Las juntas directivas desempeñan un papel único para ayudar a sus organizaciones a gestionar las amenazas de ciberseguridad. No tienen responsabilidad de gestión diaria, pero sí tienen responsabilidad de supervisión y fiduciaria. No dejes ninguna pregunta sobre vulnerabilidades críticas para mañana. Hacer las preguntas inteligentes en su próxima reunión de la junta podría evitar que una infracción se convierta en un desastre total.
En este artículo, ofrecemos 7 preguntas para asegurarnos de que su junta comprenda cómo su organización gestiona la ciberseguridad. El simple hecho de hacer estas preguntas también aumentará la conciencia sobre la importancia de la ciberseguridad y la necesidad de priorizar la acción.
Para cada nueva tecnología que inventan los profesionales de la ciberseguridad, solo es cuestión de tiempo hasta que los actores malintencionados encuentren una forma de evitarla. Necesitamos nuevos enfoques de liderazgo a medida que avanzamos en la siguiente fase de protección de nuestras organizaciones. Para las juntas directivas (BOD), esto requiere desarrollar nuevas formas de llevar a cabo su responsabilidad fiduciaria con los accionistas y supervisar la responsabilidad de administrar el riesgo empresarial. Los directores ya no pueden abdicar de la supervisión de la ciberseguridad o simplemente delegarla a los gerentes operativos. Deben ser líderes conocedores que prioricen la ciberseguridad y demuestren personalmente su compromiso. Muchos directores lo saben, pero siguen buscando respuestas sobre cómo proceder.
Realizamos una encuesta para comprender mejor cómo las juntas directivas abordan la ciberseguridad. Preguntamos a los directores con qué frecuencia la junta discutía la ciberseguridad y descubrimos que solo el 68% de los encuestados decía de manera regular o constante. Desafortunadamente, el 9% dijo que no era algo que su junta discutiera.
Cuando se trata de entender el papel de la junta, había varias opciones. Si bien el 50% de los encuestados dijeron que se había discutido el papel de la junta, no hubo consenso sobre cuál debería ser ese rol. El 41% de los encuestados consideró que brindar orientación a los gerentes operativos o líderes de nivel C era el papel de la junta directiva, el 14% de los encuestados mencionó la participación en un ejercicio de mesa (TTX) y el 23% de los directores mencionó la conciencia general o «estar preparados para responder en caso de que se necesite la junta». Sin embargo, el 23% de los encuestados también dijo que no había un plan o estrategia de la junta.
Sobre la base de nuestros hallazgos, desarrollamos las siguientes recomendaciones sobre lo que las juntas directivas deben saber, los pasos prácticos que los directores pueden tomar y las preguntas inteligentes que debe hacer en su próxima reunión.
Cinco cosas que los directores deben saber sobre ciberseguridad.
1. La ciberseguridad va más allá de proteger los datos.
En los «viejos tiempos», proteger a las organizaciones de los incidentes cibernéticos se consideraba principalmente como proteger los datos. A los ejecutivos de la empresa les preocupa que se filtre información personal, que se roben las listas de clientes y que se usen tarjetas de crédito de manera fraudulenta. Siguen siendo problemas, pero la ciberseguridad es algo más que proteger los datos. A medida que digitalizamos nuestros procesos y nuestras operaciones, conectamos nuestros complejos industriales a sistemas de control que permiten la gestión remota de equipos grandes y vinculamos nuestras cadenas de suministro con procesos automáticos de pedidos y cumplimiento, la ciberseguridad ha tomado una posición mucho más importante en nuestro panorama de amenazas. Una supervisión deficiente puede significar más que pagar multas porque los datos no se protegieron adecuadamente. Los directores necesitan una imagen real de las amenazas ciberfísicas y ciberdigitales a las que se enfrentan sus organizaciones.
