Cuando hablamos de estrategia en ciberseguridad, tal vez el objetivo más importante de los consejos directivos y los líderes empresariales es definir la tolerancia de sus compañías a los riesgos. En el tema de la ciberseguridad todo implica un intercambio, se trata de balancear los costes contra el esfuerzo, los potenciales resultados y la aceptación del riesgo que conlleva implementar la estrategia de ciberseguridad. Lo que necesita saber el director de seguridad de la información (CISO, por sus siglas en inglés), el director general de seguridad (CSO, por sus siglas en inglés) o el director general de riesgos (CRO, por sus siglas en inglés) es ¿dónde quiere trazar esas líneas el consejo directivo?
El mejor ejemplo práctico de este escenario en acción tuvo lugar hace algo más de un año, en marzo del 2020, cuando la pandemia causada por la Covid-19 forzó una serie de cambios a gran escala en casi todas las compañías. Las empresas acordaron rápidamente hacer una gran reorganización de su fuerza laboral que implicó pasar de tener, por lo general, apenas a un 10 por ciento de sus empleados teletrabajando, y un 90 por ciento de ellos desarrollando su actividad de manera presencial en la oficina, a tener casi exactamente lo contrario, pues en muchas empresas solo un 10 por ciento o menos de la fuerza laboral siguieron trabajando en las oficinas durante los primeros meses de la pandemia. El hecho de aumentar tan considerablemente el número de colaboradores en remoto, y acoger ese cambio en unos pocos días, significó un aumento inmenso en los riesgos.
Por lo general todos los consejos directivos aceptaron esos riesgos y aprobaron los cambios, principalmente porque sentían que no tenían otra opción (y, a decir verdad, tenían razón en eso). Pero ¿se podría decir que los consejos directivos y los CEOs aceptaron esos riesgos intencionadamente y comprendiendo realmente lo que estaban aceptando? ¿Les explicaron esos riesgos de manera efectiva? ¿Hicieron esos consejos directivos las preguntas correctas e insistieron en obtener respuestas concretas? ¿Recibieron suficiente información que les permitiera saber qué era lo que tenían que preguntar? ¿Se discutió si cada oficina en casa tendría una LAN (local-area network) exclusivamente dedicada al trabajo corporativo, o si las VPNs (virtual private network) podrían manejar el enorme aumento en la carga y el tráfico de datos? ¿Y qué podrían hacer los colaboradores si las conexiones VPN fallaban? ¿Se saltarían algunos protocolos de seguridad para poder hacer su trabajo?
Se han escrito muchos artículos que buscan ofrecerles a los CISO orientación sobre cómo hablar con sus consejos directivos. Pero tal vez lo que hay que hacer es darle la vuelta a la pregunta: ¿cuál es la mejor manera de que los miembros del consejo directivo —cuyo espectro de conocimientos es muy amplio, pero no necesariamente incluye cursos intensivos en ciberseguridad— obtengan la información que necesitan recibir de los CISO, los CIO y otros expertos en seguridad de sus empresas?
Una manera es preguntar, literalmente, cuáles son los riesgos. “¿Qué puede salir mal? ¿Qué probabilidades hay de que ocurra un fallo? ¿Cuántos de nuestros competidores en el mismo sector están haciendo esto? En los equipos de ciberseguridad hay personas con opiniones contrarrestadas, pero, ¿cuál sería el mejor argumento de por qué deberíamos considerar la posibilidad de no hacer esto?”
Esto no pretende sugerir que haya que ser tímidos con el tema de la ciberseguridad. Todo lo contrario. Pero es necesario que los consejos directivos se esfuercen en entender los riesgos, pues solo así podrán analizarlos de manera correcta con otros miembros del consejo y llegar a un consenso sobre cuál será la tolerancia de la empresa al riesgo.
