7 preguntas apremiantes sobre seguridad cibernética que las Juntas deben hacer.
No deje las preocupaciones sobre vulnerabilidades críticas para mañana.
Por Dra. Keri Pearlson y Nelson Novaes Neto
Gestión de la seguridad informática
Harvard Business Review
#doxa #cibernética #juntas #organización #gestión #fiduciaria #reunión #seguridad #informática
Resumen. Las juntas tienen un rol único en ayudar a sus organizaciones a manejar las amenazas de seguridad cibernética. No tienen la responsabilidad de la gestión diaria, pero sí la supervisión y la responsabilidad fiduciaria. No deje ninguna pregunta sobre vulnerabilidades críticas para mañana. Hacer las preguntas inteligentes en su próxima reunión de la junta podría evitar que una brecha se convierta en un desastre total.
En este artículo, ofrecemos 7 preguntas para asegurarse de que su directorio entienda cómo su organización administra la seguridad cibernética. El simple hecho de hacer estas preguntas también creará conciencia sobre la importancia de la ciberseguridad y la necesidad de priorizar la acción.
Por cada nueva tecnología que inventan los profesionales de la ciberseguridad, es solo cuestión de tiempo hasta que los actores maliciosos encuentren una forma de evitarla. Necesitamos nuevos enfoques de liderazgo a medida que avanzamos en la siguiente fase de protección de nuestras organizaciones. Para las Juntas Directivas (BOD), esto requiere desarrollar nuevas formas de llevar a cabo su responsabilidad fiduciaria con los accionistas y la responsabilidad de supervisión para administrar el riesgo comercial. Los directores ya no pueden abdicar de la supervisión de la seguridad cibernética o simplemente delegarla en los gerentes operativos. Deben ser líderes informados que prioricen la ciberseguridad y demuestren personalmente su compromiso. Muchos directores lo saben, pero aún buscan respuestas sobre cómo proceder.
Realizamos una encuesta para comprender mejor cómo las juntas lidian con la ciberseguridad. Preguntamos a los directores con qué frecuencia la junta discutía la seguridad cibernética y descubrimos que solo el 68% de los encuestados dijo que era regular o constante. Desafortunadamente, el 9% dijo que no era algo que su junta discutiera.
Cuando se trata de comprender el papel de la junta, había varias opciones. Si bien el 50% de los encuestados dijo que se había discutido el rol de la junta, no hubo consenso sobre cuál debería ser ese rol. Proporcionar orientación a los gerentes operativos o líderes de nivel C fue visto como el papel de la junta por el 41% de los encuestados, participar en un ejercicio de simulación (TTX) fue mencionado por el 14% de los encuestados, y la conciencia general o "esperar para responder si el se necesita directorio” fue mencionado por el 23% de los directores. Pero el 23% de los encuestados también dijo que no existía un plan o estrategia de la junta directiva.
Sobre la base de nuestros hallazgos, desarrollamos las siguientes recomendaciones sobre lo que las juntas directivas deben saber, los pasos prácticos que pueden tomar los directores y las preguntas inteligentes que debe hacer en su próxima reunión.
Cinco cosas que los directores deben saber sobre ciberseguridad.
1. La ciberseguridad es más que proteger datos.
En los "viejos tiempos", proteger a las organizaciones de los incidentes cibernéticos se consideraba principalmente como proteger los datos. Los ejecutivos de la empresa estaban preocupados por la filtración de información personal, el robo de listas de clientes y el uso fraudulento de tarjetas de crédito. Estos siguen siendo problemas, pero la ciberseguridad es algo más que proteger los datos. A medida que digitalizamos nuestros procesos y nuestras operaciones, conectamos nuestros complejos industriales a sistemas de control que permiten la gestión remota de grandes equipos y vinculamos nuestras cadenas de suministro con procesos automáticos de pedidos y cumplimiento, la ciberseguridad ha adquirido una posición mucho más importante en nuestro panorama de amenazas. La supervisión deficiente puede significar más que pagar multas porque los datos no se protegieron adecuadamente. Los directores necesitan una imagen real de las amenazas cibernéticas y cibernéticas a las que se enfrentan sus organizaciones.