2. Los BOD deben ser participantes informados en la supervisión de la ciberseguridad.
La función del BOD es asegurarse de que la organización tenga un plan y esté lo más preparada posible. No es responsabilidad de la junta redactar el plan. Hay muchos marcos disponibles para ayudar a una organización con su estrategia de ciberseguridad. Nos gusta el marco de ciberseguridad del NIST, que es un marco desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST) de los EE. UU.. Es simple y proporciona a los ejecutivos y directores una buena estructura para pensar en los aspectos importantes de la ciberseguridad. Pero también tiene muchos niveles de detalle que los ciberprofesionales pueden utilizar para instalar controles, procesos y procedimientos. La implementación efectiva del NIST puede preparar a una organización para un ciberataque y mitigar los efectos secundarios negativos cuando se produce un ataque.
El marco del NIST tiene 5 áreas: identificar, proteger, detectar, responder y recuperarse. Las organizaciones que están bien preparadas para un incidente cibernético han documentado planes para cada una de estas áreas del marco del NIST, han compartido esos planes con los líderes y han practicado las acciones que se deben tomar para desarrollar memoria muscular para su uso en una situación de infracción.
3. Las juntas directivas deben centrarse en el riesgo, la reputación y la continuidad del negocio.
Cuando los ciberprofesionales desarrollan políticas y prácticas, la tríada fundamental de objetivos es garantizar la confidencialidad, la integridad y la disponibilidad tanto de los sistemas como de los datos (la «CIA» de la ciberseguridad). Eso es necesario, pero la discusión sería muy diferente a la de los objetivos de riesgo, reputación y continuidad del negocio, que son las principales preocupaciones del BOD.
Si bien la junta tiende a elaborar estrategias sobre formas de gestionar los riesgos empresariales, los profesionales de ciberseguridad concentran sus esfuerzos en los niveles técnico, organizativo y operativo. Los lenguajes utilizados para administrar el negocio y administrar la ciberseguridad son diferentes, y esto puede oscurecer tanto la comprensión del riesgo real como el mejor enfoque para abordar el riesgo. Quizás debido a que la ciberseguridad es un campo técnico bastante complejo, es posible que la junta no sea plenamente consciente de los riesgos cibernéticos y de las medidas de protección necesarias que deben tomarse. Sin embargo, existen enfoques prácticos para abordar este problema.
Los directores no necesitan convertirse en expertos cibernéticos (aunque tener uno en la junta es una buena idea). Al centrarse en objetivos comunes: mantener la seguridad de la organización y la continuidad operativa, se puede reducir la brecha entre el papel del BOD y el papel de los profesionales de la ciberseguridad. Establecer una comunicación clara y consistente para compartir métricas útiles y objetivas para la información, los controles de sistemas y los comportamientos humanos es el primer paso. Las comparaciones con las mejores prácticas y metodologías existentes para la gestión de riesgos de ciberseguridad son otra actividad para identificar áreas de necesidad y áreas de fortaleza en la organización. Los directores que hacen preguntas inteligentes a sus ejecutivos de ciberseguridad es una tercera acción para cerrar la brecha.
4. El enfoque predominante de la ciberseguridad es la defensa en profundidad.
Una serie de medidas de protección en capas pueden salvaguardar información valiosa y datos confidenciales porque un fallo en uno de los mecanismos de defensa puede ser respaldado por otro, lo que puede impedir el ataque y abordar diferentes vectores de ataque. Este enfoque de varias capas se conoce comúnmente como el «enfoque del castillo» porque refleja las defensas en capas de un castillo medieval para evitar ataques externos.
Las capas de defensa a menudo incluyen tecnología, controles, políticas y mecanismos de organización. Por ejemplo, los firewalls (y muchas empresas tienen varios firewalls), las herramientas de administración de identidad y acceso, el cifrado, las pruebas de penetración y muchos otros son defensas tecnológicas que proporcionan barreras o la detección de violaciones. Las tecnologías de inteligencia artificial prometen fortalecer estas barreras a medida que surjan amenazas nuevas y persistentes. Pero la tecnología por sí sola no puede mantenernos lo suficientemente seguros. Los Centros de Operaciones de Seguridad (SoC) brindan supervisión y participación humana para darse cuenta de las cosas que las tecnologías pasan por alto, como fue el caso en la violación de SolarWinds, donde un asociado astuto notó algo inusual e investigó. Pero incluso los SoC no pueden mantener la organización 100% segura.