Una encuesta de McKinsey, realizada en el 2020 en colaboración con el Bank Policy Institute, a instituciones financieras principalmente norteamericanas encontró que una gran mayoría (95 por ciento) de los consejos directivos hablan sobre riesgos de ciberseguridad y riesgos asociados con la tecnología solo cuatro o cinco veces en el año. ¿Acaso los consejos directivos hablan sobre las tendencias de los ingresos solo cinco o seis veces al año? ¿O sobre la estrategia de adquisiciones?
Hoy día la ciberseguridad es parte esencial de la vida empresarial y afecta a la protección de datos, el cumplimiento, los posibles litigios y la percepción del cliente sobre las protecciones de la empresa. También puede ejercer influencia sobre las adquisiciones y ventas (en especial la due diligence en el caso de las adquisiciones), la expansión o contracción geográfica, las nuevas líneas de productos y el coste de apoyo a colaboradores y proveedores. Del mismo modo puede (o debería) ejercer influencia sobre la selección de toda clase de socios (cloud, cadena de suministro, call centers externos, etc.) más allá de las consideraciones tradicionales de IT y seguridad.
Los riesgos siguen evolucionando
Hay dos clases de riesgos sobre los cuales es necesario que piensen los consejos directivos: el riesgo de cualquier cambio deliberado e intencional al entorno de la empresa (nuevas herramientas, nuevas técnicas, cambios en las operaciones en la nube, y otros) y las amenazas provenientes de cualquier cambio operativo (como adquirir una compañía que recibe ingresos provenientes de un subcontratista militar, lo cual puede atraer ataques contra el Estado, o un cambio en la geografía que pueda exponer a la compañía a distintos ataques o, incluso, distintos requisitos de cumplimiento).
Las amenazas externas cambiaron de forma significativa durante el comienzo de la pandemia y es probable que vuelvan a cambiar, a medida que las empresas empiezan lentamente a reincorporar a sus empleados al trabajo presencial en la oficina. Por ejemplo, muchas empresas perdieron operaciones que se realizaban de manera presencial, ya que, al estar desocupadas las oficinas, tuvieron que convertirse en proveedores externos, equivalentes a nubes privadas. Las organizaciones necesitan entender las implicaciones de que los empleados regresen a la oficina, y los riesgos y beneficios asociados a ello. El regreso a las operaciones presenciales les brinda a los consejos directivos la oportunidad de reconsiderar todas sus operaciones, y se trata de una oportunidad única.
El escenario de las amenazas cambió después de la pandemia y el desafío de la ciberseguridad no es una situación exclusiva de la Península Ibérica, es algo que afecta a todo el mundo. Las estadísticas sobre delitos de ciberseguridad del Federal Bureau of Investigation (FBI) muestran que, en los Estados Unidos, los casos han aumentado de forma constante desde el 2016 hasta el 2020. En lo que se refiere a pérdidas económicas, los aumentos han sido graduales pero constantes y pasaron de 1.500 millones de dólares en el 2016 a 4.200 millones en el 2020. Cuando el FBI revisó la cantidad de casos reportados, en 2020 se registró un aumento muy significativo, pasando de 298.726 en el 2016 a 791.790 en el 2020. Esta información coincide con muchos informes que señalan que las tácticas de ataques cibernéticos se han mantenido relativamente iguales, pero el volumen de ataques se disparó a medida que aumentó el teletrabajo en entornos mucho menos protegidos1.
Los ciberdelincuentes buscan la oportunidad propicia
El informe del FBI indica que la mayoría de los tipos de ciberdelitos (no pago/no entrega, extorsión, violación de datos personales y robo de identidad) se mantuvieron relativamente estables, pero los fraudes por suplantación de identidad (phishing) se dispararon, pasando de 26.379 casos en el 2018 a 114.702 en el 2019, y a 241.342 en el 2020. Considerando que el aumento más pronunciado empezó en el 2019, no es claro cuántos de estos casos de phishing habrían tenido lugar en el 2020, de no haber habido pandemia.
Un informe publicado por el CCN-CERT muestra que el 23 por ciento de las compañías grandes en España han sufrido un ataque a su seguridad en el último año. En el caso de las pequeñas y medianas empresas (PYMES), el porcentaje cae a 12 por ciento, mientras que para los ciudadanos se eleva a 28 por ciento, por debajo del promedio europeo de 34 por ciento.
