Su larga experiencia en el mundo de la ciberseguridad le hizo darse cuenta de que muchos de los incidentes podrían haberse evitado y, también, que sus efectos podrían haberse reducido con una mayor involucración de los dirigentes. Tomando esta idea como punto de partida, hace tan solo unas semanas vio la luz Ciberseguridad para directivos, […]
Dirigentes Digital
| 28 jul 2022
Su larga experiencia en el mundo de la ciberseguridad le hizo darse cuenta de que muchos de los incidentes podrían haberse evitado y, también, que sus efectos podrían haberse reducido con una mayor involucración de los dirigentes. Tomando esta idea como punto de partida, hace tan solo unas semanas vio la luz Ciberseguridad para directivos, un libro concebido con el fin de unir esta materia a las necesidades de las empresas y aportar luz a los líderes de las organizaciones de una manera asequible.
Se ha convertido en esencial por el proceso de acelerada digitalización que estamos viviendo. En una parte del libro comento que, en el pasado, había una diferencia clara entre el negocio y la tecnología informática que la soportaba. Para eso existía una ‘traducción’ de los requisitos de negocio a las implementaciones en sistemas que hacía un equipo de profesionales.
Actualmente, en muchos aspectos el software es el negocio. Parte de las ventajas competitivas dependen de las funcionalidades del software y de con qué rapidez y robustez las implementan las empresas. Todas las organizaciones compiten por tener los mejores y más innovadores servicios digitales. En ese marco, es importante que los dirigentes consideren la ciberseguridad como un aspecto más a gestionar, así como manejan los riesgos financieros u operativos.
Desde el punto de vista de la infraestructura están mucho mejor preparadas que hace unos años. La inversión en ciberseguridad de las empresas ha sido muy intensa en las grandes organizaciones e incluso las pymes están mucho mejor preparadas que en el pasado, gracias a los servicios de ciberseguridad en la nube, servicios de suscripción y distintas ayudas.
Pero desde el punto de vista de los dirigentes no es así. Esto es debido a que en la etapa formativa de los dirigentes de hoy no había un contenido específico, salvo que se especializaran o autoformaran en la materia. Otros aspectos como los controles de auditoría o financieros sí están mucho mejor preparados. Este libro está pensado para ellos.
Actualmente tiene una gran influencia en las empresas y son los responsables de las grandes mejoras en la infraestructura de seguridad. Sin embargo, su rol está cambiando rápidamente. Hay una tendencia a migrar sistemas críticos a la nube a medida que las soluciones de los grandes proveedores van mejorando en capacidad y confiabilidad, lo que permite a las compañías reducir CAPEX y variabilizar costes.
En ese contexto, el CISO pierde el control de la infraestructura, que pasa a depender de un tercero y se transforma más en un gestor de procesos y servicios, además de intervenir procesos funcionales de diseño de aplicaciones según la nueva filosofía DEVOPS. Por ello, debe especializarse más en aspectos como la clasificación de información por sensibilidad, el control de las identidades y otros temas de proceso. Por otro lado, hay una convergencia con la función de seguridad física, dado que hay que prevenir ataques híbridos (físico-virtuales).
Lo más importante es diagnosticar bien el problema y aislarlo, en lo posible, para mantener la continuidad de las operaciones de la empresa hasta donde sea posible. En esto es muy importante la participación de los dirigentes que tienen una visión amplia del negocio y del impacto de cada incidente en los clientes, proveedores y en los aspectos regulatorios.
El autor, Víctor Eduardo Deutsch
El Comité de Crisis tiene como misión fundamental preparar a la empresa para los ataques que no se han podido prevenir y ejecutar una serie de acciones para minimizar los daños. Debe ser presidido por la alta dirección de la organización y con la participación de todas las áreas. Una crisis de este tipo no puede resolverla solo el área de seguridad o de TI. Los line managers tienen que asegurar el funcionamiento de sus procesos, incluso tomando medidas de contingencia, y las áreas de soporte como RRHH, Legal o Compras tienen que aportar.
Lo más importante para que el Comité funcione bien es el entrenamiento. Realizar simulaciones periódicas de crisis y trazar planes predeterminados para no improvisar en el momento en que se produzca. Aunque los planes no se puedan seguir estrictamente, ya que nunca podremos predecir todas las características del ataque, este ejercicio ayuda a la toma de decisiones.
Las más importante son las que interrumpen o ponen en peligro la continuidad de las operaciones. Si la empresa no puede vender, mover mercancías o producir, el impacto del lucro cesante, sumado a los incumplimientos con terceros y la pérdida de reputación, puede ser devastador. Por eso es muy importante tener un plan de continuidad, entrenarse para cumplirlo e involucrar a toda la organización en el mismo.
Los ciberataques van a seguir la evolución tecnológica de las organizaciones. Actualmente uno de los focos de atención son la tecnología operacional o la robótica industrial, a medida que la industria se digitaliza. Las empresas logísticas e industriales pasan a ser foco de los ataques. También veremos cada vez más ataques híbridos, utilizando vulnerabilidades de la infraestructura física de las empresas o elementos físicos softwarizados. El contexto geopolítico también hará que las infraestructuras críticas estén más en el foco de atención en caso de conflicto. En la cumbre de la OTAN se ha hablado bastante de este tema.