2. Los BOD deben ser participantes conocedores de la supervisión de la seguridad cibernética.
El papel de la Junta Directiva es asegurarse de que la organización tenga un plan y esté tan preparada como sea posible. No es responsabilidad de la junta escribir el plan. Hay muchos marcos disponibles para ayudar a una organización con su estrategia de ciberseguridad. Nos gusta el marco de ciberseguridad del NIST, que es un marco desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. Es simple y brinda a los ejecutivos y directores una buena estructura para pensar en los aspectos importantes de la ciberseguridad. Pero también tiene muchos niveles de detalle que los profesionales cibernéticos pueden usar para instalar controles, procesos y procedimientos. La implementación efectiva de NIST puede preparar a una organización para un ataque cibernético y mitigar los efectos secundarios negativos cuando ocurre un ataque.
El marco NIST tiene 5 áreas: identificar, proteger, detectar, responder y recuperar. Las organizaciones que están bien preparadas para un incidente cibernético tienen planes documentados para cada una de estas áreas del marco del NIST, han compartido esos planes con los líderes y han practicado las acciones que deben tomarse para desarrollar la memoria muscular para su uso en una situación de violación.
3. Las juntas deben enfocarse en el riesgo, la reputación y la continuidad del negocio.
Cuando los ciberprofesionales desarrollan políticas y prácticas, la tríada fundamental de objetivos es garantizar la confidencialidad, la integridad y la disponibilidad tanto de los sistemas como de los datos (la "CIA" de la ciberseguridad). Eso es necesario, pero la discusión sería muy diferente a la de los objetivos de riesgo, reputación y continuidad del negocio, que son las preocupaciones clave del BOD.
Si bien la junta tiende a elaborar estrategias sobre formas de administrar los riesgos comerciales, los profesionales de ciberseguridad concentran sus esfuerzos en los niveles técnico, organizacional y operativo. Los lenguajes que se utilizan para administrar el negocio y administrar la ciberseguridad son diferentes, y esto podría oscurecer tanto la comprensión del riesgo real como el mejor enfoque para abordar el riesgo. Tal vez debido a que la seguridad cibernética es un campo técnico bastante complejo, es posible que la junta no esté completamente consciente de los riesgos cibernéticos y las medidas de protección necesarias que deben tomarse. Pero hay enfoques procesables para abordar esto.
Los directores no necesitan convertirse en expertos cibernéticos (aunque tener uno en la junta es una buena idea). Al centrarse en objetivos comunes: mantener la seguridad de la organización y la continuidad operativa, se puede reducir la brecha entre el rol del BOD y el rol de los profesionales de ciberseguridad. El primer paso es establecer una comunicación clara y coherente para compartir métricas útiles y objetivas de información, controles de sistemas y comportamientos humanos. Las comparaciones con las mejores prácticas y metodologías existentes para la gestión de riesgos de ciberseguridad es otra actividad para identificar áreas de necesidad y áreas de fortaleza en la organización. Los directores que hacen preguntas inteligentes a sus ejecutivos de ciberseguridad es una tercera acción para cerrar la brecha.
4. El enfoque predominante de la defensa es la profundidad.
Una serie de medidas de protección en capas puede salvaguardar información valiosa y datos confidenciales porque una falla en uno de los mecanismos defensivos puede ser respaldada por otro, lo que podría impedir el ataque y abordar diferentes vectores de ataque. Este enfoque de múltiples capas se conoce comúnmente como el "enfoque de castillo" porque refleja las defensas en capas de un castillo medieval para evitar ataques externos.
Las capas de defensa a menudo incluyen tecnología, controles, políticas y mecanismos de organización. Por ejemplo, los firewalls (y muchas empresas tienen múltiples firewalls), las herramientas de administración de acceso e identidad, el cifrado, las pruebas de penetración y muchos otros son defensas tecnológicas que brindan barreras o detección de infracciones. Las tecnologías de inteligencia artificial prometen fortalecer estas barreras a medida que surgen amenazas nuevas y persistentes. Pero la tecnología por sí sola no puede mantenernos lo suficientemente seguros. Los Centros de Operaciones de Seguridad (SOC) brindan supervisión y participación humana para notar cosas que las tecnologías pasan por alto, como fue el caso en la violación de SolarWinds, donde un astuto asociado notó algo inusual e investigó. Pero incluso los SOC no pueden mantener la organización 100 % segura.