El aumento en el intercambio de datos e información, a través de redes de usuarios finales descentralizadas y no seguras, abre una cantidad de vectores para ciberataques que ponen a los usuarios y a sus organizaciones en una situación más vulnerable2.
Además, cada vez hay más preocupación con respecto al cumplimiento normativo de los datos. Esto se refleja en una reciente encuesta a clientes realizada por McKinsey, en la cual el 47 por ciento de los participantes dijeron no estar seguros de poder garantizar un nivel suficiente de protección de la información en un entorno posterior al caso Schrems II . La decisión del caso Schrems II3 se deriva de una disputa entre la Oficina del Comisario de Protección de Datos de Irlanda y Facebook Irlanda, junto con Maximilian Schrems. La decisión socavó la decisión de la Comisión Europea sobre la adecuación de la normativa Escudo de Protección de Datos UE-EE. UU. (EU-US Privacy Shield). Las implicaciones de la política de privacidad se extendieron mucho más allá de Europa, hacia los Estados Unidos y otras regiones.
Uno de los cambios claves del entorno ha sido la reducción o eliminación del perímetro de la empresa que se fue construyendo a lo largo de los años. Gran parte de esto procede de la avalancha de puntos finales (endpoints) nuevos, líneas de negocio que desarrollan sus propias implementaciones de shadow cloud, sitios remotos con distintos grados de seguridad, comunicaciones móviles que eluden por completo la IT/seguridad (como en el caso de un representante regional que crea una propuesta en un teléfono inteligente y la envía directamente por correo electrónico al dispositivo personal de un cliente) y dispositivos de Internet of Things de cualquier índole.
Los consejos directivos necesitan adoptar un enfoque proactivo y sistemático para fomentar la responsabilidad y el cumplimiento de ciberseguridad dentro de las organizaciones
Es clave que los consejos directivos se involucren más en la comprensión del valor de ciberseguridad en sus compañías, no solo porque todos los días aumentan las violaciones a la seguridad, sino porque los reguladores están responsabilizando cada vez más a las compañías por la gestión de sus vacíos en seguridad y privacidad de la información.
Para ilustrar esto, pensemos en la nueva regulación publicada por el gobierno español el pasado febrero que ordenó la creación del cargo de director de seguridad de la información (ISO, por sus siglas en inglés)4. La reglamentación invita a los operadores de servicios esenciales a que garanticen que el ISO tenga suficientes medios y recursos para poder realizar sus funciones de manera efectiva. Esta decisión —sumada a los requisitos que establece el Reglamento General de Protección de Datos (RGPD) de la Unión Europea para el encargado de la protección de los datos— es importante para las discusiones del consejo directivo, pues podría indicar una tendencia gubernamental o regulatoria de exigirles a las compañías que creen nuevos cargos con responsabilidades y autoridades especiales.
Implicaciones para el departamento de ciberseguridad en la nueva realidad de seguridad de múltiples stakeholders
Las compañías necesitan contemplar una transformación completa de la seguridad, integrada con los objetivos comerciales, mediante el establecimiento y la implementación de una estrategia general de gestión de riesgos cibernéticos que rompa los silos, amplíe las capacidades de la organización y permita la participación de múltiples stakeholders.
Para lograrlo, las compañías pueden tratar de priorizar las carteras de programas de seguridad para optimizar la reducción del riesgo, entender su madurez, crear una plataforma para tener conversaciones basadas en el riesgo dentro de la organización y adoptar un enfoque para el cumplimiento normativo en gestión de ciberseguridad. No obstante, esto tiene que comenzar por los directivos y la orientación marcada por el consejo de dirección y el CEO. De lo contrario, los distintos colaboradores de alto nivel pueden adoptar distintas direcciones o, lo que podría ser peor, el CISO podría simplemente tratar de adivinar qué es lo que realmente quieren el consejo directivo y el CEO.
