia cibernética dentro de su fuerza laboral tienen una ventaja competitiva.
Entender las amenazas
Identificar y analizar las posibles amenazas a las que está expuesta una organización nos permitirá adaptar la inversión en ciberseguridad. Es fundamental priorizar aquellas amenazas que resulten más críticas después de una rigurosa evaluación del riesgo. Al intentar defender a la organización de todas las amenazas (con mayor o menor probabilidad e impacto) se corre el riesgo de hacerlo de forma ineficaz, perder recursos y esfuerzos. Para una gestión de las amenazas se debe:
- entender y estar actualizado sobre el panorama de amenazas cibernéticas,
- integrar la evaluación de las amenazas en la gestión de riesgos,
- considerar la inteligencia sobre las amenazas, por ejemplo operando con SOC,
- mantener una colaboración estrecha con organizaciones del sector, públicas y privadas.
La gestión de riesgos
Realizar la gestión de riesgos de ciberseguridad únicamente con fines de dar cumplimiento a los requerimientos regulatorios puede llevarnos a disponer de un Checklist donde marcar las casillas sin evaluar realmente si lo que se está marcando es lo correcto, si se están gestionando los riesgos con mayor prioridad, y esto al final conduce a un exceso de confianza y una mayor exposición.
Hay que tener en cuenta que muchas veces dar cumplimiento a estándares de seguridad y normativas regulatorias puede enmascarar prácticas de seguridad débiles y no adaptadas a la realidad de la organización.
Para reducir o mitigar la probabilidad de ocurrencia y el impacto legal, financiero y de reputación que pueda causar los ataques cibernéticos se deben implementar y realizar revisiones periódicas de medidas efectivas de ciberseguridad (físicas, tecnológicas, organizativas, o de personal), que en muchos casos son un componente clave para el cumplimiento de los requisitos normativos, regulatorios o estándares. Estas medidas serán proporcionales a los requisitos técnicos, la sensibilidad de los datos a proteger y el apetito de riesgo de la organización.
En muchos casos, para la prestación de servicios, implementación de sistemas o productos, dependemos de proveedores que conforman las cadenas de suministro. Conocer y exigir a los proveedores disponer de un nivel de protección de ciberseguridad adecuado y alineado con el implementado por la organización es una garantía ante la exposición a los riesgos. Podemos disponer de una protección cibernética de primer nivel en nuestra organización, con las medidas de seguridad tecnológicas más avanzadas, pero si un proveedor accede a nuestros sistemas de información y no dispone del mismo nivel de ciberseguridad supone una vulnerabilidad dentro de la cadena de suministros.
La gestión de incidentes / gestión de crisis
Incidentes de ciberseguridad como pueden ser una brecha de seguridad de datos personales, un ransomware, una vulnerabilidad de un sistema, puede impactar en la organización económicamente, reputacionalmente, en una pérdida de negocio/clientes, o en sanciones de las autoridades de control (multas, cancelación de contratos, suspensión de licencias de operación, etc.)
Para evitar que un ataque pueda causar daños graves e intentar reducir o mitigar su impacto es necesario que las organizaciones estén preparadas en la detección de incidentes y dispongan de procedimientos y planes de respuesta.
Si has llegado hasta aquí, esperamos haber despertado tu interés en la ciberseguridad. Te animamos a seguir de cerca el contenido del Club CISO para mantenerte actualizado con las últimas tendencias y mejores prácticas. ¡No te pierdas nuestras próximas publicaciones y eventos! ¡Os esperamos!
José Antonio Sánchez Durán, Senior Consultant & Advisor en Govertis, parte de Telefónica Tech