Las políticas y los procedimientos son necesarios para cumplir con los requisitos de control y los establece la gerencia. Y, francamente, en el mundo de hoy, necesitamos que cada persona en nuestras organizaciones brinde cierto nivel de defensa. Como mínimo, todos deben ser conscientes de las estafas y los intentos de ingeniería social para evitar ser víctimas. Por cierto, eso incluye a los directores, que también son objetivos y deben saber lo suficiente para no ser atrapados por correos electrónicos o avisos falaces.
5. La ciberseguridad es un problema organizativo, no solo un problema técnico.
Muchos problemas de ciberseguridad ocurren debido a errores humanos. Un estudio de la Universidad de Stanford reveló que el 88 % de los incidentes de violación de datos fueron causados por errores de los empleados. Alinear a todos los empleados, no solo al equipo de ciberseguridad, en torno a prácticas y procesos para mantener segura a la organización no es un problema técnico, es organizacional. La ciberseguridad requiere conciencia y acción de todos los miembros de la organización para reconocer anomalías, alertar a los líderes y, en última instancia, mitigar los riesgos.
Nuestra investigación en el MIT sugiere que esto se logra mejor mediante la creación de una cultura de ciberseguridad. Definimos una “cultura de ciberseguridad” como un entorno infundido con las actitudes, creencias y valores que motivan los comportamientos de ciberseguridad. Los empleados no solo siguen las descripciones de sus puestos, sino que también actúan constantemente para proteger los activos de la organización. Esto no significa que todos los empleados se conviertan en expertos en ciberseguridad; significa que cada empleado es responsable de supervisar y comportarse como si fuera un “campeón de la seguridad”. Esto agrega una capa humana de protección para evitar, detectar e informar cualquier comportamiento que pueda ser explotado por un actor malicioso.
Los líderes marcan la pauta para priorizar este tipo de cultura, pero también refuerzan y personifican los valores y creencias para la acción. El BOD también tiene un papel en esto. Simplemente al hacer preguntas sobre seguridad cibernética, los directores dan a entender que es un tema importante para ellos y eso envía el mensaje de que debe ser una prioridad para los ejecutivos corporativos.
Las preguntas que su junta necesita escuchar.
Aquí hay una lista de siete preguntas para asegurarse de que su junta entienda cómo su organización administra la seguridad cibernética. El simple hecho de hacer estas preguntas también creará conciencia sobre la importancia de la ciberseguridad y la necesidad de priorizar la acción.
1. ¿Cuáles son nuestros activos más importantes y cómo los protegemos?
Sabemos que no podemos estar 100% seguros. Se deben tomar decisiones difíciles. El BOD debe asegurarse de que los activos más importantes de la organización estén seguros al más alto nivel razonable. ¿Son los datos de sus clientes, sus sistemas y procesos operativos, o la propiedad intelectual de su empresa? Preguntar qué se está protegiendo y qué se necesita proteger es un primer paso importante. Si no hay acuerdo sobre qué proteger, el resto de la estrategia de ciberseguridad es discutible.
2. ¿Cuáles son las capas de protección que hemos implementado?
La protección se realiza con múltiples capas de defensa, procedimientos y políticas, y otros enfoques de gestión de riesgos. Las juntas no necesitan tomar la decisión sobre cómo implementar cada una de estas capas, pero el BOD sí necesita saber qué capas de protección están implementadas y qué tan bien protege cada capa a la organización.
3. ¿Cómo sabemos si hemos sido violados? ¿Cómo detectamos una brecha?
El BOD estaría ignorando una parte importante de su responsabilidad fiduciaria si no se asegura de que la organización tenga capacidades tanto de protección como de detección. Dado que muchas infracciones no se detectan inmediatamente después de que ocurren, el BOD debe asegurarse de saber cómo se detecta una infracción y estar de acuerdo con el nivel de riesgo resultante de este enfoque.