Cuatro factores claves para repensar el enfoque de la ciberseguridad
Hay cuatro factores claves que pueden usar las empresas para repensar con éxito el “funcionamiento” de sus esfuerzos de ciberseguridad, implementando un enfoque basado en el riesgo:
1. Integrar la ciberseguridad en los procesos de gestión general de riesgos de la empresa (ERM, por sus siglas en inglés): identificar amenazas para evaluar y entender el perfil de riesgo de la organización utilizando un cuadro de métricas de “apetito de riesgo”
Todas las compañías necesitan asegurarse de que los riesgos de ciberseguridad reciban la atención adecuada a medida que adelantan sus funciones de ERM. La información sobre amenazas proporcionada a los programas de ERM debe documentarse y rastrearse mediante registros escritos de los riesgos de ciberseguridad que cumplan con la orientación del programa de ERM5. Gran parte de esto afectará también a otras unidades de negocio, entre otras, las de IT, servicios legales, cumplimiento, privacidad de la información, servicio al cliente y fabricación. Si se hace de forma integral, superará los límites establecidos por silos y geografías.
En general, las compañías no tienen una comprensión clara de su apetito de riesgo, lo cual las obliga a tomar decisiones sin tener en cuenta los riesgos asociados que estas implican, aunque todo el mundo sabe que no existen las decisiones que no impliquen riesgos.
Para solucionar esto, las compañías pueden empezar por identificar las amenazas y los actores potencialmente amenazantes a través de inteligencia y modelado de amenazas, con el fin de evaluar la probabilidad de un incidente en función de las vulnerabilidades identificadas en activos claves y la facilidad de explotar esas vulnerabilidades. A continuación, las compañías pueden mapear cada escenario de riesgo en el cuadro de métricas de ese apetito, conscientes de que los escenarios que estén por fuera de ese cuadro requerirán un esfuerzo específico para disminuir el riesgo.
Definir el apetito de riesgo es un primer paso importante porque moldeará la estrategia de ciberseguridad de la organización, orientará la priorización de tareas y determinará el nivel de recursos e inversión asignados para garantizar que los beneficios superen los costes de implementar la estrategia de ciberseguridad.
Por ejemplo, una compañía global de petróleo y gas que tiene su sede principal en España realizó un diagnóstico completo para entender su grado de exposición a diferentes amenazas y vulnerabilidades. Como resultado, se identificaron más de cien iniciativas que buscan aumentar la resiliencia de la organización.
La responsabilidad de este factor es prioritaria para el director de seguridad de la información (CISO) y el director de riesgos de la organización (CRO), y el consejo directivo es quien tiene que rendir cuentas sobre esto.
2. Alinear las inversiones e iniciativas actuales de todas las unidades de negocio para definir la estrategia de seguridad: identificar los escenarios de riesgo que se pueden incorporar al cuadro de métricas
Actualmente, la mayoría de las compañías están haciendo inversiones en ciberseguridad que no están alineadas con su estrategia corporativa general y están enfocando sus esfuerzos cibernéticos en áreas que tal vez no sean relevantes desde una perspectiva empresarial.
Para definir una estrategia de seguridad adecuada y alineada con el negocio, las compañías pueden empezar por evaluar las iniciativas cibernéticas existentes lideradas por unidades de negocio o por empresas a lo largo de todas las unidades y consolidar las fuentes de financiación para la inversión en seguridad. Al determinar qué iniciativa adoptar, es importante demostrar cómo estas iniciativas pueden ayudar a disminuir el riesgo para cada escenario que está por fuera del cuadro de métricas del apetito de riesgo. A continuación, las compañías pueden demostrar cómo, con el tiempo, escenarios de riesgo previamente mapeados pueden pasar de un área que está por fuera del cuadro a estar dentro del cuadro, con base al cronograma de la iniciativa.