Las políticas y los procedimientos son necesarios para cumplir con los requisitos de control y los establece la administración. Y, francamente, en el mundo actual, necesitamos que todas las personas de nuestras organizaciones brinden algún nivel de defensa. Como mínimo, todos deben estar al tanto de las estafas y los intentos de ingeniería social para evitar ser víctimas. Por cierto, eso incluye a los directores, que también son objetivos y deben saber lo suficiente como para no ser atrapados por correos electrónicos o avisos falaces.
5. La ciberseguridad es un problema organizativo, no solo un problema técnico.
Muchos problemas de ciberseguridad se producen debido a errores humanos. Un estudio de la Universidad de Stanford reveló que El 88% de los incidentes de violación de datos fueron causados por errores de los. Alinear a todos los empleados, no solo al equipo de ciberseguridad, en torno a las prácticas y los procesos para mantener la organización segura no es un problema técnico, sino organizativo. La ciberseguridad requiere la conciencia y la acción de todos los miembros de la organización para reconocer las anomalías, alertar a los líderes y, en última instancia, mitigar los riesgos.
Nuestra investigación en el MIT sugiere que es mejor hacerlo creando una cultura de ciberseguridad. Definimos una «cultura de ciberseguridad» como un entorno impregnado de las actitudes, creencias y valores que motivan comportamientos de ciberseguridad. Los empleados no solo siguen sus descripciones de trabajo, sino que también actúan de manera consistente para proteger los activos de la organización. Esto no significa que cada empleado se convierta en un experto en ciberseguridad; significa que cada empleado es responsable de supervisar y comportarse como si fuera un «defensor de la seguridad». Esto agrega una capa de protección humana para evitar, detectar e informar de cualquier comportamiento que pueda ser aprovechado por un actor malintencionado.
Los líderes marcan la pauta para priorizar este tipo de cultura, pero también refuerzan y personifican los valores y creencias para la acción. El BOD también tiene un papel en esto. Simplemente haciendo preguntas sobre ciberseguridad, los directores dan a entender que es un tema importante para ellos, y eso envía el mensaje de que debe ser una prioridad para los ejecutivos corporativos.
Las preguntas que su junta debe escuchar.
Esta es una lista de siete preguntas que debe hacer para asegurarse de que su junta comprenda cómo su organización gestiona la ciberseguridad. El simple hecho de hacer estas preguntas también aumentará la conciencia sobre la importancia de la ciberseguridad y la necesidad de priorizar la acción.
1. ¿Cuáles son nuestros activos más importantes y cómo los protegemos?
Sabemos que no podemos estar 100% seguros. Se deben tomar decisiones difíciles. El BOD debe asegurarse de que los activos más importantes de la organización estén seguros al nivel más alto razonable. ¿Son los datos de sus clientes, sus sistemas y procesos operativos o la propiedad intelectual de su empresa? Preguntar qué se protege y qué se debe proteger es un primer paso importante. Si no hay acuerdo sobre qué proteger, el resto de la estrategia de ciberseguridad es discutible.
2. ¿Cuáles son las capas de protección que hemos implementado?
La protección se lleva a cabo con múltiples capas de defensa, procedimientos y políticas, y otros enfoques de gestión de riesgos. Las juntas directivas no necesitan tomar la decisión sobre cómo implementar cada una de estas capas, pero el BOD sí necesita saber qué capas de protección existen y qué tan bien cada capa protege a la organización.
3. ¿Cómo sabemos si nos han violado? ¿Cómo detectamos una violación?