4. ¿Cuáles son nuestros planes de respuesta en caso de incidente?
Si se solicita un rescate, ¿cuál es nuestra política sobre el pago? Aunque no es probable que la junta forme parte del plan de respuesta detallado en sí, la BOD quiere asegurarse de que haya un plan. ¿Qué ejecutivos y líderes forman parte del plan de respuesta? ¿Cuál es su papel? ¿Cuáles son los planes de comunicación (después de todo, si los sistemas se violan o no son confiables, cómo nos comunicaremos?). ¿Quién alerta a las autoridades? ¿Qué autoridades están alertadas? ¿Quién habla con la prensa? ¿Nuestros clientes? ¿Nuestros proveedores? Tener un plan es fundamental para responder adecuadamente. Es muy poco probable que el plan se ejecute exactamente como se diseñó, pero no desea esperar hasta que ocurra una infracción para comenzar a planificar cómo responder.
5. ¿Cuál es el papel de la junta en caso de un incidente?
Sería útil que el BOD supiera cuál será su papel y lo practique. ¿El rol de la junta es decidir si pagar un rescate o no, hablar con los clientes más grandes, estar disponible para reuniones de emergencia con los ejecutivos de la organización para tomar decisiones justo a tiempo? Un artículo anterior nuestro discutió la importancia de practicar las respuestas. El uso de simulacros de incendio y ejercicios de mesa para desarrollar la memoria muscular suena como un lujo, pero si su empresa tiene un incidente, desea asegurarse de que el músculo de respuesta esté listo para trabajar.
6. ¿Cuáles son nuestros planes de recuperación comercial en caso de un incidente cibernético?
Muchos ejecutivos que hemos entrevistado no han probado sus planes de recuperación empresarial. Puede haber diferencias significativas en la recuperación de una interrupción del negocio debido a un incidente cibernético. La recuperación de datos puede ser diferente si todos los registros son destruidos o corrompidos por un actor malintencionado que cifra los archivos o los manipula. Los BOD quieren saber quién es el "propietario" de la recuperación comercial, si existe un plan sobre cómo hacer que suceda y si se probó teniendo en cuenta un incidente cibernético.
7. ¿Es suficiente nuestra inversión en ciberseguridad?
No puede invertir lo suficiente para estar 100% seguro. Pero dado que se debe establecer un presupuesto, es crucial que las empresas garanticen que cuentan con un excelente equipo de seguridad con la experiencia adecuada para abordar problemas técnicos y comprender las vulnerabilidades dentro de las funciones críticas centrales del negocio. Al hacerlo, la empresa estará mejor preparada para asignar la inversión donde más se necesita. Las empresas deben evaluar su nivel de protección y su tolerancia al riesgo antes de emprender nuevas inversiones. Dos formas de hacerlo son a través de simulaciones de ciberataques y de pruebas de penetración/vulnerabilidad. Estas acciones exponen vulnerabilidades, permiten acciones para minimizar el daño potencial en función de la prioridad, la exposición al riesgo y el presupuesto y, en última instancia, garantizan una inversión adecuada de tiempo, dinero y recursos.
Las juntas tienen un rol único en ayudar a sus organizaciones a manejar las amenazas de seguridad cibernética. No tienen la responsabilidad de la gestión diaria, pero sí la supervisión y la responsabilidad fiduciaria. No deje ninguna pregunta sobre vulnerabilidades críticas para mañana. Hacer las preguntas inteligentes en su próxima reunión de la junta podría evitar que una brecha se convierta en un desastre total.
Dra. Keri Pearlson es la directora ejecutiva del consorcio de investigación Ciberseguridad en MIT Sloan (CAMS). Su investigación investiga cuestiones organizativas, estratégicas, de gestión y de liderazgo en ciberseguridad. Su enfoque actual es construir una cultura de ciberseguridad.
Nelson Novaes Neto es Socio y CTO de C6 Bank. También es investigador afiliado en MIT Sloan School of Management.
No hay comentarios:
Publicar un comentario