Con el tiempo, las compañías deben volver a equilibrar las inversiones en ciberseguridad mediante la identificación de iniciativas que no implican una reducción del riesgo, y evaluarlas contra objetivos corporativos basados en el principio de valor en riesgo para ver si se pueden posponer o suspender elementos no prioritarios. Los presupuestos de estos elementos se pueden redistribuir para acelerar actividades actuales o nuevas relacionadas con la gestión de riesgos.
Es esencial identificar y priorizar las iniciativas claves para invertir, dado que esto les permite a las compañías lograr un máximo impacto con recursos óptimos.
Por ejemplo, una compañía de salud española líder del mercado realizó una evaluación de la resiliencia digital que analizó dos unidades de negocio y estableció la dirección estratégica para un gasto en ciberseguridad de 30 millones de euros o más. Durante la evaluación, se identificaron más de diez activos decisivos, y aproximadamente 70 brechas de control, para reducir el riesgo pendiente.
La responsabilidad de este factor recae en el director general de sistemas de información de la compañía (CIO) y los directores de seguridad de la información empresarial (BISO, por sus siglas en inglés).
3. Facilitar un enfoque de gestión de “valor en riesgo”: garantizar que existan los procesos, la organización y la cultura adecuadas
Hoy día las compañías no están incluyendo el tema de la seguridad en su cultura. Los distintos departamentos de la organización ven la seguridad como un supervisor que limita su actividad y no como un aliado que puede ayudar a garantizar que se consideren los riesgos asociados cuando se están tomando decisiones.
Las compañías se pueden cerciorar de que la ciberseguridad forme parte integral de los procesos de negocio claves al garantizar que la estructura organizacional permita el nuevo enfoque de gestión de riesgos, y fortaleciendo una cultura que se centra en el valor corporativo de la ciberseguridad. Si todos los stakeholders dentro de la organización coinciden en este punto, se puede desarrollar una fuerte cultura de riesgo basada en el valor corporativo.
Al mismo tiempo, los consejos directivos pueden garantizar que conocen los riesgos cibernéticos y las amenazas tecnológicas a los que se enfrentan sus organizaciones si reciben actualizaciones regulares que detallen el impacto potencial, entendiendo cómo está enfrentando el equipo directivo estos riesgos, y participando en sesiones de identificación y formación (por ejemplo, ejercicios de simulación, simulación de casos de violación a la ciberseguridad).
La participación del consejo directivo en la ciberseguridad es esencial porque el consejo no solo tiene la responsabilidad de dirigir la organización en la dirección estratégica correcta, sino que también tiene el deber y la obligación de proteger y crear valor para los accionistas. Tal como lo informó recientemente McKinsey en una encuesta global aplicada en varias compañías financieras líderes, el 91 por ciento de estas reconocen la importancia de mantener al consejo directivo al tanto de los riesgos permanentes y generar conocimiento sobre ciberseguridad6.
Esta conciencia debería impulsar un cambio en la mentalidad de la compañía, que tiene que pasar de aplicar simplemente la seguridad a ser una mentalidad que acepte la adherencia a la seguridad y entienda que la empresa es la dueña de los riesgos cibernéticos y la seguridad, y debe ser responsable de gestionarlos.
Por ejemplo, una institución financiera portuguesa realizó una evaluación de “valor en riesgo” al implementar un programa de riesgos cibernéticos, y se identificaron y priorizaron iniciativas claves que llevaron a un rediseño completo de la organización de ciberseguridad y el modelo operativo.
La responsabilidad de este factor está a cargo del CISO y el CIO, y el consejo directivo debe rendir cuentas sobre la implementación de este enfoque.
4. Implementar las herramientas adecuadas para evaluar los riesgos cibernéticos y hacer seguimiento al progreso de reducción de riesgos: dejar que los indicadores claves de riesgo (KRI, por sus siglas en inglés) y los indicadores claves de desempeño (KPI, por sus siglas en inglés) hagan el trabajo.
Actualmente las compañías tienen capacidades limitadas para evaluar y hacer el seguimiento de los escenarios de riesgo cibernético. El hecho de carecer de estas herramientas dificulta la toma de decisiones y no garantiza una visión holística del entorno general de riesgos cibernéticos.
