Por qué las juntas directivas con conocimientos en ciberseguridad son una necesidad

En su informe "Top Security and Risk Trends for 2021", Gartner identificó a los consejos de administración con conocimientos cibernéticos como una prioridad principal para las organizaciones, a medida que el número de brechas de seguridad altamente publicitadas sigue creciendo. En este blog, desglosamos por qué los miembros del consejo deberían prestar más atención a la postura de seguridad y qué se necesita para establecer un consejo de administración con conocimientos cibernéticos.

Cada año, el Foro Económico Mundial publica el Informe de Riesgos Globales, que identifica todos los riesgos a los que se enfrentan las empresas hoy en día, desde el cambio climático, la inestabilidad política y social, hasta la ciberseguridad y las enfermedades.

Dado que las empresas están cada vez más digitalizadas y dependen de tecnologías habilitadas por el ciberespacio, las amenazas a la ciberseguridad y los riesgos relacionados con los datos, así como las estrategias de gestión de riesgos para mitigarlos, se han convertido en una prioridad máxima. De hecho, el Informe de Riesgos Globales 2021 del Foro Económico Mundial ha clasificado el fallo de la ciberseguridad como uno de los cinco principales riesgos empresariales a corto plazo.

Las amenazas a la ciberseguridad y los riesgos relacionados con los datos, así como las estrategias de gestión de riesgos para mitigarlos, se han convertido en una prioridad máxima para las empresas digitalmente transformadas. Existe una variedad de factores que hacen que la superficie de amenaza de una empresa se expanda más rápido que nunca:

• La migración continua a la nube, que se aceleró como respuesta a la pandemia.
• El cambio generalizado al trabajo remoto y la necesidad de apoyar iniciativas de trabajo desde cualquier lugar donde los empleados utilizan sus propios dispositivos.
• Mayor dependencia de cadenas de suministro extensas y complejas, lo que deja a las organizaciones vulnerables a riesgos heredados de terceros y socios.
• Un mosaico ampliado de regulaciones de privacidad y protección de datos con requisitos de residencia y cifrado de datos.

Los ciberdelincuentes y adversarios están explotando el panorama de amenazas en evolución y expansión para lanzar ciberataques que aumentan en número y sofisticación. A medida que los ciberataques afectan cada vez más al mundo físico, las consecuencias de estos ataques también se están intensificando.

Según un informe de Gartner, para 2024, el 75% de los CEO serán personalmente responsables de incidentes de seguridad ciberfísica, mientras que para 2023, se espera que el impacto financiero de un ataque ciberfísico que resulte en víctimas mortales supere los mil millones de dólares. Gartner afirma que “Aun sin tener en cuenta el valor real de una vida humana, los costes para las organizaciones en términos de compensación, litigios, seguros, multas regulatorias y pérdida de reputación serán significativos.”

Considerando los efectos de gran alcance de los incidentes y ataques ciberfísicos, los líderes de la industria deben darse cuenta de que los riesgos cibernéticos son tan posibles e impactantes como los riesgos “tradicionales” a los que están acostumbrados a enfrentarse. De hecho, las ciberamenazas pueden ser la fuente de riesgos empresariales si faltan las medidas adecuadas para prevenirlas. También es importante entender que el riesgo cibernético no es tarea exclusiva del departamento de TI. Un enfoque aislado de la ciberseguridad crea más puntos ciegos que pueden ser explotados por los ciberdelincuentes.

Siemens menciona en un informe:

“La ciberseguridad debe ser una responsabilidad compartida por todos los empleados de una empresa, desde la alta dirección hasta una estrecha colaboración entre la OT, las operaciones y la TI empresarial. La ciberseguridad también debe involucrar a los equipos de salud, seguridad y medio ambiente (HSE), debido a los posibles impactos de una grave brecha de seguridad en HSE. Recursos Humanos también debe participar, porque todos los empleados deben estar informados, capacitados y ser responsables de sus posibles roles, intencionales o no, al abrir las puertas —física o virtualmente— a los atacantes.”

No es de extrañar que la ciberseguridad se haya convertido en una prioridad máxima para el consejo de administración. En la Encuesta de Consejos de Administración de Gartner de 2021, los directores calificaron la ciberseguridad como la segunda fuente de riesgo más alta para la empresa, después del cumplimiento normativo.

Los incidentes de ciberseguridad representan posibles pérdidas empresariales que deben tratarse con la misma vigilancia que los vectores más tradicionales de interrupción del negocio y pérdida de beneficios. Además, en un mundo digital conectado, un incidente o una brecha en un departamento o una organización puede extenderse a través de las cadenas de suministro e incluso a sectores industriales, y en algunos casos, resultar en daños estructurales importantes para la nación.