El BOD estaría ignorando una parte importante de su responsabilidad fiduciaria si no se asegura de que la organización tenga capacidades de protección y detección. Dado que muchas infracciones no se detectan inmediatamente después de que ocurren, el BOD debe asegurarse de que sabe cómo se detecta una infracción y estar de acuerdo con el nivel de riesgo resultante de este enfoque.
4. ¿Cuáles son nuestros planes de respuesta en caso de incidente?
Si se solicita un rescate, ¿cuál es nuestra política de pagarlo? Aunque no es probable que la junta sea parte del plan de respuesta detallado en sí, el BOD sí quiere asegurarse de que haya un plan. ¿Qué ejecutivos y líderes forman parte del plan de respuesta? ¿Cuál es su función? Cuáles son los planes de comunicación (después de todo, si los sistemas se rompen o no son confiables, ¿cómo nos comunicaremos?). ¿Quién alerta a las autoridades? ¿A qué autoridades se alertan? ¿Quién habla con la prensa? ¿Nuestros clientes? ¿Nuestros proveedores? Tener un plan es fundamental para responder de manera adecuada. Es muy poco probable que el plan se ejecute exactamente como se diseñó, pero no querrá esperar hasta que se produzca una infracción para comenzar a planificar cómo responder.
5. ¿Cuál es la función de la junta en caso de que se produzca un incidente?
Sería útil que el BOD supiera cuál será su función y la practique. ¿La función de la junta es decidir si pagar un rescate o no, hablar con los clientes más grandes, estar disponible para reuniones de emergencia con los ejecutivos de la organización para tomar decisiones oportunas? En un artículo anterior nuestro se discutió el importancia de practicar las respuestas. Usar simulacros de incendio y ejercicios de mesa para desarrollar la memoria muscular suena como un lujo, pero si su empresa tiene un incidente, debe asegurarse de que el músculo de respuesta esté listo para funcionar.
6. ¿Cuáles son nuestros planes de recuperación empresarial en caso de un ciberincidente?
Muchos ejecutivos a los que hemos entrevistado no han probado sus planes de recuperación empresarial. Puede haber diferencias significativas en la recuperación de una interrupción del negocio debido a un ciberincidente. La recuperación de datos puede ser diferente si todos los registros son destruidos o corrompidos por un actor malintencionado que cifra los archivos o los manipula. Los BOD quieren saber quién es el «propietario» de la recuperación empresarial, si existe un plan sobre cómo hacerlo realidad y si se ha probado teniendo en cuenta un ciberincidente.
7. ¿Nuestra inversión en ciberseguridad es suficiente?
No puedes invertir lo suficiente para estar 100% seguro. Pero dado que se debe establecer un presupuesto, es crucial que las empresas garanticen que cuentan con un excelente equipo de seguridad con la experiencia adecuada para abordar los problemas técnicos y comprender las vulnerabilidades dentro de las funciones críticas principales del negocio. De este modo, la empresa estará mejor preparada para asignar la inversión donde más se necesite. Las empresas deben evaluar su nivel de protección y su tolerancia al riesgo antes de realizar nuevas inversiones. Dos formas de hacerlo son a través de simulaciones de ciberataques y de pruebas de penetración/vulnerabilidad. Estas acciones exponen vulnerabilidades, permiten acciones para minimizar el daño potencial en función de la prioridad, la exposición al riesgo y el presupuesto y, en última instancia, garantizan una inversión adecuada de tiempo, dinero y recursos.
Las juntas directivas desempeñan un papel único para ayudar a sus organizaciones a gestionar las amenazas de ciberseguridad. No tienen responsabilidad de gestión diaria, pero sí tienen responsabilidad de supervisión y fiduciaria. No dejes ninguna pregunta sobre vulnerabilidades críticas para mañana. Hacer las preguntas inteligentes en su próxima reunión de la junta podría evitar que una infracción se convierta en un desastre total.
A reconocimiento: Esta investigación fue apoyada, en parte, por fondos de los miembros del consorcio Cybersecurity at MIT Sloan (CAMS).