Para garantizar una supervisión y rastreo adecuados, las compañías pueden hacer un seguimiento del progreso de las iniciativas y la reducción de riesgos lograda mediante el desarrollo de KRI y KPI. Se puede introducir un tablero con los KRI Y los KPI relevantes para hacer seguimiento y reportar regularmente sobre el progreso de la reducción de riesgos. Se pueden usar plantillas para informes ejecutivos para darle visibilidad a la inversión general en ciberseguridad y la posición de riesgo de las unidades o las empresas de la organización. Idealmente, el rango de las métricas debe incluir no solo la tecnología de la información sino también la tecnología operativa. El consejo directivo debe asegurarse de que se dé este cambio en el perímetro.
La implementación de los KRI y los KPI es esencial porque estos cumplen muchos propósitos. La información que ofrecen sirve como fundamento para la toma de decisiones y para la mejora continua, permitiendo que las compañías no solo rastreen disrupciones anteriores sino que puedan prevenir eventos indeseables en el futuro. Esto solo se puede hacer después de que se ha acumulado suficiente información para alimentar la analítica y el modelado predictivo. En este sentido, implementar tecnología de próxima generación es esencial para permitir el cambio en la forma como funcionan las empresas y para asegurar que se desarrolle una estrategia adecuada en términos de riesgos cibernéticos.
Por ejemplo, una empresa española de energía líder del mercado desarrolló un cuadro de mando como parte de su programa de transformación de riesgos cibernéticos, con el fin de mejorar la transparencia en los distintos niveles de la organización, e introdujo con éxito más de diez KRI/KPI para hacer seguimiento y generar informes.
Aquí la responsabilidad recae sobre el CISO y el CRO.
A medida que el negocio vaya evolucionando después de la pandemia, los riesgos cibernéticos también evolucionarán
A medida que el mundo evoluciona para volverse más digital, las compañías y organizaciones de la Península Ibérica, empezando a nivel de los consejos directivos, necesitan adoptar el nuevo enfoque en ciberseguridad, con el fin de enfrentar las crecientes amenazas y el escrutinio normativo correspondiente. La introducción de nuevas normativas para la protección y privacidad de la información —como el Reglamento General de Protección de Datos—, el hecho de que varios estados de los Estados Unidos estén aprobando legislaciones sobre privacidad, y las últimas decisiones en el caso Schrems II, implican que las corporaciones necesitan transformar la manera en que funcionan para cumplir con lo crecientes requisitos de responsabilidad y cumplimiento.
Los cuatro factores de éxito propuestos son pasos concretos que pueden dar las compañías para adoptar un enfoque basado en el riesgo, de una manera eficiente en términos de recursos, con el fin de remodelar así la forma como funciona la ciberseguridad dentro de la organización. Como hemos afirmado antes, la participación del equipo directivo es fundamental para implementar con éxito estos factores en una organización.
Aunque los consejos directivos tienen que garantizar la responsabilidad de los directivos de mayor nivel y el cumplimiento organizacional, vale la pena hacer énfasis en que la estrategia de ciberseguridad de una compañía debe ser parte de la estrategia corporativa. En la medida en que la mayoría de los procesos corporativos hoy contienen algún elemento digital, para la implementación efectiva de la estrategia en seguridad es imperativo tener una organización cibernética multifuncional, que incluya de manera regular la reducción de riesgos entre las actividades empresariales claves. Al mismo tiempo, las compañías necesitan fomentar el enfoque de gestión de “valor de riesgo”, que no solo ayuda a la organización a lograr una asignación óptima de recursos, sino que le permite establecer una cultura que haga énfasis en el valor corporativo del riesgo, y que al mismo tiempo cree conciencia en todo el equipo directivo.
El hecho de tener la organización, el enfoque y los recursos adecuados permitirá que las compañías de la Península Ibérica maximicen el valor y minimicen el riesgo que implica un futuro cada vez más digital, y es hora de que los consejos directivos se suban a ese tren.