Daniel Dobrygowski, director de Gobernanza Corporativa y Confianza en el Foro Económico Mundial, afirmó que “Necesitamos una colaboración efectiva y una visión estratégica para asegurar la ciberresiliencia y proteger la confianza entre todas las partes interesadas.” Los cambios en el panorama de amenazas industriales hacen necesario un mayor énfasis en la ciberseguridad como un riesgo estratégico a nivel de toda la empresa.

Como resultado, Gartner ha identificado en el informe Tendencias Principales de Seguridad y Riesgos para 2021 el cambio hacia la creación de consejos de administración ciber-expertos. Para ello, las empresas están creando un comité dedicado que se centra en discutir cuestiones de ciberseguridad. Este comité suele estar dirigido por un miembro del consejo con experiencia en seguridad o un consultor externo. De hecho, Gartner predice que para 2025, el 40% de los consejos de administración tendrán un comité de ciberseguridad dedicado supervisado por un miembro cualificado del consejo, frente a menos del 10% actual.

El cambio hacia consejos de administración ciber-expertos indicará dos cosas:

• Mayor apoyo —presupuesto y recursos— para abordar el panorama de amenazas.
• Mayor escrutinio y expectativas por parte del CISO y los equipos de seguridad para cumplir con los requisitos establecidos por el Consejo a fin de proteger a la organización contra ciberataques, al tiempo que se garantiza la continuidad del negocio.

Un consejo de administración ciber-experto puede motivar a toda la cadena dentro de una organización para que vea la ciberseguridad como responsabilidad de todos; proporcionan una visión que todos deben seguir. Esta visión debe basarse en los siguientes pilares:

1. Estrategia de ciberseguridad. Una visión estratégica y un plan táctico y operativo para avanzar pueden proteger proactivamente los activos corporativos y adaptarse a las amenazas cibernéticas emergentes y a los requisitos regulatorios en evolución.
2. Revisión de políticas. Las políticas y prácticas de ciberseguridad corporativas, así como los roles y responsabilidades, deben evaluarse para asegurar que estén actualizadas y sean adecuadas para proteger a la organización. Junto con la revisión de políticas, el consejo debe revisar el presupuesto asignado para ciberseguridad y privacidad para garantizar que estas iniciativas estén debidamente financiadas.
3. Liderar con el ejemplo. Las políticas de ciberseguridad deben ser implementadas y respaldadas por la dirección de la empresa, que debe tener la capacidad de comunicar un plan de gestión de riesgos cibernéticos a nivel empresarial, involucrando a todos los empleados.
4. Continuidad del negocio. La junta directiva debe supervisar el desarrollo de un plan integral de respuesta a incidentes que garantice la resiliencia y continuidad del negocio incluso durante un ciberataque. El plan debe ser ampliamente comprendido y practicado.
5. Monitoreo y evaluación continuos. La junta directiva debe monitorear y revisar periódicamente los controles y capacidades de ciberseguridad de la organización, adaptándose a nuevas vulnerabilidades y amenazas externas.
6. Concienciación sobre ciberseguridad. La junta directiva debe asegurar que la empresa implemente un programa integral de educación en ciberseguridad para fomentar una cultura donde todos los empleados asuman la responsabilidad de la ciberseguridad.

Dado que los ciberataques ya no son una cuestión de «si», sino más bien de «cuándo y con qué frecuencia», la ciberseguridad no debe ser una consideración secundaria. En su lugar, debe integrarse en el tejido de la organización para garantizar que los activos críticos, la reputación de la marca y el cumplimiento normativo no se vean comprometidos. Es hora de que todas las organizaciones transformen sus juntas directivas en entidades con conocimientos cibernéticos para promover la resiliencia y la continuidad del negocio.

Las identidades de máquinas – claves criptográficas, certificados digitales y secretos– sustentan la identidad y la confianza en la ciberseguridad actual. Sin embargo, la importancia de las identidades de máquinas a menudo es pasada por alto por los líderes de TI y seguridad que, en muchos casos, no son conscientes del alcance completo y el riesgo asociado de las identidades de máquinas desconocidas o no gestionadas en su organización.

Según Gartner, la gestión de identidades de máquinas es ahora imperativa. Por eso, hemos elaborado el primer informe sobre El estado de la gestión de identidades de máquinas con respuestas de más de 1.100 profesionales de TI y seguridad. Obtenga el informe completo a continuación.