Ciberseguridad: un enfoque más integral para protegerse de las amenazas y a la vez responder de manera más eficaz ante un incidente

by  Publicado porACFCS -

Un cambio fundamental se produce en la gestión de riesgo cibernético. La noción de que los ataques cibernéticos son cada vez más probables, y tal vez inevitables, está empezando a tomar fuerza entre los altos ejecutivos de las distintas compañías y sus juntas directivas. Los líderes de negocios se están dando cuenta de que el mundo se está interconectado mediante tecnologías diseñadas para compartir información, no para protegerla.

Las compañías saben que tienen que confiar información sensible a sus empleados, terceros y otros, y perciben con mayor claridad que la conexión entre sus agendas estratégicas y la creación de riesgo cibernético hace que sea inviable para ellos bloquear todo y poner siempre la seguridad como la prioridad.

El número de incidentes cibernéticos y los costos asociados siguen aumentando a pesar de los niveles sin precedentes de inversión en seguridad. De hecho, un reciente informe de Deloitte: Beneath the surface of a cyberattack: A deeper look at business impacts –debajo de la superficie de un ataque cibernético: una mirada más profunda a los impactos comerciales— señala que puede haber hasta 14 factores de impacto que puede afectar a una organización después de un ataque cibernético.

Estos incluyen costos directos muy conocidos, comúnmente asociados con cyberbreaches o ciberataques tales como los costos para notificar a los clientes o proporcionar protección personal de crédito, honorarios de abogados y costos judiciales, así como costo de relaciones públicas y por mejoras en la seguridad cibernética. También hay costos para abordar cuestiones menos tangibles después de un ataque cibernético, como el impacto sobre la calificación de crédito, la pérdida de la propiedad intelectual, etc.

Las organizaciones pueden tomar medidas para revertir la creciente brecha entre la inversión para protegerse contra incidencias en el área cibernética y su eficacia. En primer lugar, los altos ejecutivos deben tener en cuenta la relación directa entre la innovación y el riesgo cibernético. Las medias que las organizaciones toman para ganar mercado o impulsar la eficiencia operativa tienden a aumentar o introducir nuevos riesgos cibernéticos.

Las compañías deben equilibrar la innovación con la seguridad. Enfrentar esos riesgos con un programa seguro y resistente es esencial para alcanzar los objetivos.

Las distintas organizaciones necesitan adoptar un enfoque más holístico e integral al riesgo cibernético y equilibrar adecuadamente las inversiones en seguridad cibernética con los esfuerzos para desarrollar una mejor visibilidad de la amenaza, y la capacidad de responder de manera más rápida y más eficaz en el caso de un incidente cibernético. Las organizaciones deben entender los tipos de riesgo cibernético a los que se enfrentan y ser capaces de medir adecuadamente la probabilidad de que ocurran. Es igual de importante que estas organizaciones entiendan los impactos en el área comercial que estos incidentes pueden presentar.

Un reto importante, sin embargo, es que la idea general sobre el impacto de los ataques cibernéticos está vinculada, en general, a lo que las empresas están obligadas a reportar públicamente—principalmente el robo de información de identificación personal (PII, por sus siglas en inglés), datos de pago, y la información personal sobre asuntos de salud (PHI por sus siglas en inglés). Las conversaciones tienden a centrarse en los costos relacionados con la notificación al cliente, vigilancia de crédito, y la posibilidad de juicios legales o sanciones. La industria en general converge en el cálculo de un «costo por registro» en las filtraciones de datos de los consumidores.

Los costos comúnmente asociados con las violaciones de datos están por lo general relacionados con los impactos más comunes y mejor entendidos, pero este es el daño observado por encima de la superficie. El robo de información de identificación personal no siempre es el objetivo de un atacante. Rara vez se muestran casos relacionados con robo de propiedad intelectual (IP), espionaje, destrucción de datos, ataques a las operaciones básicas, o las tentativas de neutralizar infraestructura crítica. Debajo de la superficie, estos ataques pueden tener un impacto mucho más importante en las organizaciones. Pero las consecuencias no son cabalmente entendidas y son mucho más difíciles de cuantificar.

Las organizaciones pueden entender estos impactos menos obvios utilizando un enfoque multidisciplinario que integre el conocimiento cabal de los incidentes cibernéticos con el contexto empresarial, técnicas de valoración y cuantificación financiera, señala el informe de Deloitte.

Con una mejor visión de los posibles impactos de negocios, las compañías pueden maximizar la estructura que utilizan para gestionar los riesgos para recuperarse de un ataque cibernético.

Para comenzar en la transformación de un programa de seguridad de TI tradicional a un programa integral de riesgos cibernéticos es importante saber dónde se encuentra ubicada una organización en el proceso. Para aquellas organizaciones que acaba de empezar a planificar, los siguientes pasos pueden ayudar a avanzar en la dirección correcta:

Ubicar un alto ejecutivo al mando de la iniciativa. La persona a cargo del programa de riesgo cibernético debe ser capaz de dirigir y ser respetado por otros altos ejecutivos en la compañía y también a nivel de la junta directiva o consejo de administración.

Vincular las amenazas con los activos de la empresa. Determinar el apetito de riesgo de la organización y priorizar áreas del programa que encarne su estrategia para obtener seguridad, vigilancia y resistencia.

Centrarse en áreas o iniciativas piloto que impacten directamente en el éxito del negocio o de cumplimiento de la misión, con objetivos que se puedan medir.

Acelerar el cambio de comportamiento a través de incentivos e interés basado en la experiencia. Además de la capacitación tradicional en materia de seguridad, proporcionar escenarios de aprendizaje activos que profundicen la comprensión del impacto de la actividad diaria de la organización en su estructura de riesgo cibernético, e identificar oportunidades visibles para reforzar el comportamiento correcto a través de programas que recompensen hablar abiertamente, plantear preguntas y obtener el logro de los objetivos básicos del programa.